静态数据加密
所有 Amazon FSx for NetApp ONTAP 文件系统都以使用 AWS Key Management Service(AWS KMS)托管密钥进行静态加密。数据在写入文件系统前会自动加密,并在读取时自动解密。这些过程由 Amazon FSx 透明地处理,因此,您不必修改您的应用程序。
Amazon FSx 使用行业标准 AES-256 加密算法对静态 Amazon FSx 数据和元数据进行加密。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的加密基础知识。
注意
AWS 密钥管理基础设施使用联邦信息处理标准(FIPS)140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
Amazon FSx 如何使用 AWS KMS
Amazon FSx 与 AWS KMS 集成在一起以进行密钥管理。Amazon FSx 使用 KMS 密钥来加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:
-
AWS 托管 KMS 密钥 – 这是默认 KMS 密钥,可以免费使用。
-
客户托管 KMS 密钥 – 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建 KMS 密钥的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的创建密钥。
重要
Amazon FSx 仅接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。
如果将客户托管式密钥作为您的 KMS 密钥进行文件数据加密和解密,您可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管式 KMS 密钥,您可以随时选择何时禁用、重新启用、删除或撤销您的 KMS 密钥访问权限。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的轮换 AWS KMS keys以及启用和禁用密钥。
AWS KMS 的 Amazon FSx 密钥政策
密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的使用 AWS KMS 中的密钥政策。以下列表描述了 Amazon FSx 针对静态加密文件系统支持的所有 AWS KMS 相关权限:
-
kms:Encrypt –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。
-
kms:Decrypt –(必需)解密加密文字。加密文字是以前加密的明文。该权限包含在默认密钥策略中。
-
kms:ReEncrypt –(可选)使用新的 AWS KMS key 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
-
kms:GenerateDataKeyWithoutPlaintext –(必需)返回在 KMS 密钥下加密的数据加密密钥。该权限包含在默认密钥政策中的 kms:GenerateDataKey* 下面。
-
kms:CreateGrant –(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的使用授权。该权限包含在默认密钥策略中。
-
kms:DescribeKey –(必需)提供有关所指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
-
kms:ListAliases –(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。
