加密靜態資料 - FSx為了光澤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密靜態資料

當您透過 AWS Management Console、或以程式設計方式透過 Amazon 或其中之一建立 Amazon FSx for Lustre 檔案系統時 AWS CLI,會自動啟用靜態資FSxAPI料加密。 AWS SDKs您的組織可能需要對符合特定分類所有資料進行加密,或是與特定應用程式、工作負載或環境相關聯。如果您建立持續性檔案系統,您可以指定用來加密資料的 AWS KMS 金鑰。如果您建立暫存檔案系統,資料會使用 Amazon 管理的金鑰加密FSx。如需有關使用主控台建立靜態加密檔案系統的詳細資訊,請參閱建立 Amazon FSx for Lustre 檔案系統。

注意

AWS 金鑰管理基礎架構使用聯邦資訊處理標準 (FIPS) 140-2 核准的加密演算法。該基礎設施符合美國國家標準與技術研究所 (NIST) 800-57 項建議。

如需 Lustre 如何使用FSx的更多資訊 AWS KMS,請參閱。Amazon 如何FSx使用光澤 AWS KMS

靜態加密的運作方式

在加密的檔案系統中,資料和中繼資料會自動加密後再寫入檔案系統。同樣地,隨著資料和中繼資料受到讀取,會自動將他們解密再顯示給應用程式。這些流程由 Amazon FSx for Lustre 透明地處理,因此您不必修改應用程式。

Amazon FSx for Lustre 使用業界標準的 AES -256 加密演算法來加密靜態檔案系統資料。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的密碼編譯基礎

Amazon 如何FSx使用光澤 AWS KMS

Amazon FSx for Lustre 會在資料寫入檔案系統之前自動加密資料,並在資料讀取時自動解密。資料會使用 XTS AES -256 區塊密碼加密。Lustre 檔案系統的所有暫存程序均使用由管理的金鑰FSx進行靜態加密。 AWS KMS Amazon FSx 的 Lustre 與金鑰管理 AWS KMS 整合。用於靜態加密暫存檔案系統的金鑰在每個檔案系統中是唯一的,並在檔案系統刪除後銷毀。對於持續性檔案系統,您可以選擇用來加密和解密資料的KMS金鑰。您可以指定建立永久性檔案系統時要使用的金鑰。您可以啟用、停用或撤銷此KMS金鑰的授權。此KMS金鑰可以是下列兩種類型之一:

  • AWS 受管金鑰 對於 Amazon FSx-這是默認KMS密鑰。您不需要為建立和儲存KMS金鑰付費,但需要支付使用費。如需詳細資訊,請參閱 AWS Key Management Service 定價

  • 客戶管理的金鑰 — 這是使用最靈活的KMS金鑰,因為您可以為多個使用者或服務設定其金鑰原則和授權。如需建立客戶受管金鑰的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的建立金鑰

如果您使用客戶管理的金鑰做為檔KMS案資料加密和解密的金鑰,您可以啟用金鑰輪替。當您啟用按鍵輪換時,每年 AWS KMS 會自動旋轉金鑰一次。此外,使用客戶受管金鑰后,您可以選擇隨時停用、重新啟用、刪除或撤銷對客戶受管金鑰的存取。

重要

Amazon 僅FSx接受對稱加密密KMS鑰。您不能在 Amazon 上使用非對稱KMS密鑰FSx。

Amazon FSx 關鍵政策 AWS KMS

金鑰原則是控制KMS金鑰存取權的主要方式。如需關鍵原則的詳細資訊,請參閱AWS Key Management Service 開發人員指南AWS KMS中的使用金鑰政策下列清單說明 Amazon FSx 針對靜態加密檔案系統支援的所有 AWS KMS與 — 相關許可:

  • kms:Encrypt:(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。

  • kms:Decrypt:(必要) 對密文進行解密。加密文字為之前已加密的純文字。此許可會納入預設的金鑰政策中。

  • kms:ReEncrypt—(可選)使用新密KMS鑰對服務器端的數據進行加密,而不會在客戶端暴露數據的純文本。資料會先解密,然後重新加密。此許可會納入預設的金鑰政策中。

  • kms: GenerateDataKeyWithoutPlaintext — (必要) 傳回以金鑰加密的資料加密金KMS鑰。此權限包含在 kms: GenerateDataKey * 下的預設金鑰原則中。

  • kms: CreateGrant — (必要) 將授權新增至金鑰,以指定誰可以使用金鑰,以及在何種情況下可以使用金鑰。授予是金鑰政策的備用許可機制。如需有關贈款的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的使用贈款此許可會納入預設的金鑰政策中。

  • kms: DescribeKey — (必要) 提供有關指定金KMS鑰的詳細資訊。此許可會納入預設的金鑰政策中。

  • kms: ListAliases — (選用) 列出帳戶中的所有金鑰別名。當您使用主控台建立加密的檔案系統時,此權限會填入清單以選取KMS金鑰。我們建議您使用此許可,以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。