Amazon FSx for Lustre 如何使用 AWS KMS - 适用于Lustre的AmazonFSx
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Amazon FSx for Lustre 如何使用 AWS KMS

Amazon FSx for Lustre 与集成 AWS Key Management Service (人AWS KMS)forkeymanagementforencryptingdataatrest. Amazon FSx 使用客户主密钥(CMK)以下列方式加密文件系统:

  • 静态加密数据 – Amazon FSx for Lustre 使用单一客户主密钥(CMK),或者AWS管理的CMK Amazon FSx 或自定义CMK,对文件系统数据进行加密和解密。Lustre文件系统的所有FSx都是静态加密,密钥由服务管理。使用XTS-AES-256块密码对数据进行加密。数据写入文件系统之前自动加密,读取时自动解密。用于静态加密暂存文件系统的密钥是每个文件系统唯一的,并在删除文件系统后销毁。对于永久文件系统,您可以选择用于加密和解密数据的CMK,或者选择AWS管理的CMK Amazon FSx 或自定义CMK。您可以指定在创建永久文件系统时使用哪个键。您可以启用、禁用或撤销对该 CMK 的授权。该 CMK 可以是以下两种类型之一:

    • 适用于 Amazon FSx 的 AWS 托管 CMK – 这是默认的 CMK。您无需为创建和存储 CMK 支付费用,但需要支付使用费用。有关更多信息,请参阅 AWS关键管理服务定价.

    • 客户托管 CMK – 这是使用最灵活的主密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建 CMK 的更多信息,请参阅 https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html 中的AWS Key Management Service Developer Guide创建密钥

      如果将客户托管 CMK 作为主密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,使用客户管理的CMK,您可以选择何时禁用、重新启用、删除或撤销对您的CMK的访问。

重要

Amazon FSx 只支持对称 CMK。无法使用非对称CMK Amazon FSx.

AWS KMS 的 Amazon FSx 密钥策略

密钥策略是控制对 CMK 访问的主要方法。有关关键政策的更多信息,请参阅 在AWSKMS中使用关键策略AWS Key Management Service Developer Guide。 以下列表描述了所有 AWS KMS–支持的相关权限 Amazon FSx 用于静态加密文件系统:

  • kms:Encrypt –(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms:ReEncrypt –(可选)使用新的客户主密钥 (CMK) 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms:GenerateDataKeyWithoutPlaintext –(必需)返回根据 CMK 加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。

  • kms:CreateGrant –(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关补助的更多信息,请参阅 使用赠予股份AWS Key Management Service Developer Guide. 该权限包含在默认密钥策略中。

  • kms:DescribeKey –(必需)提供有关指定的客户主密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases –(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充选择 KMS 主密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。