管理加密檔案系統的存取權 - Amazon Elastic File System
在 Amazon EFS KMS 金鑰上執行管理動作相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理加密檔案系統的存取權

透過 Amazon EFS,您可以建立加密檔案系統。Amazon EFS 支援兩種形式的檔案系統加密、傳輸中加密和靜態加密。您需要執行的任何金鑰管理僅與靜態加密有關。Amazon EFS 將自動在傳輸中為您管理加密金鑰。

如果您建立了使用靜態加密的檔案系統,則資料和中繼資料都會使用靜態加密。Amazon EFS 使用 AWS Key Management Service (AWS KMS) 進行金鑰管理。當您使用靜態加密建立檔案系統時,指定 AWS KMS key。KMS 金鑰可以是 aws/elasticfilesystem ( AWS 受管金鑰 適用於 Amazon EFS),也可以是您管理的客戶受管金鑰。

檔案資料 (檔案內容) 是使用您在建立檔案系統時指定的 KMS 金鑰進行靜態加密。中繼資料 (檔案名稱、目錄名稱和目錄內容) 是由 Amazon EFS 管理的金鑰進行加密。

檔案系統 AWS 受管金鑰 的 EFS 用作 KMS 金鑰,用來加密檔案系統中的中繼資料,例如檔案名稱、目錄名稱和目錄內容。您擁有用於靜態加密檔案資料 (檔案的內容) 的用戶管理金鑰。

您可以管理存取您的 KMS 金鑰以及加密檔案系統內容的人選。此存取權由 AWS Identity and Access Management (IAM) 政策和 AWS KMS. IAM 政策可控制使用者存取 Amazon EFS API 動作的權限。 AWS KMS 金鑰原則會控制使用者存取您在建立檔案系統時指定的 KMS 金鑰。如需詳細資訊,請參閱下列內容:

身為金鑰管理員,您可以匯入外部金鑰。您也可以透過啟用、停用或刪除來修改金鑰。您指定的 KMS 金鑰狀態 (當您使用靜態加密建立檔案系統時) 會影響對其內容的存取權。KMS 金鑰必須enabled處於狀態,使用者才能存取使用該金鑰加密的 encrypted-at-rest 檔案系統內容。

在 Amazon EFS KMS 金鑰上執行管理動作

之後,您可以尋找如何啟用、停用或刪除與 Amazon EFS 檔案系統相關聯的 KMS 金鑰。您也可以在執行這些動作時從檔案系統了解預期的行為。

為檔案系統停用、刪除或撤銷對 KMS 金鑰的存取

您可以停用或刪除用戶自訂受管的 KMS 金鑰,或者您可以撤銷 Amazon EFS 對 KMS 金鑰的存取。停用和撤銷 Amazon EFS 對您金鑰的存取權是可還原的動作。練習刪除 KMS 金鑰時請格外小心。刪除 KMS 金鑰是不可復原的動作。

如果您停用或刪除已掛載檔案系統的 KMS 金鑰,則下列事項屬實:

  • 該 KMS 金鑰無法用作新 encrypted-at-rest 檔案系統的金鑰。

  • 使用該 KMS 金鑰的現有 encrypted-at-rest 檔案系統會在一段時間後停止運作。

如果您對任何現有掛載的檔案系統撤銷 Amazon EFS 存取,該行為與停用或刪除關聯的 KMS 金鑰無異。換句話說, encrypted-at-rest 檔案系統會繼續運作,但會在一段時間後停止工作。

您可以防止存取具有已停用、刪除或撤銷 Amazon EFS 存取權的 KMS 金鑰的已掛載 encrypted-at-rest 檔案系統。若要這樣做,請卸載該檔案系統並刪除您的 Amazon EFS 掛載目標。

您無法立即刪除 AWS KMS key,但您可以排程在 7-30 天內刪除它。在排定刪除 KMS 金鑰期間,您不能使用該 KMS 金鑰進行加密操作。您也可以取消排定的 KMS 金鑰刪除。

若要了解如何停用和重新啟用客戶受管 KMS 金鑰,請參閱《 AWS Key Management Service 開發人員指南》中的啟用和停用金鑰。若要了解如何排程刪除客戶受管 KMS 金鑰,請參閱《 AWS Key Management Service 開發人員指南中》的刪除 KMS 金鑰