管理对加密文件系统的访问 - Amazon Elastic File System
对 Amazon EFS KMS 密钥执行管理操作相关主题
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对加密文件系统的访问

使用 Amazon EFS,您可以创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密,即传输中的加密和静态加密。您需要执行的任何密钥管理都只与静态加密有关。Amazon EFS 会自动管理传输中的加密密钥。

如果您创建的文件系统使用静态加密,则会对数据和元数据进行静态加密。亚马逊 EFS 使用 Amazon Key Management Service (Amazon KMS) 进行密钥管理。使用静态加密创建文件系统时,需要指定Amazon KMS key。KMS 密钥可以是aws/elasticfilesystem(Amazon 托管式密钥适用于 Amazon EFS),也可以是您管理的客户托管密钥。

使用您在创建文件系统时指定的 KMS 密钥对文件数据(文件内容)进行静态加密。元数据(文件名、目录名和目录内容)使用 Amazon EFS 管理的密钥进行加密。

文件系统的 EFS Amazon 托管式密钥 用作 KMS 密钥,用于加密文件系统中的元数据,例如文件名、目录名和目录内容。您拥有用于加密静态文件数据(文件内容)的客户托管密钥。

您可以管理谁有权访问您的 KMS 密钥和加密文件系统的内容。这种访问受到 Amazon Identity and Access Management (IAM) 策略和策略的控制Amazon KMS。IAM 策略控制用户对 Amazon EFS API 操作的访问权限。 Amazon KMS密钥策略控制用户对您在创建文件系统时指定的 KMS 密钥的访问权限。有关更多信息,请参阅下列内容:

作为密钥管理员,您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的 KMS 密钥的状态(当您使用静态加密创建文件系统时)会影响对其内容的访问。KMS 密钥必须处于enabled状态,用户才能访问使用该密钥加密 encrypted-at-rest 的文件系统的内容。

对 Amazon EFS KMS 密钥执行管理操作

接下来,您将了解如何启用、禁用或删除与您的 Amazon EFS 文件系统关联的 KMS 密钥。您还可以了解在执行这些操作时您的文件系统预计出现的行为。

禁用、删除或撤消对文件系统的 KMS 密钥的访问权限

您可以禁用或删除客户托管的 KMS 密钥,也可以撤销 Amazon EFS 对您的 KMS 密钥的访问权限。禁用和撤销 Amazon EFS 对您的密钥的访问权限是可逆的操作。删除 KMS 密钥时要格外小心。删除 KMS 密钥是不可逆的操作。

如果您禁用或删除了用于已装载文件系统的 KMS 密钥,则会出现以下情况:

  • 该 KMS 密钥不能用作新 encrypted-at-rest 文件系统的密钥。

  • 使用该 KMS 密钥的现有 encrypted-at-rest 文件系统会在一段时间后停止工作。

如果您撤销 Amazon EFS 对任何现有已挂载文件系统的授予访问权限,则行为与您禁用或删除关联的 KMS 密钥相同。换句话说, encrypted-at-rest 文件系统可以继续运行,但会在一段时间后停止工作。

您可以阻止访问装有您禁用、删除或撤销的 Amazon EFS 访问权限的 KMS 密钥 encrypted-at-rest 的文件系统。为此,请卸载文件系统并删除您的 Amazon EFS 挂载目标。

您无法立即删除Amazon KMS key,但可以安排在 7-30 天内将其删除。当 KMS 密钥计划删除时,您不能将其用于加密操作。您也可以取消 KMS 密钥的预定删除。

要了解如何禁用和重新启用客户托管的 KMS 密钥,请参阅Amazon Key Management Service开发人员指南中的启用和禁用密钥。要了解如何安排删除客户托管的 KMS 密钥,请参阅Amazon Key Management Service开发人员指南中的删除 KMS 密钥