本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Amazon EFS KMS 密钥执行管理操作
您可以在下文中了解如何启用、禁用或删除与您的 Amazon EFS 文件系统关联的 KMS 密钥。您还可以了解在执行这些操作时您的文件系统预计出现的行为。
管理对文件系统的 KMS 密钥的访问
可以禁用或删除您的客户托管的 KMS 密钥,也可以撤销 Amazon EFS 访问您的 KMS 密钥的权限。为 Amazon EFS 禁用和撤销访问您的密钥的权限是不可撤消的操作。删除 KMS 密钥时应格外小心。删除 KMS 密钥是不可撤消的操作。
如果禁用或删除用于挂载的文件系统的 KMS 密钥,需满足以下条件:
-
该 KMS 密钥不能用作新 encrypted-at-rest 文件系统的密钥。
-
使用该 KMS 密钥的现有 encrypted-at-rest 文件系统会在一段时间后停止工作。
如果撤销为 Amazon EFS 授予的对任何现有挂载文件系统的访问权限,该行为与禁用或删除关联的 KMS 密钥相同。换句话说, encrypted-at-rest 文件系统可以继续运行,但会在一段时间后停止工作。
您可以阻止访问装有您禁用、删除或撤销的 Amazon EFS 访问权限的 KMS 密钥 encrypted-at-rest 的文件系统。为此,请卸载该文件系统,并删除您的 Amazon EFS 挂载目标。
您无法立即删除 Amazon KMS key,但可以安排在 7-30 天内将其删除。在已计划删除某个 KMS 密钥时,无法使用该密钥来执行加密操作。也可以取消 KMS 密钥的计划删除。
要了解如何禁用和重新启用客户托管的 KMS 密钥,请参阅《 Amazon Key Management Service 开发人员指南》中的启用和禁用密钥。要了解如何安排删除客户托管的 KMS 密钥,请参阅《 Amazon Key Management Service 开发人员指南》中的删除 KMS 密钥。