加密静态数据 - Amazon Elastic File System
强制创建静态加密EFS的文件系统使用控制台静态加密文件系统静态加密的工作方式

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密静态数据

您可以使用 AWS Management Console、或通过 Amazon EFS API 或其中一个以编程方式创建加密文件系统。 AWS CLI AWS SDKs您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。

创建EFS文件系统后,就无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。您需要创建一个新的加密文件系统。

注意

AWS 密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究所 (NIST) 800-57 的建议。

强制创建静态加密EFS的文件系统

您可以使用 AWS Identity and Access Management (IAM) 基于身份的策略中的elasticfilesystem:EncryptedIAM条件密钥来控制用户是否可以创建静态加密的 Amazon EFS 文件系统。有关使用此条件键的更多信息,请参阅示例:强制创建加密文件系统

您还可以在内部定义服务控制策略 (SCPs) AWS Organizations ,以强制对组织中的所有 AWS 账户人进行EFS加密。有关中服务控制策略的更多信息 AWS Organizations,请参阅《AWS Organizations 用户指南》中的服务控制策略

使用控制台静态加密文件系统

当您使用 Amazon EFS 控制台创建新文件系统时,默认情况下会启用静态加密。

注意

使用 AWS CLI、API和创建新文件系统时,默认情况下不启用静态加密SDKs。有关更多信息,请参阅 创建文件系统 (AWS CLI)

静态加密的工作方式

在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。这些流程由 Amazon 透明处理EFS,因此您无需修改您的应用程序。

Amazon EFS 使用行业标准的 AES -256 加密算法对静态EFS数据和元数据进行加密。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的加密基础知识