适用于 Lustre 的 Amazon FSx for Lustre 的 Amazon FSxAmazon KMS - Amazon FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Lustre 的 Amazon FSx for Lustre 的 Amazon FSxAmazon KMS

适用于 Lustre 的 Amazon FSx for Lustre 集成了Amazon Key Management Service(Amazon KMS)来进行密钥管理以加密静态数据。Amazon FSx 使用客户主密钥 (CMK) 通过以下方法加密您的文件系统:

  • 静态数据加密— Amazon FSx for Lustre 的 Amazon FSx for Lustre 使用单个客户主密钥 (CMK),或者是Amazon托管 CMK,用于 Amazon FSX 或自定义 CMK,以加密和解密文件系统数据。适用于 Lustre 文件系统的所有临时 FSx for Lustre 文件系统静态加密使用服务托管的密钥。数据是使用 XTS-AES-256 分组密码加密的。在将数据写入到文件系统之前,将自动对其进行加密,并在读取时自动解密。用于加密静态暂存文件系统的密钥在文件系统中是唯一的,并且在删除文件系统后被销毁。对于持久文件系统,您可以选择用于加密和解密数据的 CMK,Amazon管理的 CMK 适用于亚马逊 FSX 或自定义 CMK。您可以在创建持久文件系统时指定要使用的密钥。您可以启用、禁用或撤销对该 CMK 的授权。该 CMK 可以是以下两种类型之一:

    • Amazon适用于 Amazon FSx 的托管 CMK— 这是默认 CMK。您无需为创建和存储 CMK 支付费用,但需要支付使用费用。有关更多信息,请参阅 Amazon Key Management Service 定价

    • 客户管理的 CMK— 这是使用最灵活的主密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建 CMK 的更多信息,请参阅创建密钥中的 Amazon Key Management Service开发人员指南 的第一个版本。

      如果将客户托管 CMK 作为主密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,Amazon KMS 自动每年轮换一次您的密钥。此外,对于客户托管 CMK,您可以随时选择何时禁用、重新启用、删除或撤销您的 CMK 的访问权限。

重要

Amazon FSx 仅支持对称 CMK。您不能在亚马逊 FSX 中使用非对称 CMK。

亚马逊 FSX 关键政策Amazon KMS

密钥策略是控制对 CMK 访问的主要方法。有关密钥策略的更多信息,请参阅使用以下密钥策略Amazon KMS中的Amazon Key Management Service开发人员指南 的第一个版本。下面的列表介绍了的所有Amazon KMS— Amazon FSx 支持 Amazon FSx for 静态加密的文件系统:

  • kms:Encrypt—(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt—(必需)解密密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • KMS: 重新加密—(可选)使用新的客户主密钥 (CMK) 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • KMS: 生成数据密钥,带显示文本—(必需)返回使用 CMK 加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。

  • kms:CreateGrant—(必需)将授权添加到密钥以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关授权的更多信息,请参阅使用授权中的Amazon Key Management Service开发人员指南 的第一个版本。该权限包含在默认密钥策略中。

  • kms:DescribeKey—(必需)提供有关指定的客户主密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases—(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充选择 KMS 主密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。