加密静态数据 - FSx for Lustre
静态加密的工作方式Amazon KMS 密钥管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密静态数据

当您通过 Amazon CLI、、或 Amazon Web Services Management Console通过亚马逊 FSx API 或其中一个软件开发工具包以编程方式创建 Amazon FSx for Lustre 文件系统时,会自动启用静态数据加密。 Amazon 您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。如果您创建永久文件系统,则可以指定用于加密数据的 Amazon KMS 密钥。如果创建临时文件系统,则会使用 Amazon FSx 管理的密钥对数据进行加密。有关使用控制台创建静态加密文件系统的更多信息,请参阅创建 Amazon FSx for Lustre 文件系统

注意

Amazon 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。

有关 FSx for Amazon KMS Lustre 如何使用的更多信息,请参阅。适用于 Lustre 的亚马逊 FSx 是如何使用的 Amazon KMS

静态加密的工作方式

在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些过程是 Amazon FSx for Lustre 透明处理的,因此,您不必修改您的应用程序。

Amazon FSx for Lustre 使用行业标准 AES-256 加密算法对静态文件系统数据进行加密。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的加密基础知识

适用于 Lustre 的亚马逊 FSx 是如何使用的 Amazon KMS

Amazon FSx for Lustre 会在数据写入文件系统之前自动对其进行加密,并在读取数据时自动解密。数据使用 XTS-AES-256 数据块密码进行加密。所有适用于 Lustre 文件系统的 scratch FSx 都使用由管理的密钥进行静态加密。 Amazon KMS适用于 Lustre 的 Amazon FSx 与之 Amazon KMS 集成,用于密钥管理。用于静态加密临时文件系统的密钥在每个文件系统中都是唯一的,并在文件系统删除后销毁。对于永久性文件系统,您可以选择用于加密和解密数据的 KMS 密钥。在创建持久性文件系统时指定要使用的密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:

  • Amazon 托管式密钥 适用于 Amazon FSx — 这是默认 KMS 密钥。您无需为创建和存储 KMS 密钥支付费用,但需要支付使用费用。有关更多信息,请参阅Amazon Key Management Service 定价

  • 客户托管密钥 – 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建客户托管密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥

如果将客户托管式密钥作为您的 KMS 密钥加密和解密文件数据,您可以启用密钥轮换。启用密钥轮换后,每年 Amazon KMS 自动轮换密钥一次。此外,对于客户托管密钥,您可以随时选择何时禁用、重新启用、删除或撤销您客户托管密钥的访问权限。

重要

Amazon FSx 仅接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。

Amazon FSx 的关键政策 Amazon KMS

密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用 Amazon KMS中的密钥政策。以下列表描述了 Amazon FSx 针对静态加密文件系统支持的所有 Amazon KMS相关权限:

  • kms:Encrypt –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。

  • kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms: ReEncrypt —(可选)使用新的 KMS 密钥加密服务器端的数据,而不会在客户端暴露数据的明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms: GenerateDataKeyWithoutPlaintext —(必填)返回使用 KMS 密钥加密的数据加密密钥。此权限包含在 k ms: GenerateDataKey * 下的默认密钥策略中。

  • km CreateGrant s: —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用授权。该权限包含在默认密钥策略中。

  • kms: DescribeKey —(必填)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。

  • km ListAliases s: —(可选)列出账户中的所有密钥别名。在使用控制台创建加密文件系统时,该权限将填充列表以选择 KMS 密钥。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。