加密静态数据
您可以使用 Amazon Web Services Management Console、Amazon CLI,或通过 Amazon EFS API 或其中一个 Amazon 软件开发工具包以编程方式创建加密文件系统。您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。
创建 EFS 文件系统后,就无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。您需要创建一个新的加密文件系统。
注意
Amazon 密钥管理基础设施使用联邦信息处理标准(FIPS)140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
强制创建静态加密的 EFS 文件系统
您可以在基于 Amazon Identity and Access Management(IAM)身份的策略中使用 elasticfilesystem:Encrypted
IAM 条件键来控制用户是否可以创建静态加密的 Amazon EFS 文件系统。有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统。
您还可以在 Amazon Organizations 内部定义服务控制策略(SCP),以便对组织中的所有 Amazon Web Services 账户强制执行 EFS 加密。有关 Amazon Organizations 中的服务控制策略的更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略。
使用控制台静态加密文件系统
使用 Amazon EFS 控制台创建新文件系统时,静态加密默认处于启用状态。
注意
使用 Amazon CLI、API 和软件开发工具包创建新文件系统时,默认情况下不启用静态加密。有关更多信息,请参阅 创建文件系统(Amazon CLI)。
静态加密的工作方式
在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些过程是 Amazon EFS 以透明方式处理的,因此,您不必修改您的应用程序。
Amazon EFS 使用行业标准 AES-256 加密算法静态加密 EFS 数据和元数据。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的加密基础知识。