基本概念和术语
本节定义了本白皮书中引用的概念和术语。
-
Amazon Elastic File System(Amazon EFS) – 一种高度可用且具有高持久性的服务,可在 AWS 云中提供简单、可扩展的共享文件存储。Amazon EFS 提供标准文件系统接口和文件系统语义。您可以在多个可用区中数量不受限制的存储服务器上存储几乎任意数量的数据。
-
AWS Identity and Access Management(IAM)
– 使您能够安全地控制对 AWS 服务 API 的精细访问的一项服务。创建策略并将其用于限制对单个用户、组和角色的访问。您可以通过 IAM 控制台管理您的 AWS KMS 密钥。 -
AWS KMS – 一项托管式服务,可让您轻松创建和控制客户主密钥(CMK),这是用于加密数据的加密密钥。AWS KMS CMK 由硬件安全模块(HSM)提供保护,而 HSM 通过 FIPS 140-2 加密模块验证计划进行验证,中国(北京)和中国(宁夏)区域除外。AWS KMS 与其他 AWS 服务集成,对您的数据进行加密。它还与 AWS CloudTrail 完全集成,以提供 AWS KMS 代表您进行的 API 调用的日志,这有助于满足适用于您组织的合规性或监管要求。
-
客户主密钥(CMK)– 表示密钥层次结构的顶层。它包含用于加密和解密数据的密钥材料。AWS KMS 可以生成此密钥材料,或者您可以生成密钥材料,然后将其导入 AWS KMS。CMK 特定于 AWS 账户和 AWS 区域,可以由客户管理或 AWS 托管。
-
AWS 托管的 CMK – 由 AWS 代表您生成的 CMK。当您为集成 AWS 服务的资源启用加密时,会创建由 AWS 托管的 CMK。AWS 托管的 CMK 密钥策略由 AWS 管理,您无法更改它们。创建或存储 AWS 托管的 CMK 不产生任何费用。
-
客户管理的 CMK – 您使用 AWS 管理控制台或 API、AWS CLI 或开发工具包创建的 CMK。当您需要对 CMK 进行更精细的控制时,可以使用客户管理的 CMK。
-
KMS 密钥策略 – 一项资源策略,控制对客户管理的 CMK 的访问。客户使用密钥策略或 IAM 策略与密钥策略的组合来定义这些权限。有关更多信息,请参阅 AWS KMS 开发人员指南中的管理访问权限概述。
-
数据密钥 – 由 AWS KMS 生成的加密密钥,用于加密 AWS KMS 之外的数据。AWS KMS 使授权实体(用户或服务)可以获取受 CMK 保护的数据密钥。
-
传输层安全性(TLS)– TLS 是安全套接字层(SSL)的后继者,是加密通过网络交换的信息所必需的加密协议。
-
EFS 挂载帮助程序 – 用于简化 EFS 文件系统挂载的 Linux 客户端代理(
amazon-efs-utils)。它可用于设置、维护和通过 TLS 隧道路由所有 NFS 流量。
有关基本概念和术语的更多信息,请参阅 AWS KMS 开发人员指南中的 AWS Key Management Service 概念。
