静态加密 - FSx适用于 Windows 文件服务器的亚马逊

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

所有 Amazon FSx 文件系统都使用 AWS Key Management Service (AWS KMS)管理的密钥进行静态加密。数据在写入文件系统前会自动加密,并在读取时自动解密。这些过程由 Amazon FSx 透明地处理,因此,您不必修改您的应用程序。

Amazon FSx 使用行业标准 AES-256 加密算法对静态 Amazon FSx 数据和元数据进行加密。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的加密基础知识

注意

AWS 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。

亚马逊 FSx 是如何使用的 AWS KMS

Amazon FSx 与集成, AWS KMS 用于密钥管理。Amazon FSx 使用 AWS KMS key 来加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:

  • AWS 托管式密钥 – 这是默认 KMS 密钥,可以免费使用。

  • 客户托管密钥 – 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建客户托管密钥的更多信息,请参阅 AWS Key Management Service 开发人员指南中的创建密钥

如果将客户托管式密钥作为您的 KMS 密钥加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时, AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管式密钥,您可以随时选择何时禁用、重新启用、删除或撤销您的 KMS 密钥访问权限。有关更多信息,请参阅《 AWS Key Management Service 开发人员指南》 AWS KMS keys中的轮换

文件系统静态加密和解密是透明处理的。但是,特定于 Amazon FSx 的 AWS 账户 ID 会出现在与 AWS CloudTrail 操作相关的 AWS KMS 日志中。

Amazon FSx 的关键政策 AWS KMS

密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的使用 AWS KMS中的密钥政策。以下列表描述了 Amazon FSx 为静态加密文件系统支持的所有 AWS KMS相关权限:

  • kms:Encrypt –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。

  • kms:Decrypt –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms: ReEncrypt —(可选)使用新的 KMS 密钥加密服务器端的数据,而不会在客户端暴露数据的明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms: GenerateDataKeyWithoutPlaintext —(必填)返回使用 KMS 密钥加密的数据加密密钥。此权限包含在 k ms: GenerateDataKey * 下的默认密钥策略中。

  • km CreateGrant s: —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的使用授权。该权限包含在默认密钥策略中。

  • kms: DescribeKey —(必填)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。

  • km ListAliases s: —(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。