Amazon FSx for LustreAmazon KMS - FSx for Lustre
亚马逊 FSx 的密钥政策Amazon KMS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon FSx for LustreAmazon KMS

Amazon FSx for Lustre 通过以下方式加密您的文件系统:

  • 加密静态数据— Amazon FSx for Lustre 会在数据写入文件系统之前自动对其进行加密,并在读取数据时自动对其进行解密。数据是使用 XTS-AES-256 数据块密码加密的。所有 Scratch FSx for Lustre 文件系统均使用由管理的密钥静态加密Amazon. 用于静态加密暂存文件系统的密钥在每个文件系统中是唯一的,并在文件系统被删除后销毁。对于永久文件系统,您可以选择用于加密和解密数据的 KMS 密钥,或者是Amazon 托管式密钥适用于 Amazon FSx 或自定义 KMS 密钥。您在创建永久文件系统时指定要使用的密钥。您可以启用、禁用或撤消对此 KMS 密钥的授权。此 KMS 密钥可以是以下两种类型之一:

    • Amazon 托管式密钥适用于Amazon FSx— 这是默认 KMS 密钥。创建和存储 KMS 密钥无需付费,但会产生使用费。有关更多信息,请参阅 Amazon Key Management Service 定价

    • 客户托管密钥— 这是最灵活的 KMS 密钥,因为您可以为多个用户或服务配置其密钥策略和授权。有关创建客户托管密钥的更多信息,请参阅创建密钥 Amazon Key Management Service开发人员指南。

      如果您使用客户管理的密钥作为 KMS 密钥进行文件数据加密和解密,则可以启用密钥轮换。在启用密钥轮换时,Amazon KMS 自动每年轮换一次您的密钥。此外,使用客户管理密钥,您可以随时选择何时禁用、重新启用、删除或撤消对客户管理密钥的访问权限。

重要

Amazon FSx 仅接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。

亚马逊 FSx 的密钥政策Amazon KMS

密钥策略是控制对 KMS 密钥访问的主要方法。有关密钥策略的更多信息,请参阅使用以下密钥策略Amazon KMSAmazon Key Management Service开发人员指南。下面的列表描述了所有Amazon KMS—Amazon FSx 支持的静态加密文件系统的相关权限:

  • KMS: 加密—(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt—(必选)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms:ReEncrypt—(可选)使用新的 KMS 密钥加密服务器端的数据,而不公开客户端数据的明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms:GenerateDataKeyWithoutPlaintext—(必选)返回在 KMS 密钥下加密的数据加密密钥。此权限包含在下的默认密钥策略中kms:GenerateDataKey*.

  • kms:CreateGrant—(必选)向密钥添加授权,以指定谁可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关授权的更多信息,请参阅使用授权Amazon Key Management Service开发人员指南。该权限包含在默认密钥策略中。

  • kms:DescribeKey—(必需)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases—(可选)列出账户中的所有密钥别名。当您使用控制台创建加密文件系统时,此权限会填充列表以选择 KMS 密钥。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。