使用 Amazon Elastic File System 加密文件数据

发布日期：2021 年 2 月 22日（文档历史记录和贡献者）

摘要

安全性是 AWS 的工作重点，我们为客户提供工具，将安全性作为他们企业中的头等大事。政府法规和行业或公司的合规性政策可能会要求使用加密策略、加密算法和适当的密钥管理，来保护不同分类的数据。本白皮书概述了加密 Amazon Elastic File System（Amazon EFS）的最佳实践。

介绍

Amazon Elastic File System（Amazon EFS）在云中提供简单、可扩展、高度可用且具有高持久性的共享文件系统。您使用 Amazon EFS 创建的文件系统具有弹性，使它们可以在您添加和删除数据时自动扩展和缩减。它们的大小会增长到数 PB，从而将数据分布在多个可用区（AZ）中数量不受限制的存储服务器上。

存储在这些文件系统中的数据可以使用 Amazon EFS 进行静态和传输中加密。要对静态数据进行加密，您可以通过 AWS 管理控制台或 AWS Command Line Interface（AWS CLI）创建加密的文件系统。或者，您可以通过 Amazon EFS API 或其中一个 AWS 开发工具包以编程方式创建加密的文件系统。

为了对静态数据进行加密，Amazon EFS 与 AWS Key Management Service（AWS KMS）集成以进行密钥管理。您还可以通过挂载文件系统并通过传输层安全性（TLS）传输所有 NFS 流量，从而启用传输中数据加密。

本白皮书概述了 Amazon EFS 的加密最佳实践。它介绍了如何在客户端连接层启用传输中数据加密，以及如何在 AWS 管理控制台和 AWS CLI 中创建加密的文件系统。

注意

使用 API 和开发工具包创建加密的文件系统不在本白皮书的讨论范围之内。有关如何执行此操作的更多信息，请参阅 Amazon EFS 用户指南或开发工具包文档中的 Amazon EFS API。