本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密静态数据
当您通过 Amazon CLI、、或 Amazon Web Services Management Console通过亚马逊 FSx API 或其中一个软件开发工具包以编程方式创建 Amazon FSx for Lustre 文件系统时,会自动启用静态数据加密。 Amazon 您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。如果您创建永久文件系统,则可以指定用于加密数据的 Amazon KMS 密钥。如果创建临时文件系统,则会使用 Amazon FSx 管理的密钥对数据进行加密。有关使用控制台创建静态加密文件系统的更多信息,请参阅创建 Amazon FSx for Lustre 文件系统。
注意
Amazon 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
有关 FSx for Amazon KMS Lustre 如何使用的更多信息,请参阅。适用于 Lustre 的亚马逊 FSx 是如何使用的 Amazon KMS
静态加密的工作方式
在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些过程是 Amazon FSx for Lustre 透明处理的,因此,您不必修改您的应用程序。
Amazon FSx for Lustre 使用行业标准 AES-256 加密算法对静态文件系统数据进行加密。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的加密基础知识。
适用于 Lustre 的亚马逊 FSx 是如何使用的 Amazon KMS
Amazon FSx for Lustre 会在数据写入文件系统之前自动对其进行加密,并在读取数据时自动解密。数据使用 XTS-AES-256 数据块密码进行加密。所有适用于 Lustre 文件系统的 scratch FSx 都使用由管理的密钥进行静态加密。 Amazon KMS适用于 Lustre 的 Amazon FSx 与之 Amazon KMS 集成,用于密钥管理。用于静态加密临时文件系统的密钥在每个文件系统中都是唯一的,并在文件系统删除后销毁。对于永久性文件系统,您可以选择用于加密和解密数据的 KMS 密钥。在创建持久性文件系统时指定要使用的密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:
-
Amazon 托管式密钥 适用于 Amazon FSx — 这是默认 KMS 密钥。您无需为创建和存储 KMS 密钥支付费用,但需要支付使用费用。有关更多信息,请参阅Amazon Key Management Service 定价
。 -
客户托管密钥 – 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建客户托管密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥。
如果将客户托管式密钥作为您的 KMS 密钥加密和解密文件数据,您可以启用密钥轮换。启用密钥轮换后,每年 Amazon KMS 自动轮换密钥一次。此外,对于客户托管密钥,您可以随时选择何时禁用、重新启用、删除或撤销您客户托管密钥的访问权限。
重要
Amazon FSx 仅接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。
Amazon FSx 的关键政策 Amazon KMS
密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用 Amazon KMS中的密钥政策。以下列表描述了 Amazon FSx 针对静态加密文件系统支持的所有 Amazon KMS相关权限:
-
kms:Encrypt –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。
-
kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
-
kms: ReEncrypt —(可选)使用新的 KMS 密钥加密服务器端的数据,而不会在客户端暴露数据的明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
-
kms: GenerateDataKeyWithoutPlaintext —(必填)返回使用 KMS 密钥加密的数据加密密钥。此权限包含在 k ms: GenerateDataKey * 下的默认密钥策略中。
-
km CreateGrant s: —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用授权。该权限包含在默认密钥策略中。
-
kms: DescribeKey —(必填)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
-
km ListAliases s: —(可选)列出账户中的所有密钥别名。在使用控制台创建加密文件系统时,该权限将填充列表以选择 KMS 密钥。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。