本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用 Amazon EFS建立加密的檔案系統。Amazon EFS支援兩種形式的檔案系統加密、傳輸中加密和靜態加密。您需要執行的任何金鑰管理僅與靜態加密有關。Amazon EFS會自動管理傳輸中加密的金鑰。
如果您建立了使用靜態加密的檔案系統,則資料和中繼資料都會使用靜態加密。Amazon EFS使用 AWS Key Management Service (AWS KMS) 進行金鑰管理。當您使用靜態加密建立檔案系統時,指定 AWS KMS key。KMS 金鑰可以是 aws/elasticfilesystem
(適用於 Amazon AWS 受管金鑰 的 EFS),也可以是您管理的客戶受管金鑰。
檔案資料—檔案的內容—會使用您在建立檔案系統時指定的KMS金鑰靜態加密。中繼資料:檔案名稱、目錄名稱和目錄內容:使用 Amazon EFS管理的金鑰加密。
EFS AWS 受管金鑰 用於檔案系統的 是用來加密檔案系統中中繼資料的KMS金鑰,例如檔案名稱、目錄名稱和目錄內容。您擁有用於靜態加密檔案資料 (檔案的內容) 的用戶管理金鑰。
您可以管理誰可以存取您的KMS金鑰和加密檔案系統的內容。此存取權由 AWS Identity and Access Management (IAM) 政策和 控制 AWS KMS。IAM 政策控制使用者對 Amazon EFS API action. AWS KMS key 政策的存取,控制使用者對您在建立檔案系統時所指定KMS金鑰的存取。如需詳細資訊,請參閱下列內容:
-
IAM 使用者指南中的IAM使用者
-
AWS Key Management Service 開發人員指南中的 中的關鍵政策 AWS KMS
-
AWS Key Management Service 開發人員指南 中的 授予 AWS KMS。
身為金鑰管理員,您可以匯入外部金鑰。您也可以透過啟用、停用或刪除來修改金鑰。您指定的KMS金鑰狀態 (當您建立靜態加密的檔案系統時) 會影響對其內容的存取。KMS 金鑰必須處於 enabled
狀態,使用者才能存取使用該金鑰加密之 encrypted-at-rest 檔案系統的內容。