管理对加密的文件系统的访问 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对加密的文件系统的访问

可以使用 Amazon EFS 创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密:传输中加密和静态加密。需要执行的任何密钥管理仅与静态加密相关。Amazon EFS 会自动管理用于传输中加密的密钥。

如果创建使用静态加密的文件系统,则会静态加密数据和元数据。Amazon EFS 使用 Amazon Key Management Service (Amazon KMS) 进行密钥管理。在创建使用静态加密的文件系统时,需要指定一个 Amazon KMS key。KMS 密钥可以是aws/elasticfilesystem( Amazon 托管式密钥 适用于 Amazon EFS),也可以是您管理的客户托管密钥。

文件数据(文件内容)是使用在创建文件系统时指定的 KMS 密钥静态加密的。元数据(文件名、目录名和目录内容)是使用 Amazon EFS 管理的密钥加密的。

文件系统的 EFS Amazon 托管式密钥 用作 KMS 密钥,用于加密文件系统中的元数据,例如文件名、目录名和目录内容。您拥有用于静态加密文件数据(文件内容)的客户托管密钥。

您管理哪些用户有权访问您的 KMS 密钥以及您的加密文件系统内容。这种访问受到 Amazon Identity and Access Management (IAM) 策略和策略的控制 Amazon KMS。IAM 策略控制用户对 Amazon EFS API 操作的访问权限。 Amazon KMS 密钥策略控制用户对您在创建文件系统时指定的 KMS 密钥的访问权限。有关更多信息,请参阅下列内容:

作为密钥管理员,您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的 KMS 密钥的状态(在创建使用静态加密的文件系统时)影响访问其内容。KMS 密钥必须处于enabled状态,用户才能访问使用该密钥加密 encrypted-at-rest 的文件系统的内容。