Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

AWS KMS

PDF
RSS
Fokusmodus
AWS KMS - Amazon Elastic File System
Die wichtigsten Richtlinien von Amazon EFS für AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon EFS ist für die Schlüsselverwaltung in AWS Key Management Service (AWS KMS) integriert. Amazon EFS verwendet vom Kunden verwaltete Schlüssel, um Ihr Dateisystem auf folgende Weise zu verschlüsseln:

  • Verschlüsselung von Metadaten im Ruhezustand – Amazon EFS verwendet das Von AWS verwalteter Schlüssel für Amazon EFS, aws/elasticfilesystem, um Metadaten des Dateisystems (d.h. Dateinamen, Verzeichnisnamen und Verzeichnisinhalte) zu ver- und entschlüsseln.

  • Verschlüsselung von Dateidaten im Ruhezustand – Sie wählen den vom Kunden verwalteten Schlüssel (CMK), der zur Ver- und Entschlüsselung von Dateidaten (d. h. dem Inhalt Ihrer Dateien) verwendet wird. Sie können Berechtigungen für diesen vom Kunden verwalteten Schlüssel (CMK) aktivieren, deaktivieren oder widerrufen. Dieser von Kunden gemanagte Schlüssel kann einer der beiden folgenden Typen sein:

    • Von AWS verwalteter Schlüssel für Amazon EFS — Dies ist der vom Kunden verwaltete Standardschlüssel,aws/elasticfilesystem. Für die Erstellung und Speicherung eines von Kunden gemanagten Schlüssels fallen keine Gebühren an, aber es fallen Nutzungsgebühren an. Weitere Informationen finden Sie auf der Seite über AWS Key Management Service – Preise.

    • Kundenverwalteter Schlüssel – Dies ist der flexibelste KMS-Schlüssel, da Sie seine Schlüsselrichtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zur Erstellung von kundenverwalteten Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

      Wenn Sie einen vom Kunden verwalteten Schlüssel (CMK) für die Ver- und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. Wenn Sie die Schlüsselrotation aktivieren, AWS KMS wird Ihr Schlüssel automatisch einmal pro Jahr rotiert. Darüber hinaus können Sie bei einem vom Kunden verwalteten Schlüssel (CMK) jederzeit entscheiden, wann Sie den Zugriff auf Ihren vom Kunden verwalteten Schlüssel deaktivieren, wieder aktivieren, löschen oder widerrufen möchten. Weitere Informationen finden Sie unter Zugriffsverwaltung auf verschlüsselte Dateisysteme.

Wichtig

Amazon EFS akzeptiert nur symmetrische, vom Kunden verwaltete Schlüssel. Sie können keine asymmetrischen, vom Kunden verwalteten Schlüssel (CMK) mit Amazon EFS verwenden.

Die Datenverschlüsselung und -entschlüsselung im Ruhezustand erfolgt transparent. Amazon IDs EFS-spezifische AWS Konten erscheinen jedoch in Ihren AWS CloudTrail Protokollen, die sich auf AWS KMS Aktionen beziehen. Weitere Informationen finden Sie unter Amazon EFS-Protokolldateieinträge für encrypted-at-rest Dateisysteme.

Die wichtigsten Richtlinien von Amazon EFS für AWS KMS

Schlüsselrichtlinien sind die wichtigste Methode zur Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel. Weitere Informationen zu Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien in AWS KMS im AWS Key Management Service -Entwicklerhandbuch. Die folgende Liste beschreibt alle AWS KMS-bezogenen Berechtigungen, die von Amazon EFS für verschlüsselte Dateisysteme im Ruhezustand benötigt oder anderweitig unterstützt werden:

  • kms:Encrypt – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms:Decrypt – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ReEncrypt — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen, vom Kunden verwalteten Schlüssel, ohne dass der Klartext der Daten auf der Clientseite offengelegt wird. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: GenerateDataKeyWithoutPlaintext — (Erforderlich) Gibt einen Datenverschlüsselungsschlüssel zurück, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey * enthalten.

  • kms: CreateGrant — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Grants finden Sie unter Verwendung von Grants im AWS Key Management Service -Entwicklerhandbuch. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: DescribeKey — (Erforderlich) Stellt detaillierte Informationen über den angegebenen, vom Kunden verwalteten Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ListAliases — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste KMS-Schlüssel auswählen ausgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

Von AWS verwalteter Schlüssel für die Amazon EFS KMS-Richtlinie

Die KMS-Richtlinie JSON Von AWS verwalteter Schlüssel für Amazon EFS aws/elasticfilesystem lautet wie folgt:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.