本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可以使用 Amazon EFS 创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密:传输中加密和静态加密。需要执行的任何密钥管理仅与静态加密相关。Amazon EFS 会自动管理用于传输中加密的密钥。
如果创建使用静态加密的文件系统,则会静态加密数据和元数据。Amazon EFS 使用 AWS Key Management Service (AWS KMS) 进行密钥管理。在创建使用静态加密的文件系统时,需要指定一个 AWS KMS key。KMS 密钥可以是aws/elasticfilesystem( AWS 托管式密钥 适用于 Amazon EFS),也可以是您管理的客户托管密钥。
文件数据(文件内容)是使用在创建文件系统时指定的 KMS 密钥静态加密的。元数据(文件名、目录名和目录内容)是使用 Amazon EFS 管理的密钥加密的。
文件系统的 EFS AWS 托管式密钥 用作 KMS 密钥,用于加密文件系统中的元数据,例如文件名、目录名和目录内容。您拥有用于静态加密文件数据(文件内容)的客户托管密钥。
您管理哪些用户有权访问您的 KMS 密钥以及您的加密文件系统内容。这种访问受到 AWS Identity and Access Management (IAM) 策略和策略的控制 AWS KMS。IAM 策略控制用户对 Amazon EFS API 操作的访问权限。 AWS KMS 密钥策略控制用户对您在创建文件系统时指定的 KMS 密钥的访问权限。有关更多信息,请参阅下列内容:
-
《IAM 用户指南》中的 IAM 用户
-
《AWS Key Management Service Developer Guide》中的 Key policies in AWS KMS
-
《AWS Key Management Service Developer Guide》中的 Grants in AWS KMS
作为密钥管理员,您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的 KMS 密钥的状态(在创建使用静态加密的文件系统时)影响访问其内容。KMS 密钥必须处于enabled状态,用户才能访问使用该密钥加密 encrypted-at-rest的文件系统的内容。
