静态加密数据 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

静态加密数据

与未加密的文件系统一样,您可以通过 AWS 管理控制台、AWS CLI 或以编程方式通过 Amazon EFS API 或某个 AWS 开发工具包创建加密的文件系统。您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。

您可以通过使用 Amazon CloudWatch 和 AWS CloudTrail 检测文件系统的创建情况来监控 Amazon EFS 文件系统是否使用静态加密,并验证是否已启用加密。有关更多信息,请参阅演示 对某个对应的 Amazon EFS 静态文件系统。您可以使用文件系统策略在文件系统上强制执行传输过程中加密。有关更多信息,请参阅 使用 IAM 控制 NFS 对 Amazon EFS 的访问

注意

AWS 密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。

使用控制台静态加密文件系统

您可以选择在创建文件系统时为其启用静态加密。以下过程说明了从控制台中创建新的文件系统时如何为其启用加密。

在控制台上加密新的文件系统

  1. 通过 https://console.amazonaws.cn/efs/ 打开 Amazon Elastic File System 控制台。

  2. 选择创建文件系统以打开文件系统创建向导。

  3. 对于 Step 1: Configure network access (步骤 1:配置网络访问),请选择您的 VPC,创建您的挂载目标,然后选择 Next Step (下一步)

  4. 对于 Step 2: Configure file system settings (步骤 2:配置文件系统设置),添加任何标签、启用生命周期管理、选择吞吐量和性能模式以及启用加密以加密文件系统,然后选择 Next Step (下一步)

  5. 对于 Step 3.Configure client access (步骤 3. 配置客户端访问),您可以选择预配置的 File system policy (文件系统策略),或使用 {}JSON 选项卡中的 JSON 编辑器创建更高级的策略。有关更多信息,请参阅 使用 IAM 控制 NFS 对 Amazon EFS 的访问。选择 Next Step

  6. 对于 Step 4: Review and create (步骤 4:审核和创建),请检查您的设置,然后选择 Create File System (创建文件系统)

现在,您具有新的静态加密的文件系统。

静态加密的工作方式

在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些过程是 Amazon EFS 透明处理的,因此,您不必修改您的应用程序。

Amazon EFS 使用行业标准 AES-256 加密算法静态加密 EFS 数据和元数据。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的加密基础知识

Amazon EFS 如何使用 AWS KMS

Amazon EFS 与 AWS Key Management Service (AWS KMS) 集成以管理密钥。Amazon EFS 使用客户主密钥 (CMK) 通过以下方式加密您的文件系统:

  • 静态加密元数据 – Amazon EFS 使用适用于 Amazon EFS 的 AWS 托管 CMK (aws/elasticfilesystem),来加密和解密文件系统元数据(即,文件名、目录名称和目录内容)。

  • 静态加密文件数据 – 您选择用于加密和解密文件数据(即,文件内容)的 CMK。您可以启用、禁用或撤销对该 CMK 的授权。该 CMK 可以是以下两种类型之一:

    • 适用于 Amazon EFS 的 AWS 托管 CMK – 这是默认的 CMK (aws/elasticfilesystem)。您无需为创建和存储 CMK 支付费用,但需要支付使用费用。要了解更多信息,请参阅 AWS Key Management Service 定价

    • 客户托管 CMK – 这是使用最灵活的主密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建 CMK 的更多信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥

      如果将客户托管 CMK 作为主密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管 CMK,您可以随时选择何时禁用、重新启用、删除或撤销您的 CMK 的访问权限。有关更多信息,请参阅 禁用、删除或撤销对文件系统的CMK访问

重要

Amazon EFS 只支持对称 CMK。您不能将非对称 CMK 用于 Amazon EFS。

静态数据加密和解密是透明处理的。但是,Amazon EFS 特定的 AWS 账户 ID 显示在与 AWS KMS 操作相关的 AWS CloudTrail 日志中。有关更多信息,请参阅静态加密的文件系统的 Amazon EFS 日志文件条目

AWS KMS 的 Amazon EFS 密钥策略

密钥策略是控制对 CMK 访问的主要方法。有关密钥策略的更多信息,请参阅 AWS Key Management Service Developer Guide 中的在 AWS KMS 中使用密钥策略以下列表描述 Amazon EFS 针对静态加密文件系统支持的所有 AWS KMS 相关权限:

  • kms:Encrypt –(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms:ReEncrypt –(可选)使用新的客户主密钥 (CMK) 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms:GenerateDataKeyWithoutPlaintext –(必需)返回根据 CMK 加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。

  • kms:CreateGrant –(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关授权的更多信息,请参阅 AWS Key Management Service Developer Guide 中的使用授权。 该权限包含在默认密钥策略中。

  • kms:DescribeKey –(必需)提供有关指定的客户主密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases –(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充选择 KMS 主密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。