本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon FSx for Lustre 的使用方法Amazon KMS
Amazon FSx for Lustre 集成Amazon Key Management Service(Amazon KMS) 用于密钥管理,用于加密静态数据。使用 Amazon FSxAmazon KMS keys通过以下方法加密您的文件系统:
-
加密静态数据— Amazon FSx for Lustre 使用 KMS 密钥,或者Amazon 托管式密钥对于 Amazon FSx 或自定义 KMS 密钥,用于加密和解密文件系统数据。Lustre 文件系统的所有临时 FSx 静态加密使用服务托管密钥。数据是使用 XTS-AES-256 数据块密码加密的。在将数据写入到文件系统之前,将自动对其进行加密,并在读取时自动对其进行解密。用于加密静态暂存文件系统的密钥在每个文件系统中都是唯一的,并在文件系统删除后销毁。对于持久性文件系统,您可以选择用于加密和解密数据的 KMS 密钥,或者Amazon 托管式密钥适用于 Amazon FSx 或自定义 KMS 密钥。您可以在创建永久性文件系统时指定要使用的密钥。您可以启用、禁用或撤销对此 KMS 密钥的授权。此 KMS 密钥可以是以下两种类型之一:
-
Amazon 托管式密钥适用于 Amazon FSx— 这是默认 KMS 密钥。您无需支付创建和存储 KMS 密钥的费用,但需要支付使用费用。有关更多信息,请参阅Amazon Key Management Service定价
。 -
客户托管密钥— 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建客户管理的密钥的更多信息,请参阅创建密钥中的 Amazon Key Management Service开发人员指南 的第一个版本。
如果将客户托管密钥作为 KMS 密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,Amazon KMS 自动每年轮换一次您的密钥。此外,使用客户托管密钥,您可以随时选择何时禁用、重新启用、删除或撤销您的客户托管密钥的访问权限。
-
Amazon FSx 仅接受对称 KMS 密钥。您不能将非对称 KMS 密钥与 Amazon FSx 结合使用。
亚马逊 FSx 关键政策Amazon KMS
密钥策略是控制对 KMS 密钥访问的主要方法。有关密钥策略的更多信息,请参阅使用以下密钥策略Amazon KMS中的Amazon Key Management Service开发人员指南 的第一个版本。下面的列表介绍了的所有Amazon KMS— Amazon FSx 支持针对静态加密文件系统的权限:
-
kms:Encrypt—(可选)将明文加密为密文。该权限包含在默认密钥策略中。
-
kms:Decrypt—(必需)解密密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
-
KMS:重新加密—(可选)使用新的 KMS 密钥加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
-
KMS: 生成了没有纯文本的数据键—(必需)返回根据 KMS 密钥加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。
-
kms:CreateGrant—(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关补助的更多信息,请参阅使用授权中的Amazon Key Management Service开发人员指南 的第一个版本。该权限包含在默认密钥策略中。
-
kms:DescribeKey—(必需)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
-
kms:ListAliases—(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,此权限将填充列表以选择 KMS 密钥。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。