本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 與 AWS Key Management Service (AWS KMS) EFS整合,以進行金鑰管理。Amazon EFS使用客戶受管金鑰,以下列方式加密您的檔案系統:
-
靜態中繼資料加密 – Amazon EFS使用 Amazon AWS 受管金鑰 的 EFS
aws/elasticfilesystem
、 加密和解密檔案系統中繼資料 (即檔案名稱、目錄名稱和目錄內容)。 -
加密靜態檔案資料:您選擇用於加密和解密檔案資料的客戶受管金鑰(也就是檔案的內容)。您可以啟用、停用或撤銷對此客戶自管金鑰的授予。此客戶受管金鑰可以是下列兩種類型之一:
-
AWS 受管金鑰 對於 Amazon EFS – 這是預設客戶受管金鑰
aws/elasticfilesystem
。客戶受管金鑰建立和儲存時不會產生費用,但使用會產生費用。如需進一步了解,請參閱 AWS Key Management Service 定價。 -
客戶受管金鑰 – 這是最靈活的KMS金鑰,因為您可以為多個使用者或服務設定其金鑰政策和授予。如需建立客戶受管金鑰的詳細資訊,請參閱 開發人員指南中的建立金鑰。 AWS Key Management Service
如果您為檔案資料加密和解密使用客戶受管金鑰,則可以啓用金鑰輪換。當您啟用金鑰輪換時, 會每年 AWS KMS 自動輪換一次金鑰。此外,使用客戶受管金鑰后,您可以選擇隨時停用、重新啟用、刪除或撤銷對客戶受管金鑰的存取。如需詳細資訊,請參閱管理加密檔案系統的存取權。
-
重要
Amazon 僅EFS接受對稱客戶受管金鑰。您無法搭配 Amazon 使用非對稱客戶受管金鑰EFS。
靜態資料加密和解密都會以透明方式處理。不過,Amazon IDs的特定 AWS 帳戶EFS會出現在與 AWS KMS 動作相關的 AWS CloudTrail 日誌中。如需詳細資訊,請參閱適用於EFS檔案系統的 Amazon 日誌 encrypted-at-rest檔項目。
的 Amazon EFS金鑰政策 AWS KMS
金鑰政策是控制對客戶受管金鑰存取的主要方式。如需關於金鑰政策的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的在 AWS KMS中使用金鑰政策。下列清單說明 Amazon EFS 用於靜態檔案系統加密所需的或以其他方式支援的所有 AWS KMS相關許可:
-
kms:Encrypt:(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。
-
kms:Decrypt:(必要) 對密文進行解密。加密文字為之前已加密的純文字。此許可會納入預設的金鑰政策中。
-
kms:ReEncrypt – (選用) 使用新的客戶受管金鑰加密伺服器端的資料,而不會公開用戶端的資料純文字。資料會先解密,然後重新加密。此許可會納入預設的金鑰政策中。
-
kms:GenerateDataKeyWithoutPlaintext – (必要) 傳回在客戶受管金鑰下加密的資料加密金鑰。此許可包含在 kms:GenerateDataKey* 下的預設金鑰政策中。
-
kms:CreateGrant – (必要) 將授予新增至金鑰,以指定誰可以使用金鑰,以及在哪些條件下使用。授予是金鑰政策的備用許可機制。如需授權的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用授權。此許可會納入預設的金鑰政策中。
-
kms:DescribeKey – (必要) 提供有關指定客戶受管金鑰的詳細資訊。此許可會納入預設的金鑰政策中。
-
kms:ListAliases – (選用) 列出 帳戶中的所有金鑰別名。當您使用主控台建立加密的檔案系統時,此許可會填入選取KMS金鑰清單。我們建議您使用此許可,以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。
AWS 受管金鑰 適用於 Amazon EFSKMS政策
適用於 AWS 受管金鑰 Amazon KMSJSON的政策EFSaws/elasticfilesystem
如下:
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}