管理对加密文件系统的访问 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对加密文件系统的访问

您可以使用 Amazon EFS 创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密:传输中加密和静态加密。您需要执行的任何密钥管理仅与静态加密相关。Amazon EFS 自动管理用于传输中加密的密钥。

如果创建使用静态加密的文件系统,则会静态加密数据和元数据。Amazon EFS 使用Amazon Key Management Service(Amazon KMS) 用于密钥管理。在创建使用静态加密的文件系统时,您可以指定一个客户主密钥 (CMK)。CMK 可以aws/elasticfilesystem(AmazonAmazon EFS 托管 CMK),也可以是您管理的 CMK。

文件数据(文件内容)是使用您在创建文件系统时指定的 CMK 静态加密的。元数据(文件名、目录名和目录内容)是使用 Amazon EFS 管理的密钥加密的。

这些区域有:Amazon文件系统的托管 CMK 用作文件系统中的元数据(如文件名、目录名和目录内容)的主密钥。您拥有用于静态加密文件数据(文件内容)的 CMK。

您管理哪些用户有权访问您的 CMK 以及您的加密文件系统的内容。这种访问是由两者控制的。Amazon Identity and Access Management(IAM) 策略Amazon KMS. IAM 策略控制用户对 Amazon EFS API 操作的访问。Amazon KMS密钥策略控制用户对在创建文件系统时指定的 CMK 的访问。有关更多信息,请参阅下列内容:

作为密钥管理员,您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的 CMK 的状态(在创建使用静态加密的文件系统时)影响访问其内容。CMK 必须处于 enabled 状态,用户才能访问静态加密的文件系统的内容。

对 Amazon EFS 客户主密钥执行管理操作

下文您可以在下文中了解如何启用、禁用或删除与您的 Amazon EFS 文件系统关联的 CMK。您还可以了解在执行这些操作时您的文件系统预计出现的行为。

为文件系统禁用、删除或撤销访问 CMK 的权限

您可以禁用或删除您的客户管理的 CMK,也可以撤销 Amazon EFS 访问您的 CMK 的权限。为 Amazon EFS 禁用和撤销访问您的密钥的权限是不可撤消的操作。在删除 CMK 时,应格外小心。删除 CMK 是不可撤消的操作。

如果您禁用或删除用于挂载的文件系统的 CMK,则满足以下条件:

  • 该 CMK 不能用作新的静态加密文件系统的主密钥。

  • 在经过一段时间后,使用该 CMK 的现有静态加密文件系统将停止工作。

如果您撤销为 Amazon EFS 授予的任何现有的挂载文件系统的访问权限,该行为与禁用或删除关联的 CMK 相同。换句话说,静态加密的文件系统继续正常工作,但在经过一段时间后停止工作。

您可以禁止访问具有已禁用、删除或撤销 Amazon EFS 访问权限的 CMK 的挂载静态加密文件系统。为此,请卸载文件系统,并删除您的 Amazon EFS 挂载目标。

您无法立即删除 Amazon KMS CMK,但您可以安排在 7-30 天内对其进行删除。在某个 CMK 已计划删除时,您无法用它来执行加密操作。您也可以取消 CMK 的计划删除。

要了解如何禁用和重新启用客户托管的 CMK,请参阅启用和禁用密钥中的Amazon Key Management Service开发人员指南 的第一个版本。要了解如何安排删除客户托管的 CMK,请参阅删除客户主密钥中的Amazon Key Management Service开发人员指南 的第一个版本。