加密静态数据 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

加密静态数据

您可以使用 Amazon Web Services Management Console、Amazon CLI,或通过 Amazon EFS API 或其中一个 Amazon 软件开发工具包以编程方式创建加密文件系统。您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。

创建 EFS 文件系统后,就无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。您需要创建一个新的加密文件系统。

注意

Amazon 密钥管理基础设施使用联邦信息处理标准(FIPS)140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。

强制创建静态加密的 EFS 文件系统

您可以在基于 Amazon Identity and Access Management(IAM)身份的策略中使用 elasticfilesystem:Encrypted IAM 条件键来控制用户是否可以创建静态加密的 Amazon EFS 文件系统。有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统

您还可以在 Amazon Organizations 内部定义服务控制策略(SCP),以便对组织中的所有 Amazon Web Services 账户强制执行 EFS 加密。有关 Amazon Organizations 中的服务控制策略的更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略

使用控制台静态加密文件系统

使用 Amazon EFS 控制台创建新文件系统时,静态加密默认处于启用状态。

注意

使用 Amazon CLI、API 和软件开发工具包创建新文件系统时,默认情况下不启用静态加密。有关更多信息,请参阅 创建文件系统(Amazon CLI)

静态加密的工作方式

在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些过程是 Amazon EFS 以透明方式处理的,因此,您不必修改您的应用程序。

Amazon EFS 使用行业标准 AES-256 加密算法静态加密 EFS 数据和元数据。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的加密基础知识