本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
静态加密
所有 Amazon FSx 文件系统均使用使用Amazon Key Management Service (Amazon KMS) 管理密钥进行静态加密。数据在写入文件系统之前会自动加密,并在读取时自动解密。这些流程由 Amazon FSx 以透明方式处理,因此您无需修改应用程序。
Amazon FSx 使用行业标准的 AES-256 加密算法对静态的 Amazon FSx 数据和元数据进行加密。有关更多信息,请参阅Amazon Key Management Service开发者指南中的密码学基础知识。
注意
Amazon密钥管理基础架使用美国联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。
Amazon FSx 如何使用Amazon KMS
Amazon FSx 集成Amazon KMS用于密钥管理。Amazon FSxAmazon KMS key 使用加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤消对此 KMS 密钥的授权。此 KMS 密钥可以是以下两种类型之一:
-
Amazon 托管式密钥— 这是默认 KMS 密钥,可以免费使用。
-
客户管理密钥 — 这是最灵活的 KMS 密钥,因为您可以为多个用户或服务配置其密钥策略和授权。有关创建客户管理密钥的更多信息,请参阅Amazon Key Management Service开发者指南中的创建密钥。
如果您使用客户管理的密钥作为文件数据加密和解密的 KMS 密钥,则可以启用密钥轮换。在启用密钥轮换时,Amazon KMS 自动每年轮换一次您的密钥。此外,使用客户托管密钥,您可以随时选择何时禁用、重新启用、删除或撤消对您的 KMS 密钥的访问权限。有关更多信息,请参阅Amazon Key Management Service开发人员指南Amazon KMS keys中的轮换。
文件系统的加密和静态解密是透明处理的。但是,特定Amazon Web Services 账户于 Amazon FSx 的 ID 会出现在与Amazon KMS操作相关的Amazon CloudTrail日志中。
亚马逊 FsX 密钥政策Amazon KMS
密钥策略是控制对 KMS 密钥访问的主要方法。有关密钥策略的更多信息,请参阅Amazon Key Management Service开发者指南Amazon KMS中的使用密钥策略。以下列表描述了 Amazon FSx 支持的静态加密文件系统的所有Amazon KMS相关权限:
-
KMS: En crypt —(可选)将明文加密为密文。该权限包含在默认密钥策略中。
-
kms: Decrypt —(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
-
k@@ ms:ReEncrypt —(可选)使用新的 KMS 密钥加密使用新的 KMS 密钥加密使用新的 KMS 密钥加密使用新的 KMS 密钥加密使用使用新的 KMS 密钥加密使用使用新的 KMS 密钥加密 将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
-
k@@ ms:GenerateDataKeyWithoutPlaintext —(必需)返回在 KMS 密钥下加密的数据加密密钥。此权限包含在 kms:GenerateDataKey * 下的默认密钥策略中。
-
k@@ mCreateGrant s: —(必需)向密钥添加授权,以指定谁可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关授权的更多信息,请参阅《Amazon Key Management Service开发者指南》中的使用授权。该权限包含在默认密钥策略中。
-
km@@ s:DescribeKey —(必需)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
-
k@@ mListAliases s: —(可选)列出账户中的所有密钥别名。当您使用控制台创建加密文件系统时,此权限会填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。