本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密静态数据
您可以使用 Amazon Web Services Management Console、或通过 Amazon EFS API 或其中一个以编程方式创建加密文件系统。 Amazon CLI Amazon SDKs您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。
创建 EFS 文件系统后,就无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。您需要创建一个新的加密文件系统。
注意
Amazon 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
强制创建静态加密的 EFS 文件系统
您可以在基于 Amazon Identity and Access Management (IAM)身份的策略中使用 elasticfilesystem:Encrypted IAM 条件键来控制用户是否可以创建静态加密的 Amazon EFS 文件系统。有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统。
您还可以在内部定义服务控制策略 (SCPs), Amazon Organizations 以对组织中的所有人强制执行 EF Amazon Web Services 账户 S 加密。有关中服务控制策略的更多信息 Amazon Organizations,请参阅《Amazon Organizations 用户指南》中的服务控制策略。
使用控制台静态加密文件系统
使用 Amazon EFS 控制台创建新文件系统时,静态加密默认处于启用状态。
注意
使用 Amazon CLI、API 和创建新文件系统时,默认情况下不启用静态加密 SDKs。有关更多信息,请参阅 使用创建 Amazon CLI。
静态加密的工作方式
在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些过程是 Amazon EFS 以透明方式处理的,因此,您不必修改您的应用程序。
Amazon EFS 使用行业标准 AES-256 加密算法静态加密 EFS 数据和元数据。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的Amazon KMS 密码学基础知识。