本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
静态数据加密
所有 Amazon FSx NetApp ONTAP 文件系统均使用使用 Amazon Key Management Service (Amazon KMS) 管理的密钥进行静态加密。数据在写入文件系统前会自动加密,并在读取时自动解密。这些流程由 Amazon 透明处理FSx,因此您无需修改您的应用程序。
Amazon FSx 使用行业标准的 AES -256 加密算法对静态的亚马逊FSx数据和元数据进行加密。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的加密基础知识。
注意
Amazon 密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究所 (NIST) 800-57 的建议。
亚马逊如何FSx使用 Amazon KMS
Amazon 与 Amazon KMS 之FSx集成,用于密钥管理。Amazon FSx 使用KMS密钥来加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的密KMS钥。您可以启用、禁用或撤消对此KMS密钥的授权。此KMS密钥可以是以下两种类型之一:
-
Amazon-man KMS ag ed key — 这是默认KMS密钥,可以免费使用。
-
客户管理的KMS密钥 — 这是使用起来最灵活的KMS密钥,因为您可以为多个用户或服务配置其密钥策略和授权。有关创建KMS密钥的更多信息,请参阅《 Amazon Key Management Service 开发者指南》中的创建密钥。
重要
Amazon 仅FSx接受对称加密KMS密钥。您不能在 Amazon FSx 上使用非对称KMS密钥。
如果您使用客户管理的KMS密钥作为文件数据加密和解密的密KMS钥,则可以启用密钥轮换。在启用密钥轮换时, Amazon KMS 自动每年轮换一次您的密钥。此外,使用客户管理的KMS密钥,您可以随时选择何时禁用、重新启用、删除或撤消对KMS密钥的访问权限。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 Amazon KMS keys以及启用和禁用密钥。
Amazon 的FSx密钥政策 Amazon KMS
密钥策略是控制KMS密钥访问的主要方式。有关密钥政策的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用 Amazon KMS中的密钥政策。以下列表描述了 Amazon FSx 为静态加密文件系统支持的所有 Amazon KMS相关权限:
-
kms:Encrypt –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。
-
kms:Decrypt –(必需)解密加密文字。加密文字是以前加密的明文。该权限包含在默认密钥策略中。
-
kms: ReEncrypt —(可选)使用新的加密服务器端的数据 Amazon KMS key,而不会在客户端暴露数据的纯文本。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
-
km GenerateDataKeyWithoutPlaintext s: —(必填)返回使用密钥加密的数据加密KMS密钥。此权限包含在 k ms: GenerateDataKey * 下的默认密钥策略中。
-
km CreateGrant s: —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用授权。该权限包含在默认密钥策略中。
-
kms: DescribeKey —(必填)提供有关指定KMS密钥的详细信息。该权限包含在默认密钥策略中。
-
km ListAliases s: —(可选)列出账户中的所有密钥别名。当您使用控制台创建加密文件系统时,此权限会填充KMS密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。