创建加密文件系统
您可以使用 AWS 管理控制台、AWS CLI、Amazon EFS API 或 AWS 开发工具包创建加密的文件系统。您只能在创建文件系统时为其启用加密。
Amazon EFS 与 AWS KMS 集成以进行密钥管理,并使用 CMK 对文件系统进行加密。文件系统元数据(例如文件名、目录名称和目录内容)使用 AWS 托管的 CMK 进行加密和解密。
文件的内容或文件数据将使用您选择的 CMK 进行加密和解密。CMK 分为三种类型:
-
适用于 Amazon EFS 的 AWS 托管 CMK
-
来自您的 AWS 账户的客户管理 CMK
-
来自另一个 AWS 账户的客户管理 CMK
您组织的政策或监管政策可能要求对 CMK 的创建、轮换、删除以及访问控制和使用策略进行完全控制。如果是这样,我们建议您使用客户管理的 CMK。在其他情况下,您可以使用 AWS 托管的 CMK。
所有用户都有适用于 Amazon EFS 的 AWS 托管 CMK,其别名为 aws/elasticfilesystem。AWS 管理此 CMK 的密钥策略,您无法对其进行更改。创建和存储 AWS 托管的 CMK 不会产生任何费用。
如果您决定使用客户管理的 CMK 来加密文件系统,请选择您拥有的客户管理 CMK 的密钥别名。或者,您可以输入另一个账户拥有的客户管理 CMK 的 Amazon Resource Name(ARN)。使用您拥有的客户管理 CMK,您可以通过密钥策略和密钥授权来控制哪些用户和服务可以使用密钥。
您还可以通过选择何时禁用、重新启用、删除或撤销对这些密钥的访问权限,从而控制这些密钥的生命周期和轮换。有关管理其他 AWS 账户中密钥的访问权限的信息,请参阅 AWS KMS 开发人员指南中的更改密钥策略。
有关如何管理客户管理的 CMK 的更多信息,请参阅 AWS KMS 开发人员指南中的客户主密钥(CMK)。
以下各节讨论如何使用 AWS 管理控制台和 AWS CLI 创建加密文件系统。
