本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密静态数据
静态加密可加密存储在 EFS 文件系统中的数据。这可以帮助您满足合规性要求并保护敏感数据免遭未经授权的访问。您的组织可能需要对符合特定分类或与特定应用程序、工作负载或环境关联的所有数据进行加密。
注意
Amazon 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-3 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
使用 Amazon EFS 控制台创建文件系统时,默认启用静态加密。使用 Amazon CLI、API 或 SDKs 创建文件系统时,必须明确启用加密。
创建 EFS 文件系统后,您无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。而是复制文件系统,将数据从未加密的文件系统复制到新的加密文件系统。有关更多信息,请参阅如何为现有 EFS 文件系统开启静态加密?
静态加密的工作方式
在加密文件系统中,默认情况下,数据和元数据在写入存储之前会进行加密,并在读取时自动解密。这些流程由 Amazon EFS 透明地处理,因此您无需修改应用程序。
Amazon EFS Amazon KMS 用于密钥管理,如下所示:
-
文件数据加密-使用您指定的 KMS 密钥对文件内容进行加密。这可以是:
-
Amazon 拥有的密钥 适用于 Amazon EFS (
aws/elasticfilesystem) 的 “默认” 选项,不收取额外费用。 -
您创建和管理的客户托管密钥-提供额外的控制和审计功能。
-
-
元数据加密-文件名、目录名和目录内容使用 Amazon EFS 内部管理的密钥进行加密。
加密过程
在同一账户中创建文件系统或将其复制到文件系统时,Amazon EFS 使用转发访问会话 (FAS),使用调用者的证书进行 KMS 调用。在 CloudTrail 日志中,kms:CreateGrant调用似乎是由创建文件系统或复制的相同用户身份进行的。您可以 CloudTrail 通过查找带有值的invokedBy字段来识别 Amazon EFS 服务调用elasticfilesystem.amazonaws.com。KMS 密钥上的资源策略必须允许 FAS 进行呼叫的CreateGrant操作。
重要
您可以管理对授予的控制权,并且可以随时撤销授权。撤销该授权会阻止 Amazon EFS 访问 KMS 密钥以供将来的操作使用。有关更多信息,请参阅《Amazon Key Management Service 开发者指南》中的停用和撤销授权。 。
使用客户托管的 KMS 密钥时,资源策略还必须允许 Amazon EFS 服务主体,并包括限制访问特定服务终端节点的kms:ViaService条件。例如:
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com"
Amazon EFS 使用行业标准的 AES-256 加密算法对静态数据和元数据进行加密。
有关 Amazon EFS 的 KMS 密钥策略的更多信息,请参阅使用 Amazon EFS 的 Amazon KMS 密钥。
对新文件系统强制执行静态加密
当用户创建 EFS 文件系统时,您可以使用 Amazon Identity and Access Management (IAM) 基于身份的策略中的 IAM 条件密钥强制执行静态创建。elasticfilesystem:Encrypted有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统。
您还可以在内部定义服务控制策略 (SCPs), Amazon Organizations 对组织 Amazon Web Services 账户 中的所有人强制执行 Amazon EFS 加密。有关中服务控制策略的更多信息 Amazon Organizations,请参阅《Amazon Organizations 用户指南》中的服务控制策略。