靜態資料加密 - FSx for OnTAP
Amazon FSx 使用方式 AWS KMS的 Amazon FSx 金鑰政策 AWS KMS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

靜態資料加密

所有 Amazon FSx for NetApp ONTAP 檔案系統都會使用 () 管理 AWS Key Management Service 的金鑰進行靜態加密AWS KMS。資料會在寫入檔案系統之前自動加密,並在讀取時自動解密。這些程序由 Amazon FSx 透明處理,因此您不需要修改應用程式。

Amazon FSx 使用業界標準的 AES-256 加密演算法來加密靜態 Amazon FSx 資料和中繼資料。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的密碼編譯基礎

注意

AWS 金鑰管理基礎設施使用聯邦資訊處理標準 (FIPS) 140-2 核准的密碼編譯演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。

Amazon FSx 使用方式 AWS KMS

Amazon FSx 整合 與 AWS KMS 以進行金鑰管理。Amazon FSx 使用 KMS 金鑰來加密您的檔案系統。您可以選擇用來加密和解密檔案系統的 KMS 金鑰 (資料和中繼資料)。您可以在此 KMS 金鑰上啟用、停用或撤銷授予。此 KMS 金鑰可以是下列兩種類型之一:

  • AWS受管 KMS 金鑰 – 這是預設 KMS 金鑰,可免費使用。

  • 客戶管理的 KMS 金鑰 – 這是最靈活的 KMS 金鑰,因為您可以設定其金鑰政策和授予給多個使用者或服務。如需建立 KMS 金鑰的詳細資訊,請參閱 AWS Key Management Service 《開發人員指南》中的建立金鑰

重要

Amazon FSx 僅接受對稱加密 KMS 金鑰。您無法搭配 Amazon FSx 使用非對稱 KMS 金鑰。

如果您使用客戶管理的 KMS 金鑰做為檔案資料加密和解密的 KMS 金鑰,您可以啟用金鑰輪換。啟用金鑰輪換時, AWS KMS 每年會自動輪換金鑰一次。此外,使用客戶管理的 KMS 金鑰,您可以選擇何時停用、重新啟用、刪除或撤銷對 KMS 金鑰的存取權。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的輪換 AWS KMS keys啟用和停用金鑰

的 Amazon FSx 金鑰政策 AWS KMS

金鑰政策是控制對 KMS 金鑰之存取的主要方式。如需金鑰政策的詳細資訊,請參閱《 開發人員指南》中的在 中使用金鑰政策 AWS KMSAWS Key Management Service 下列清單說明 Amazon FSx 支援的靜態檔案系統加密所有相關 AWS KMS許可:

  • kms:Encrypt:(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。

  • kms:Decrypt:(必要) 對密文進行解密。加密文字是先前已加密的純文字。此許可會納入預設的金鑰政策中。

  • kms:ReEncrypt – (選用) 使用新的 加密伺服器端的資料 AWS KMS key,而不會公開用戶端資料的純文字。資料會先解密,然後重新加密。此許可會納入預設的金鑰政策中。

  • kms:GenerateDataKeyWithoutPlaintext – (必要) 傳回在 KMS 金鑰下加密的資料加密金鑰。此許可會納入 kms:GenerateDataKey* 下預設的金鑰政策中。

  • kms:CreateGrant:(必要) 將授予新增至金鑰,以指定誰可以使用金鑰和使用條件。授予是金鑰政策的備用許可機制。如需授權的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用授權。此許可會納入預設的金鑰政策中。

  • kms:DescribeKey – (必要) 提供指定 KMS 金鑰的詳細資訊。此許可會納入預設的金鑰政策中。

  • kms:ListAliases:(選用) 列出帳戶中所有金鑰別名。當您使用 主控台建立加密的檔案系統時,此許可會填入 KMS 金鑰清單。我們建議您使用此許可,以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。