管理对加密的文件系统的访问

使用 AmazonEFS，您可以创建加密的文件系统。Amazon EFS 支持两种形式的文件系统加密，即传输中的加密和静态加密。需要执行的任何密钥管理仅与静态加密相关。Amazon EFS 会自动管理传输中的加密密钥。

如果创建使用静态加密的文件系统，则会静态加密数据和元数据。亚马逊EFS使用 AWS Key Management Service (AWS KMS) 进行密钥管理。在创建使用静态加密的文件系统时，需要指定一个 AWS KMS key。KMS密钥可以是aws/elasticfilesystem（ AWS 托管式密钥 适用于 Amazon 的EFS），也可以是您管理的客户托管密钥。

使用您在创建文件系统时指定的KMS密钥对文件数据（文件内容）进行静态加密。元数据（文件名、目录名和目录内容）使用 Amazon 管理的密钥进行加密。EFS

文件系统的用作加密文件系统中元数据的KMS密钥，例如文件名、目录名和目录内容。EFS AWS 托管式密钥 您拥有用于静态加密文件数据（文件内容）的客户托管密钥。

您可以管理谁有权访问您的KMS密钥和加密文件系统的内容。此访问权限由 AWS Identity and Access Management (IAM) 策略和两者控制 AWS KMS。IAM策略控制用户对 Amazon EFS API 操作的访问权限。 AWS KMS 密钥策略控制用户对您在创建文件系统时指定的KMS密钥的访问权限。有关更多信息，请参阅下列内容：

• IAM《用户指南》中的IAM用户

• 《AWS Key Management Service 开发者指南》 AWS KMS中的关键政策

• 《AWS Key Management Service 开发者指南》AWS KMS中的赠款。

作为密钥管理员，您可以导入外部密钥。您还可以通过启用、禁用或删除密钥来修改密钥。您指定的KMS密钥状态（当您创建具有静态加密功能的文件系统时）会影响对其内容的访问。KMS密钥必须处于enabled状态，用户才能访问使用该密钥加密 encrypted-at-rest 的文件系统的内容。