静态数据加密 - 适用于 ONTAP 的 FSx
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态数据加密

所有 Amazon FSx NetApp ONTAP 文件系统均使用使用 Amazon Key Management Service (Amazon KMS) 管理的密钥进行静态加密。数据在写入文件系统前会自动加密,并在读取时自动解密。这些流程由 Amazon 透明处理FSx,因此您无需修改您的应用程序。

Amazon FSx 使用行业标准的 AES -256 加密算法对静态的亚马逊FSx数据和元数据进行加密。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的加密基础知识

注意

Amazon 密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究所 (NIST) 800-57 的建议。

亚马逊如何FSx使用 Amazon KMS

Amazon 与 Amazon KMS 之FSx集成,用于密钥管理。Amazon FSx 使用KMS密钥来加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的密KMS钥。您可以启用、禁用或撤消对此KMS密钥的授权。此KMS密钥可以是以下两种类型之一:

  • Amazon-man KMS ag ed key — 这是默认KMS密钥,可以免费使用。

  • 客户管理的KMS密钥 — 这是使用起来最灵活的KMS密钥,因为您可以为多个用户或服务配置其密钥策略和授权。有关创建KMS密钥的更多信息,请参阅《 Amazon Key Management Service 开发者指南》中的创建密钥

重要

Amazon 仅FSx接受对称加密KMS密钥。您不能在 Amazon FSx 上使用非对称KMS密钥。

如果您使用客户管理的KMS密钥作为文件数据加密和解密的密KMS钥,则可以启用密钥轮换。在启用密钥轮换时, Amazon KMS 自动每年轮换一次您的密钥。此外,使用客户管理的KMS密钥,您可以随时选择何时禁用、重新启用、删除或撤消对KMS密钥的访问权限。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 Amazon KMS keys以及启用和禁用密钥

Amazon 的FSx密钥政策 Amazon KMS

密钥策略是控制KMS密钥访问的主要方式。有关密钥政策的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用 Amazon KMS中的密钥政策。以下列表描述了 Amazon FSx 为静态加密文件系统支持的所有 Amazon KMS相关权限:

  • kms:Encrypt –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。

  • kms:Decrypt –(必需)解密加密文字。加密文字是以前加密的明文。该权限包含在默认密钥策略中。

  • kms: ReEncrypt —(可选)使用新的加密服务器端的数据 Amazon KMS key,而不会在客户端暴露数据的纯文本。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • km GenerateDataKeyWithoutPlaintext s: —(必填)返回使用密钥加密的数据加密KMS密钥。此权限包含在 k ms: GenerateDataKey * 下的默认密钥策略中。

  • km CreateGrant s: —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用授权。该权限包含在默认密钥策略中。

  • kms: DescribeKey —(必填)提供有关指定KMS密钥的详细信息。该权限包含在默认密钥策略中。

  • km ListAliases s: —(可选)列出账户中的所有密钥别名。当您使用控制台创建加密文件系统时,此权限会填充KMS密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。