静态加密 - Amazon FSx for Windows File Server

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

所有 Amazon FSx 文件系统均使用使用AWS Key Management Service (AWS KMS) 管理的密钥进行静态加密。数据在写入文件系统之前会自动加密,读取时自动解密。这些流程由 Amazon FSx 透明处理,因此您无需修改应用程序。

Amazon FSx 使用行业标准的 AES-256 加密算法来加密静态亚马逊 FSx 数据和元数据。有关更多信息,请参阅《AWS Key Management Service开发者指南》中的密码学基础知识

注意

AWS密钥管理基础设施使用美国联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。

Amazon FSx 如何使用AWS KMS

Amazon FSx 集成了AWS KMS用于密钥管理。Amazon FSx 使用AWS KMS key来加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤消对此 KMS 密钥的授权。此 KMS 密钥可以采用以下两种类型之一:

  • AWS 托管式密钥— 这是默认 KMS 密钥,可免费使用。

  • 客户托管密钥 — 这是最灵活的 KMS 密钥,因为您可以为多个用户或服务配置其密钥策略和授权。有关创建客户管理密钥的更多信息,请参阅AWS Key Management Service开发人员指南中的创建密钥

如果您使用客户管理的密钥作为文件数据加密和解密的 KMS 密钥,则可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,使用客户管理的密钥,您可以随时选择何时禁用、重新启用、删除或撤消对 KMS 密钥的访问权限。有关更多信息,请参阅《AWS Key Management Service开发人员指南》AWS KMS keys中的 Rote。

文件系统加密和静态解密是透明处理的。但是,特定于 Amazon FSx 的AWS 账户 ID 会出现在与AWS KMS操作相关的AWS CloudTrail日志中。

亚马逊 FSx 的关键政策AWS KMS

密钥策略是控制对 KMS 密钥访问的主要方法。有关密钥策略的更多信息,请参阅AWS Key Management Service开发者指南AWS KMS中的使用密钥策略以下列表描述了 Amazon FSx 支持的静态加密文件系统的所有AWS KMS相关权限:

  • kms: Encry pt —(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms: decrypt —(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • kms:ReEncrypt —(可选)使用新的 KS 密钥加密服务器端的数据,而不公开客户端上数据的明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • kms:GenerateDataKeyWithoutPlaintext —(必填)返回在 KMS 密钥下加密的数据加密密钥。此权限包含在 k ms:GenerateDataKey * 下的默认密钥策略中。

  • kms:CreateGrant —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥策略的替代权限机制。有关补助的更多信息,请参阅《AWS Key Management Service开发者指南》中的使用授权。 该权限包含在默认密钥策略中。

  • kms:DescribeKey —(必填)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases —(可选)列出账户中的所有密钥别名。当您使用控制台创建加密文件系统时,此权限会填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。