本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

加密靜態資料

當您透過 AWS Management Console、 或以程式設計方式透過 Amazon FSxAPI或其中一個 建立 Amazon FSx for Lustre 檔案系統時 AWS CLI，會自動啟用靜態資料加密 AWS SDKs。您的組織可能需要對符合特定分類所有資料進行加密，或是與特定應用程式、工作負載或環境相關聯。如果您建立持久性檔案系統，您可以指定用來加密資料的 AWS KMS 金鑰。如果您建立暫存檔案系統，則會使用 Amazon 管理的金鑰加密資料FSx。如需使用主控台建立靜態加密檔案系統的詳細資訊，請參閱建立 Amazon FSx for Lustre 檔案系統 。

如需 FSx 適用於 Lustre 如何使用 的詳細資訊 AWS KMS，請參閱 Amazon FSx for Lustre 的使用方式 AWS KMS。

靜態加密的運作方式

在加密的檔案系統中，資料和中繼資料會自動加密後再寫入檔案系統。同樣地，隨著資料和中繼資料受到讀取，會自動將他們解密再顯示給應用程式。這些程序由 Amazon FSx for Lustre 透明處理，因此您不需要修改應用程式。

Amazon FSx for Lustre 使用業界標準的 AES-256 加密演算法來加密靜態檔案系統資料。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的密碼編譯基礎。

Amazon FSx for Lustre 的使用方式 AWS KMS

Amazon FSx for Lustre 會在資料寫入檔案系統之前自動加密資料，並在讀取資料時自動解密資料。使用 XTS-AES-256 區塊密碼加密資料。Lustre 檔案系統的所有暫存都會使用 管理FSx的金鑰進行靜態加密 AWS KMS。Amazon FSx for Lustre 與 整合， AWS KMS 以進行金鑰管理。用於加密靜態暫存檔案系統的金鑰，對於每個檔案系統都是唯一的，並在刪除檔案系統後銷毀。對於持久性檔案系統，您可以選擇用來加密和解密資料的KMS金鑰。您可以指定建立持久性檔案系統時要使用的金鑰。您可以在此KMS金鑰上啟用、停用或撤銷授予。此KMS金鑰可以是下列兩種類型之一：

如果您使用客戶受管金鑰作為檔案資料加密和解密的KMS金鑰，則可以啟用金鑰輪換。當您啟用金鑰輪換時， 會每年 AWS KMS 自動輪換一次金鑰。此外，使用客戶受管金鑰后，您可以選擇隨時停用、重新啟用、刪除或撤銷對客戶受管金鑰的存取。

的 Amazon FSx金鑰政策 AWS KMS

金鑰政策是控制KMS金鑰存取的主要方式。如需金鑰政策的詳細資訊，請參閱 開發人員指南中的使用金鑰政策 AWS KMS。 AWS Key Management Service 下列清單說明 Amazon 支援FSx用於靜態檔案系統加密的所有 AWS KMS相關許可：