本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密静态数据
静态加密可对 EFS 文件系统中存储的数据进行加密。这可以帮助您满足合规性要求并确保敏感数据免遭未经授权的访问。您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。
注意
Amazon 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-3 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
使用 Amazon EFS 控制台创建文件系统时,静态加密默认处于启用状态。使用 Amazon CLI、API 或 SDKs 创建文件系统时,必须明确启用加密。
创建 EFS 文件系统后,将无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。相反,您需要通过复制文件系统,将数据从未加密的文件系统复制到新的加密文件系统。有关更多信息,请参阅如何为现有 EFS 文件系统启用静态加密?
静态加密的工作方式
在加密文件系统中,默认情况下,数据和元数据在写入存储之前会进行加密,并在读取时自动解密。这些过程是 Amazon EFS 以透明方式处理的,因此,您无需修改您的应用程序。
Amazon EFS Amazon KMS 用于密钥管理,如下所示:
-
文件数据加密 - 使用您指定的 KMS 密钥对文件内容进行加密。您可以指定:
-
Amazon 拥有的密钥 适用于 Amazon EFS (
aws/elasticfilesystem) 的 “默认” 选项,不收取额外费用。 -
您创建和管理的客户托管密钥 - 提供额外的控制和审计功能。
-
-
元数据加密 - 文件名、目录名和目录内容是使用 Amazon EFS 在内部管理的密钥加密的。
加密过程
在创建文件系统或将某个文件系统复制到同一账户下的另一个文件系统时,Amazon EFS 使用转发访问会话(FAS),通过调用者凭证进行 KMS 调用。在 CloudTrail 日志中,kms:CreateGrant调用似乎是由创建文件系统或复制的相同用户身份进行的。您可以 CloudTrail 通过查找带有值的invokedBy字段来识别 Amazon EFS 服务调用elasticfilesystem.amazonaws.com。KMS 密钥上的资源策略必须支持 FAS 执行 CreateGrant 操作以发起调用。
重要
您可以管理对授权的控制权,并且可以随时撤销授权。撤销授权后,Amazon EFS 将无法在后续操作中访问该 KMS 密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的停用和撤销授权。
使用客户托管的 KMS 密钥时,资源策略还必须支持 Amazon EFS 服务主体,并包括 kms:ViaService 条件来限制访问特定服务端点。例如:
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com"
Amazon EFS 使用行业标准 AES-256 加密算法来以静态方式加密数据和元数据。
有关适用于 Amazon EFS 的 KMS 密钥策略的更多信息,请参阅使用 Amazon EFS 的 Amazon KMS 密钥。
对新文件系统强制执行静态加密
您可以在基于 Amazon Identity and Access Management (IAM)身份的策略中使用 elasticfilesystem:Encrypted IAM 条件键,来在用户创建 EFS 文件系统时强制执行静态创建。有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统。
您还可以在内部定义服务控制策略 (SCPs), Amazon Organizations 对组织 Amazon Web Services 账户 中的所有人强制执行 Amazon EFS 加密。有关中服务控制策略的更多信息 Amazon Organizations,请参阅《Amazon Organizations 用户指南》中的服务控制策略。