管理对加密文件系统的访问 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

管理对加密文件系统的访问

通过使用 Amazon EFS,您可以创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密:传输中加密和静态加密。您需要执行的任何密钥管理仅与静态加密相关。Amazon EFS 自动管理用于传输中加密的密钥。

如果创建使用静态加密的文件系统,则会静态加密数据和元数据。Amazon EFS 使用 AWS Key Management Service (AWS KMS) 进行密钥管理。在创建使用静态加密的文件系统时,您可以指定一个客户主密钥 (CMK)。CMK 可以是 aws/elasticfilesystem(适用于 Amazon EFS 的 AWS 托管 CMK),也可以是您管理的 CMK。

文件数据(文件内容)是使用在创建文件系统时指定的 CMK 静态加密的。元数据(文件名、目录名和目录内容)是使用 Amazon EFS 管理的密钥加密的。

您的文件系统的 AWS 托管 CMK 用作文件系统中的元数据(如文件名、目录名和目录内容)的主密钥。您拥有用于静态加密文件数据(文件内容)的 CMK。

您管理哪些用户有权访问您的 CMK 以及您的加密文件系统的内容。该访问是由 AWS Identity and Access Management (IAM) 策略和 AWS KMS 控制的。IAM 策略控制用户对 Amazon EFS API 操作的访问。AWS KMS 密钥策略控制用户对在创建文件系统时指定的 CMK 的访问。有关更多信息,请参阅以下内容:。

作为密钥管理员,您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的 CMK 的状态(在创建使用静态加密的文件系统时)影响访问其内容。CMK 必须处于 enabled 状态,用户才能访问静态加密的文件系统的内容。

执行管理操作 Amazon EFS 客户主密钥

您可以在下文中了解如何启用、禁用或删除与您的 Amazon EFS 文件系统关联的 CMK。您还可以了解在执行这些操作时您的文件系统预计出现的行为。

禁用、删除或撤销对文件系统的CMK访问

您可以禁用或删除您的客户管理的 CMK,也可以撤销 Amazon EFS 访问您的 CMK 的权限。为 Amazon EFS 禁用和撤销访问您的密钥的权限是不可撤消的操作。在删除 CMK 时,应格外小心。删除 CMK 是不可撤消的操作。

如果您禁用或删除用于挂载的文件系统的 CMK,则满足以下条件:

  • 该 CMK 不能用作新的静态加密文件系统的主密钥。

  • 在经过一段时间后,使用该 CMK 的现有静态加密文件系统将停止工作。

如果您撤销为 Amazon EFS 授予的任何现有的挂载文件系统的访问权限,该行为与禁用或删除关联的 CMK 相同。换句话说,静态加密的文件系统继续正常工作,但在经过一段时间后停止工作。

您可以禁止访问具有已禁用、删除或撤销 Amazon EFS 访问权限的 CMK 的挂载静态加密文件系统。为此,请卸载文件系统,并删除您的 Amazon EFS 挂载目标。

您无法立即删除 AWS KMS CMK,但您可以安排在 7-30 天内对其进行删除。在某个 CMK 已计划删除时,您无法用它来执行加密操作。您也可以取消 CMK 的计划删除。

如需了解如何禁用和重新启用客户管理的 CMK,请参阅 AWS Key Management Service Developer Guide 中的启用和禁用密钥。如需了解如何计划删除客户管理的 CMK,请参阅 AWS Key Management Service Developer Guide 中的删除客户主密钥