本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用 AWS Management Console、 AWS CLI或以程式設計方式透過 Amazon EFS API 或其中一個 AWS SDKs 建立加密的檔案系統。您的組織可能需要對符合特定分類所有資料進行加密,或是與特定應用程式、工作負載或環境相關聯。
建立 EFS 檔案系統之後,您無法變更其加密設定。這表示您無法修改未加密的檔案系統,使其加密。反之,您需要建立新的加密檔案系統。
注意
AWS 金鑰管理基礎設施使用聯邦資訊處理標準 (FIPS) 140-2 核准的密碼編譯演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。
強制建立靜態加密的 EFS 檔案系統
您可以在 AWS Identity and Access Management (IAM) 身分型政策中使用 elasticfilesystem:Encrypted IAM 條件索引鍵,以控制使用者是否可以建立靜態加密的 Amazon EFS 檔案系統。如需有關使用條件索引鍵的詳細資訊,請參閱 範例:強制建立加密檔案系統。
您也可以在 中 AWS Organizations 定義服務控制政策 (SCPs),以強制執行組織中所有 AWS 帳戶的 EFS 加密。如需 中服務控制政策的詳細資訊 AWS Organizations,請參閱AWS Organizations 《 使用者指南》中的服務控制政策。
使用主控台對靜態的檔案系統進行加密
使用 Amazon EFS 主控台建立新檔案系統時,預設下會啟用靜態加密。
注意
使用 AWS CLI、API 和 SDK 建立新檔案系統時,預設下不會啟用靜態加密。如需詳細資訊,請參閱建立檔案系統 (AWS CLI)。
靜態加密的運作方式
在加密的檔案系統中,資料和中繼資料會自動加密後再寫入檔案系統。同樣地,隨著資料和中繼資料受到讀取,會自動將他們解密再顯示給應用程式。這些程序是由 Amazon EFS 以透明方式處理,因此您不必修改應用程式。
Amazon EFS 使用產業標準的 AES-256 加密演算法來靜態加密 EFS 資料和中繼資料。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的密碼編譯基礎。
