管理对加密文件系统的访问 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对加密文件系统的访问

通过使用 Amazon EFS,您可以创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密:传输中加密和静态加密。您需要执行的任何密钥管理仅与静态加密相关。Amazon EFS 自动管理用于传输中加密的密钥。

如果创建使用静态加密的文件系统,则会静态加密数据和元数据。Amazon EFSAmazon Key Management Service(Amazon KMS) 进行密钥管理。在创建使用静态加密的文件系统时,您可以指定Amazon KMS key. KMS 密钥可以是aws/elasticfilesystem(的Amazon 托管式密钥对于 Amazon EFS),也可以是您管理的客户托管。

文件数据(文件内容)是使用在创建文件系统时指定的 KMS 密钥静态加密的。元数据(文件名、目录名和目录内容)是使用 Amazon EFS 管理的密钥加密的。

EFSAmazon 托管式密钥的文件系统用作 KMS 密钥,用于加密文件系统中的元数据,例如文件名、目录名和目录内容。您拥有用于静态加密文件数据(文件内容)的客户托管密钥。

您管理哪些用户有权访问您的 KMS 密钥以及您的加密文件系统的内容。该访问是通过两者控制的Amazon Identity and Access Management(IAAAAM) 策略和Amazon KMS. IAM 策略控制用户对 Amazon EFS API 操作的访问。Amazon KMS密钥策略控制用户对在创建文件系统时指定的 KMS 密钥的访问。有关更多信息,请参阅下列内容:

作为密钥管理员,您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的 KMS 密钥的状态(在创建使用静态加密的文件系统时)影响访问其内容。KMS 密钥必须enabled状态,用户可以访问 encrypted-at-rest 使用该密钥加密的文件系统。

对 Amazon EFS KMS 密钥执行管理操作

您可以在下文中了解如何启用、禁用或删除与您的 Amazon EFS 文件系统关联的 KMS 密钥。您还可以了解在执行这些操作时您的文件系统预计出现的行为。

禁用、删除或撤消对文件系统的 KMS 密钥的访问权限

您可以禁用或删除您的客户托管 KMS 密钥,也可以撤销 Amazon EFS 访问您的 KMS 密钥的权限。为 Amazon EFS 禁用和撤销访问您的密钥的权限是不可撤消的操作。在删除 KMS 密钥时,应格外小心。删除 KMS 密钥是不可撤消的操作。

如果您禁用或删除用于挂载的文件系统的 KMS 密钥,则满足以下条件:

  • 该 KMS 密钥不能用作新密钥 encrypted-at-rest 文件系统。

  • EXI encrypted-at-rest 使用该 KMS 密钥的文件系统将在一段时间后停止工作。

如果您撤销为 Amazon EFS 授予的任何现有的挂载文件系统的访问权限,该行为与禁用或删除关联的 KMS 密钥相同。换言之, encrypted-at-rest 文件系统继续正常工作,但在经过一段时间后停止工作。

您可以阻止访问已安装的 encrypted-at-rest 文件系统,该文件系统具有已禁用、删除或撤销访问权限的 KMEFS 密钥。为此,请卸载文件系统,并删除您的 Amazon EFS 挂载目标。

你无法立即删除Amazon KMS key,但您可以安排在 7-30 天内对其进行删除。在某个 KMS 密钥已计划删除时,您无法用它来执行加密操作。您也可以取消 KMS 密钥的计划删除。

要了解如何禁用和重新启用客户托管 KMS 密钥,请参阅启用和禁用密钥中的Amazon Key Management Service开发人员指南 的第一个版本。要了解如何计划删除客户托管 KMS 密钥,请参阅删除 KMS 密钥中的Amazon Key Management Service开发人员指南 的第一个版本。