本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
透過 Amazon EFS,您可以建立加密檔案系統。Amazon EFS 支援兩種形式的檔案系統加密、傳輸中加密和靜態加密。您需要執行的任何金鑰管理僅與靜態加密有關。Amazon EFS 將自動在傳輸中為您管理加密金鑰。
如果您建立了使用靜態加密的檔案系統,則資料和中繼資料都會使用靜態加密。Amazon EFS 使用 AWS Key Management Service (AWS KMS) 進行金鑰管理。當您使用靜態加密建立檔案系統時,指定 AWS KMS key。KMS 金鑰可以是 aws/elasticfilesystem(適用於 Amazon EFS AWS 受管金鑰 的 ),也可以是您管理的客戶受管金鑰。
檔案資料 (檔案內容) 是使用您在建立檔案系統時指定的 KMS 金鑰進行靜態加密。中繼資料 (檔案名稱、目錄名稱和目錄內容) 是由 Amazon EFS 管理的金鑰進行加密。
檔案系統的 EFS AWS 受管金鑰 會用作 KMS 金鑰,用於加密檔案系統中的中繼資料,例如檔案名稱、目錄名稱和目錄內容。您擁有用於靜態加密檔案資料 (檔案的內容) 的用戶管理金鑰。
您可以管理存取您的 KMS 金鑰以及加密檔案系統內容的人選。此存取由 AWS Identity and Access Management (IAM) 政策和 控制 AWS KMS。IAM 政策可控制使用者對 Amazon EFS API action 的存取。 AWS KMS 金鑰政策可控制使用者對您在建立檔案系統時所指定 KMS 金鑰的存取。如需詳細資訊,請參閱下列內容:
-
《IAM 使用者指南》中的 IAM 使用者
-
《 AWS Key Management Service 開發人員指南》中的 中的金鑰政策 AWS KMS
-
《 AWS Key Management Service 開發人員指南》中的 中的授予 AWS KMS。
身為金鑰管理員,您可以匯入外部金鑰。您也可以透過啟用、停用或刪除來修改金鑰。您指定的 KMS 金鑰狀態 (當您使用靜態加密建立檔案系統時) 會影響對其內容的存取權。KMS 金鑰必須為 enabled 狀態,以供使用者存取靜態加密檔案系統 (使用金鑰加密) 的內容。
