本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密静态数据
静态加密可对 EFS 文件系统中存储的数据进行加密。这可以帮助您满足合规性要求并确保敏感数据免遭未经授权的访问。您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。
注意
Amazon 密钥管理基础设施使用联邦信息处理标准(FIPS)140-3 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
使用 Amazon EFS 控制台创建文件系统时,静态加密默认处于启用状态。使用 Amazon CLI、API 或 SDK 创建文件系统时,必须明确启用加密功能。
创建 EFS 文件系统后,将无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。相反,您需要通过复制文件系统,将数据从未加密的文件系统复制到新的加密文件系统。有关更多信息,请参阅如何为现有 EFS 文件系统启用静态加密?
静态加密的工作方式
在加密文件系统中,默认情况下,数据和元数据在写入存储之前会进行加密,并在读取时自动解密。这些过程是 Amazon EFS 以透明方式处理的,因此,您无需修改您的应用程序。
Amazon EFS 使用 Amazon KMS 进行密钥管理,如下所示:
-
文件数据加密 - 使用您指定的 KMS 密钥对文件内容进行加密。您可以指定:
-
适用于 Amazon EFS(
aws/elasticfilesystem)的 Amazon 拥有的密钥 - 默认选项,不收取额外费用。 -
您创建和管理的客户托管密钥 - 提供额外的控制和审计功能。
-
-
元数据加密 - 文件名、目录名和目录内容是使用 Amazon EFS 在内部管理的密钥加密的。
加密过程
在创建文件系统或将某个文件系统复制到同一账户下的另一个文件系统时,Amazon EFS 使用转发访问会话(FAS),通过调用者凭证进行 KMS 调用。在 CloudTrail 日志中,似乎是创建了文件系统或复制的相同用户身份执行了 kms:CreateGrant 调用。可以通过查找值为 elasticfilesystem.amazonaws.com 的 invokedBy 字段,来识别 CloudTrail 中的 Amazon EFS 服务调用。KMS 密钥上的资源策略必须支持 FAS 执行 CreateGrant 操作以发起调用。
重要
您可以管理对授权的控制权,并且可以随时撤销授权。撤销授权后,Amazon EFS 将无法在后续操作中访问该 KMS 密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的停用和撤销授权。
使用客户托管的 KMS 密钥时,资源策略还必须支持 Amazon EFS 服务主体,并包括 kms:ViaService 条件来限制访问特定服务端点。例如:
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com"
Amazon EFS 使用行业标准 AES-256 加密算法来以静态方式加密数据和元数据。
有关适用于 Amazon EFS 的 KMS 密钥策略的更多信息,请参阅对 Amazon EFS 使用 Amazon KMS 密钥。
对新文件系统强制执行静态加密
您可以在基于 Amazon Identity and Access Management(IAM)身份的策略中使用 elasticfilesystem:Encrypted IAM 条件键,来在用户创建 EFS 文件系统时强制执行静态创建。有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统。
您还可以在 Amazon Organizations 内部定义服务控制策略(SCP),以便对组织中的所有 Amazon Web Services 账户强制执行 Amazon EFS 加密。有关 Amazon Organizations 中的服务控制策略的更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略。