選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

AWS KMS

焦點模式

在本頁面

AWS KMS - Amazon Elastic File System

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 與 AWS Key Management Service (AWS KMS) EFS整合,以進行金鑰管理。Amazon EFS使用客戶受管金鑰,以下列方式加密您的檔案系統:

  • 靜態中繼資料加密 – Amazon EFS使用 Amazon AWS 受管金鑰 的 EFSaws/elasticfilesystem、 加密和解密檔案系統中繼資料 (即檔案名稱、目錄名稱和目錄內容)。

  • 加密靜態檔案資料:您選擇用於加密和解密檔案資料的客戶受管金鑰(也就是檔案的內容)。您可以啟用、停用或撤銷對此客戶自管金鑰的授予。此客戶受管金鑰可以是下列兩種類型之一:

    • AWS 受管金鑰 對於 Amazon EFS – 這是預設客戶受管金鑰 aws/elasticfilesystem。客戶受管金鑰建立和儲存時不會產生費用,但使用會產生費用。如需進一步了解,請參閱 AWS Key Management Service 定價

    • 客戶受管金鑰 – 這是最靈活的KMS金鑰,因為您可以為多個使用者或服務設定其金鑰政策和授予。如需建立客戶受管金鑰的詳細資訊,請參閱 開發人員指南中的建立金鑰 AWS Key Management Service

      如果您為檔案資料加密和解密使用客戶受管金鑰,則可以啓用金鑰輪換。當您啟用金鑰輪換時, 會每年 AWS KMS 自動輪換一次金鑰。此外,使用客戶受管金鑰后,您可以選擇隨時停用、重新啟用、刪除或撤銷對客戶受管金鑰的存取。如需詳細資訊,請參閱管理加密檔案系統的存取權

重要

Amazon 僅EFS接受對稱客戶受管金鑰。您無法搭配 Amazon 使用非對稱客戶受管金鑰EFS。

靜態資料加密和解密都會以透明方式處理。不過,Amazon IDs的特定 AWS 帳戶EFS會出現在與 AWS KMS 動作相關的 AWS CloudTrail 日誌中。如需詳細資訊,請參閱適用於EFS檔案系統的 Amazon 日誌 encrypted-at-rest檔項目

的 Amazon EFS金鑰政策 AWS KMS

金鑰政策是控制對客戶受管金鑰存取的主要方式。如需關於金鑰政策的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的在 AWS KMS中使用金鑰政策。下列清單說明 Amazon EFS 用於靜態檔案系統加密所需的或以其他方式支援的所有 AWS KMS相關許可:

  • kms:Encrypt:(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。

  • kms:Decrypt:(必要) 對密文進行解密。加密文字為之前已加密的純文字。此許可會納入預設的金鑰政策中。

  • kms:ReEncrypt – (選用) 使用新的客戶受管金鑰加密伺服器端的資料,而不會公開用戶端的資料純文字。資料會先解密,然後重新加密。此許可會納入預設的金鑰政策中。

  • kms:GenerateDataKeyWithoutPlaintext – (必要) 傳回在客戶受管金鑰下加密的資料加密金鑰。此許可包含在 kms:GenerateDataKey* 下的預設金鑰政策中。

  • kms:CreateGrant – (必要) 將授予新增至金鑰,以指定誰可以使用金鑰,以及在哪些條件下使用。授予是金鑰政策的備用許可機制。如需授權的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用授權。此許可會納入預設的金鑰政策中。

  • kms:DescribeKey – (必要) 提供有關指定客戶受管金鑰的詳細資訊。此許可會納入預設的金鑰政策中。

  • kms:ListAliases – (選用) 列出 帳戶中的所有金鑰別名。當您使用主控台建立加密的檔案系統時,此許可會填入選取KMS金鑰清單。我們建議您使用此許可,以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。

AWS 受管金鑰 適用於 Amazon EFSKMS政策

適用於 AWS 受管金鑰 Amazon KMSJSON的政策EFSaws/elasticfilesystem如下:

{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }

下一個主題:

加密靜態資料

上一個主題:

加密資料
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。