静态加密 - Amazon FSx for Windows File Server
Amazon FSx 如何使用 AWS KMSAWS KMS 的 Amazon FSx 密钥策略
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

静态加密

全部 Amazon FSx 文件系统在静止时加密,使用管理密钥 AWS Key Management Service (人AWS KMS)。数据写入文件系统前自动加密,读取时自动解密。这些过程是 Amazon FSx 透明处理的,因此,您不必修改您的应用程序。

Amazon FSx 使用行业标准的AES-256加密算法来加密 Amazon FSx 静态数据和元数据。有关更多信息,请参阅 https://docs.amazonaws.cn/kms/latest/developerguide/crypto-intro.html 中的AWS Key Management Service Developer Guide加密基础知识

注意

AWS 密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。

Amazon FSx 如何使用 AWS KMS

Amazon FSx 与集成 AWS KMS 密钥管理。 Amazon FSx 使用客户主密钥(CMK)加密文件系统。您可以选择用于加密和解密文件系统(数据和元数据)的CMK。您可以启用、禁用或撤销对该 CMK 的授权。该 CMK 可以是以下两种类型之一:

  • AWS 托管 CMK – 这是默认 CMK,并且可以免费使用。

  • 客户托管 CMK – 这是使用最灵活的主密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建CMK的更多信息,请参阅 创建密钥 AWS Key Management Service Developer Guide.

如果将客户托管 CMK 作为主密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管 CMK,您可以随时选择何时禁用、重新启用、删除或撤销您的 CMK 的访问权限。有关更多信息,请参阅 旋转客户主密钥 AWS Key Management Service Developer Guide.

文件系统静态加密和解密透明处理。但是,Amazon FSx 特定的 AWS 账户 ID 显示在与 AWS KMS 操作相关的 AWS CloudTrail 日志中。

AWS KMS 的 Amazon FSx 密钥策略

密钥策略是控制对 CMK 访问的主要方法。有关关键政策的更多信息,请参阅 在AWSKMS中使用关键策略AWS Key Management Service Developer Guide。 以下列表描述了所有 AWS KMS-支持的相关权限 Amazon FSx 用于静态加密文件系统:

  • kms:Encrypt –(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms:ReEncrypt –(可选)使用新的客户主密钥 (CMK) 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms:GenerateDataKeyWithoutPlaintext –(必需)返回根据 CMK 加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。

  • kms:CreateGrant –(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关补助的更多信息,请参阅 使用赠予股份AWS Key Management Service Developer Guide. 该权限包含在默认密钥策略中。

  • kms:DescribeKey –(必需)提供有关指定的客户主密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases –(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充选择 KMS 主密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。