如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
静态加密
全部 Amazon FSx 文件系统在静止时加密,使用管理密钥 AWS Key Management Service (人AWS KMS)。数据写入文件系统前自动加密,读取时自动解密。这些过程是 Amazon FSx 透明处理的,因此,您不必修改您的应用程序。
Amazon FSx 使用行业标准的AES-256加密算法来加密 Amazon FSx 静态数据和元数据。有关更多信息,请参阅 https://docs.amazonaws.cn/kms/latest/developerguide/crypto-intro.html 中的AWS Key Management Service Developer Guide加密基础知识。
AWS 密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。
Amazon FSx 如何使用 AWS KMS
Amazon FSx 与集成 AWS KMS 密钥管理。 Amazon FSx 使用客户主密钥(CMK)加密文件系统。您可以选择用于加密和解密文件系统(数据和元数据)的CMK。您可以启用、禁用或撤销对该 CMK 的授权。该 CMK 可以是以下两种类型之一:
-
AWS 托管 CMK – 这是默认 CMK,并且可以免费使用。
-
客户托管 CMK – 这是使用最灵活的主密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建CMK的更多信息,请参阅 创建密钥 在 AWS Key Management Service Developer Guide.
如果将客户托管 CMK 作为主密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管 CMK,您可以随时选择何时禁用、重新启用、删除或撤销您的 CMK 的访问权限。有关更多信息,请参阅 旋转客户主密钥 在 AWS Key Management Service Developer Guide.
文件系统静态加密和解密透明处理。但是,Amazon FSx 特定的 AWS 账户 ID 显示在与 AWS KMS 操作相关的 AWS CloudTrail 日志中。
AWS KMS 的 Amazon FSx 密钥策略
密钥策略是控制对 CMK 访问的主要方法。有关关键政策的更多信息,请参阅 在AWSKMS中使用关键策略 在 AWS Key Management Service Developer Guide。 以下列表描述了所有 AWS KMS-支持的相关权限 Amazon FSx 用于静态加密文件系统:
-
kms:Encrypt –(可选)将明文加密为密文。该权限包含在默认密钥策略中。
-
kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
-
kms:ReEncrypt –(可选)使用新的客户主密钥 (CMK) 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
-
kms:GenerateDataKeyWithoutPlaintext –(必需)返回根据 CMK 加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。
-
kms:CreateGrant –(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关补助的更多信息,请参阅 使用赠予股份 在 AWS Key Management Service Developer Guide. 该权限包含在默认密钥策略中。
-
kms:DescribeKey –(必需)提供有关指定的客户主密钥的详细信息。该权限包含在默认密钥策略中。
-
kms:ListAliases –(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充选择 KMS 主密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。