静态加密 - Amazon FSx for Windows File Server
如何使用 Amazon FSxAmazon KMS亚马逊 FSx 关键政策Amazon KMS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

所有 Amazon FSx 文件系统都进行静态加密,密钥使用Amazon Key Management Service(Amazon KMS)。在将数据写入到文件系统之前,将自动对其进行加密,并在读取时自动解密。这些过程是 Amazon FSx 透明处理的,因此,您不必修改您的应用程序。

Amazon FSx 使用行业标准 AES-256 加密算法静态加密 Amazon FSx 数据和元数据。有关更多信息,请参阅 。加密基础知识中的Amazon Key Management Service开发人员指南.

注意

这些区域有:Amazon密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。

如何使用 Amazon FSxAmazon KMS

Amazon FSx 与Amazon KMS对于密钥管理。Amazon FSx 使用Amazon KMS key对您的文件系统进行加密。您可以选择用于加密和解密文件系统(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤销对此 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:

  • Amazon 托管式密钥— 这是默认的 KMS 密钥,可以免费使用。

  • 客户托管密钥— 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建客户托管密钥的更多信息,请参阅创建密钥中的 Amazon Key Management Service开发人员指南.

如果将客户托管密钥作为 KMS 密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,Amazon KMS 自动每年轮换一次您的密钥。此外,使用客户托管密钥,您可以随时选择何时禁用、重新启用、删除或撤销对 KMS 密钥的访问权限。有关更多信息,请参阅 。旋转Amazon KMS keys中的 Amazon Key Management Service开发人员指南 的第一个版本。

静态文件系统加密和解密是透明处理的。但是,Amazon Web Services 账户特定于亚马逊 FSx 的 ID 会显示在您的Amazon CloudTrail相关的日志Amazon KMS行动。

亚马逊 FSx 关键政策Amazon KMS

密钥策略是控制对 KMS 密钥访问的主要方法。有关关键策略的更多信息,请参阅使用以下密钥策略Amazon KMS中的Amazon Key Management Service开发人员指南 的第一个版本。下面的列表介绍了所有Amazon KMSAmazon FSx 支持针对静态加密文件系统的相关权限:

  • kms:Encrypt—(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt—(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms:ReEncrypt—(可选)使用新的 KMS 密钥加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms:GenerateDataKeyWithout明文—(必需)返回根据 KMS 密钥加密的数据加密密钥。该权限包含在下面的默认密钥策略中kms:GenerateDataKey *.

  • kms:CreateGrant—(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关授权的更多信息,请参阅使用授权中的Amazon Key Management Service开发人员指南 的第一个版本。该权限包含在默认密钥策略中。

  • kms:DescribeKey—(必需)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases—(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。