本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon FSx for Lustre 中的数据加密
<a name="encryption-fsxl"></a>

Amazon FSx for Lustre 支持两种形式的文件系统加密：静态数据加密和传输中加密。创建 Amazon FSx 文件系统时，系统会自动启用静态数据加密。当您从支持此功能的 [Amazon EC2 实例](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)访问 Amazon FSx 文件系统时，系统会自动启用传输中数据加密功能。

## 何时使用加密
<a name="whenencrypt"></a>

如果您组织的公司或监管策略要求静态加密数据和元数据，我们建议您创建加密的文件系统并挂载使用传输中数据加密的文件系统。

有关使用控制台创建静态加密文件系统的更多信息，请参阅创建 [Amazon FSx for Lustre 文件系统](getting-started.md#getting-started-step1)。

**Topics**
+ [

## 何时使用加密
](#whenencrypt)
+ [

# 加密静态数据
](encryption-at-rest.md)
+ [

# 加密传输中数据
](encryption-in-transit-fsxl.md)

# 加密静态数据
<a name="encryption-at-rest"></a>

通过 Amazon Web Services 管理控制台、Amazon CLI 或者以编程方式通过 Amazon FSx API 或某个 Amazon SDK 创建 Amazon FSx for Lustre 文件系统时，系统会自动启用静态数据加密。您的组织可能要求加密符合特定分类条件的所有数据，或者加密与特定应用程序、工作负载或环境关联的所有数据。如果创建持久性文件系统，则可以指定用于加密数据的 Amazon KMS 密钥。如果创建临时文件系统，则会使用 Amazon FSx 管理的密钥对数据进行加密。有关使用控制台创建静态加密文件系统的更多信息，请参阅创建 [Amazon FSx for Lustre 文件系统](getting-started.md#getting-started-step1)。

**注意**  
Amazon 密钥管理基础设施使用联邦信息处理标准（FIPS）140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院（NIST）800-57 建议。

有关 FSx for Lustre 如何使用 Amazon KMS 的更多信息，请参阅[Amazon FSx for Lustre 如何使用 Amazon KMS](#FSXKMS)。

## 静态加密的工作方式
<a name="howencrypt"></a>

在加密的文件系统中，在将数据和元数据写入到文件系统之前，将自动对其进行加密。同样，在读取数据和元数据时，在将其提供给应用程序之前，将自动对其进行解密。这些过程是 Amazon FSx for Lustre 透明处理的，因此，您不必修改您的应用程序。

Amazon FSx for Lustre 使用行业标准 AES-256 加密算法对静态文件系统数据进行加密。有关更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[加密基础知识](https://docs.amazonaws.cn/kms/latest/developerguide/crypto-intro.html)。

## Amazon FSx for Lustre 如何使用 Amazon KMS
<a name="FSXKMS"></a>

 Amazon FSx for Lustre 会在数据写入文件系统前自动加密，并在读取数据时自动解密。数据使用 XTS-AES-256 数据块密码进行加密。FSx for Lustre 的所有临时文件系统均使用 Amazon KMS 管理的密钥静态加密。Amazon FSx for Lustre 集成 Amazon KMS 进行密钥管理。用于静态加密临时文件系统的密钥在每个文件系统中都是唯一的，并在文件系统删除后销毁。对于持久性文件系统，可以选择用于加密和解密数据的 KMS 密钥。在创建持久性文件系统时指定要使用的密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一：
+ **适用于 Amazon FSx 的 Amazon 托管式密钥** – 这是默认 KMS 密钥。您无需为创建和存储 KMS 密钥支付费用，但需要支付使用费用。有关更多信息，请参阅[Amazon Key Management Service定价](https://www.amazonaws.cn/kms/pricing/)。
+ **客户托管密钥** – 这是使用最灵活的 KMS 密钥，因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建客户托管式密钥的更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[创建密钥](https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html)。

如果将客户托管式密钥作为您的 KMS 密钥加密和解密文件数据，您可以启用密钥轮换。在启用密钥轮换时，Amazon KMS 自动每年轮换一次您的密钥。此外，对于客户托管密钥，您可以随时选择何时禁用、重新启用、删除或撤销您客户托管密钥的访问权限。

**重要**  
Amazon FSx 仅接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。

### Amazon KMS 的 Amazon FSx 密钥政策
<a name="FSxKMSPolicy"></a>

密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[使用 Amazon KMS 中的密钥政策](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html)。以下列表描述了 Amazon FSx 针对静态加密文件系统支持的所有 Amazon KMS 相关权限：
+ **kms:Encrypt** –（可选）将明文加密为加密文字。该权限包含在默认密钥策略中。
+ **kms:Decrypt** –（必需）解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
+ **kms:ReEncrypt** –（可选）使用新的 KMS 密钥加密服务器端的数据，而不公开客户端的数据明文。将先解密数据，然后重新加密。该权限包含在默认密钥策略中。
+ **kms:GenerateDataKeyWithoutPlaintext** –（必需）返回在 KMS 密钥下加密的数据加密密钥。该权限包含在默认密钥政策中的 **kms:GenerateDataKey\$1** 下面。
+ **kms:CreateGrant** –（必需）为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥政策的替代权限机制。有关授权的更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[使用授权](https://docs.amazonaws.cn/kms/latest/developerguide/grants.html)。该权限包含在默认密钥策略中。
+ **kms:DescribeKey** –（必需）提供有关所指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
+ **kms:ListAliases** –（可选）列出账户中的所有密钥别名。在使用控制台创建加密文件系统时，该权限将填充列表以选择 KMS 密钥。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。

# 加密传输中数据
<a name="encryption-in-transit-fsxl"></a>

从支持传输中加密的 Amazon EC2 实例访问文件系统时，Scratch 2 和持久性文件系统会自动对传输中数据进行加密，同时也对文件系统内的主机之间的所有通信加密。要了解哪些 EC2 实例支持传输中加密，请参阅*《Amazon EC2 用户指南》*中的[传输中加密](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)。