靜態加密

所有 Amazon FSx 檔案系統都會使用 AWS Key Management Service (AWS KMS) 管理的金鑰在靜態時進行加密。數據在寫入文件系統之前會自動加密，並在讀取時自動解密數據。Amazon FSx 會透明地處理這些程序，因此您不必修改應用程式。

Amazon FSx 使用業界標準的 AES-256 加密演算法來加密 Amazon FSx 資料和靜態中繼資料。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的密碼編譯基礎。

注意

AWS 金鑰管理基礎架構使用聯邦資訊處理標準 (FIPS) 140-2 核准的加密演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。

Amazon FSx 如何使用 AWS KMS

Amazon FSx 與 AWS KMS 金鑰管理整合。Amazon FSx 使用一個 AWS KMS key 來加密您的檔案系統。您可以選擇用來加密和解密檔案系統 (包括資料和中繼資料) 的 KMS 金鑰。您可以啟用、停用或撤銷此 KMS 金鑰的授權。此 KMS 金鑰可以是下列兩種類型之一：

• AWS 受管金鑰— 這是默認的 KMS 密鑰，並且可以免費使用。

• 客戶受管金鑰：這是使用起來最靈活的 KMS 金鑰，因為您可以設定它的金鑰政策和授予多個使用者或服務。如需建立客戶受管金鑰的詳細資訊，請參閱 AWS Key Management Service 開發人員指南中的建立金鑰。

如果您使用客戶受管金鑰做為檔案資料加密和解密的 KMS 金鑰，您可以啟用金鑰輪替。啟用金鑰輪換時， AWS KMS 每年會自動輪換金鑰一次。此外，使用客戶受管金鑰時，您可以隨時選擇停用、重新啟用、刪除或撤銷 KMS 金鑰存取權的時間。如需詳細資訊，請參閱 AWS Key Management Service 開發人員指南 AWS KMS keys中的旋轉。

靜態檔案系統加密和解密會以透明方式處理。不過，Amazon FSx 專屬的 AWS 帳戶 ID 會出現在與 AWS KMS 動作相關的 AWS CloudTrail 日誌中。

Amazon FSx 關鍵政策 AWS KMS

金鑰政策是控制對 KMS 金鑰之存取的主要方式。如需關鍵原則的詳細資訊，請參閱AWS Key Management Service 開發人員指南AWS KMS中的使用金鑰政策。下列清單說明 Amazon FSx 針對靜態檔案系統加密支援的所有 AWS KMS相關許可：

• kms:Encrypt：(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。

• kms:Decrypt：(必要) 對密文進行解密。加密文字為之前已加密的純文字。此許可會納入預設的金鑰政策中。

• kms: ReEncrypt — (選用) 使用新的 KMS 金鑰加密伺服器端的資料，而不會在用戶端公開資料的純文字。資料會先解密，然後重新加密。此許可會納入預設的金鑰政策中。

• kms: GenerateDataKeyWithoutPlaintext — (必要) 傳回以 KMS 金鑰加密的資料加密金鑰。此權限包含在 kms: GenerateDataKey * 下的預設金鑰原則中。

• kms: CreateGrant — (必要) 將授權新增至金鑰，以指定誰可以使用金鑰，以及在何種情況下可以使用金鑰。授予是金鑰政策的備用許可機制。如需有關贈款的詳細資訊，請參閱AWS Key Management Service 開發人員指南中的使用贈款。此許可會納入預設的金鑰政策中。

• kms: DescribeKey — (必要) 提供有關指定 KMS 金鑰的詳細資訊。此許可會納入預設的金鑰政策中。

• kms: ListAliases — (選用) 列出帳戶中的所有金鑰別名。當您使用主控台建立加密的檔案系統時，此權限會填入 KMS 金鑰清單。我們建議您使用此許可，以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。