本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 静态数据加密
<a name="encryption-at-rest"></a>

所有 Amazon FSx f NetApp or ONTAP 文件系统和备份都使用使用 Amazon Key Management Service (Amazon KMS) 管理的密钥进行静态加密。数据在写入文件系统前会自动加密，并在读取时自动解密。所有备份都会在创建时自动加密，并在备份恢复到新卷时自动解密。这些流程由 Amazon 透明处理 FSx，因此您无需修改应用程序。

亚马逊 FSx 使用行业标准的 AES-256 加密算法对静态的亚马逊 FSx 数据和元数据进行加密。有关更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[加密基础知识](https://docs.amazonaws.cn/kms/latest/developerguide/crypto-intro.html)。

**注意**  
 Amazon 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院（NIST）800-57 建议。

## 亚马逊如何 FSx 使用 Amazon KMS
<a name="EFSKMS"></a>

Amazon 与 Amazon KMS 之 FSx 集成，用于密钥管理。Amazon FSx 使用 KMS 密钥来加密您的文件系统和任何卷备份。您可以选择用于加密和解密文件系统及卷备份（包括数据和元数据）的 KMS 密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一：
+ **Amazon托管 KMS 密钥** – 这是默认 KMS 密钥，可以免费使用。
+ **客户托管 KMS 密钥** – 这是使用最灵活的 KMS 密钥，因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建 KMS 密钥的更多信息，请参阅* Amazon Key Management Service 开发人员指南*中的[创建密钥](https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html)。

**重要**  
Amazon 仅 FSx 接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。

如果将客户托管式密钥作为您的 KMS 密钥进行文件数据加密和解密，您可以启用密钥轮换。在启用密钥轮换时， Amazon KMS 自动每年轮换一次您的密钥。此外，对于客户托管式 KMS 密钥，您可以随时选择何时禁用、重新启用、删除或撤销您的 KMS 密钥访问权限。有关更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[轮换 Amazon KMS keys](https://docs.amazonaws.cn/kms/latest/developerguide/rotate-keys.html)以及[启用和禁用密钥](https://docs.amazonaws.cn/kms/latest/developerguide/enabling-keys.html)。

## Amazon 的 FSx 密钥政策 Amazon KMS
<a name="FSxKMSPolicy"></a>

密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[使用 Amazon KMS中的密钥政策](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html)。以下列表描述了 Amazon FSx 为静态加密文件系统和备份支持的所有 Amazon KMS相关权限：
+ **kms:Encrypt** –（可选）将明文加密为加密文字。该权限包含在默认密钥策略中。
+ **kms:Decrypt** –（必需）解密加密文字。加密文字是以前加密的明文。该权限包含在默认密钥策略中。
+ **kms: ReEncrypt** —（可选）使用新的加密服务器端的数据 Amazon KMS key，而不会在客户端暴露数据的纯文本。将先解密数据，然后重新加密。该权限包含在默认密钥策略中。
+ **kms: GenerateDataKeyWithoutPlaintext** —（必填）返回使用 KMS 密钥加密的数据加密密钥。此权限包含在 k **ms: GenerateDataKey \$1** 下的默认密钥策略中。
+ **km CreateGrant s:** —（必填）向密钥添加授权，以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[使用授权](https://docs.amazonaws.cn/kms/latest/developerguide/grants.html)。该权限包含在默认密钥策略中。
+ **kms: DescribeKey** —（必填）提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
+ **km ListAliases s:** —（可选）列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时，该权限将填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。