基本概念與術語
本節定義此白皮書中參考的概念與術語。
-
Amazon Elastic File System (Amazon EFS) – 具有高可用性與耐用性的服務,可以在 AWS 雲端中提供簡單、可擴展的共享檔案儲存體。Amazon EFS 提供標準的檔案系統界面與檔案系統語意。您可以在多個可用區域中數目不受限制的存放區伺服器上,儲存幾乎無限量的資料。
-
AWS Identity and Access Management (IAM)
– 這項服務可讓您安全地控制 AWS 服務 API 的細微存取權。建立原則並將其用於限制個別使用者、群組與角色的存取權。您可以通過 IAM 主控台管理您的 AWS KMS 金鑰。 -
AWS KMS – 受控服務,可讓您輕鬆地建立及控制客戶主金鑰 (CMK),其為用於加密資料的加密金鑰。AWS KMS CMK 是由 FIPS 140-2 Cryptographic Module Validation Program 驗證的硬體安全模組 (HSM) 所保護,但中國 (北京) 與中國 (寧夏) 區域除外。AWS KMS 會與其他為您資料加密的 AWS 服務整合。其也會與 AWS CloudTrail 完全整合,以提供 AWS KMS 代表您所進行的 API 呼叫記錄,這有助於滿足適用於您組織的合規或法規要求。
-
客戶主金鑰 (CMK) – 代表金鑰階層的頂端。其包含用於為資料加密及解密的金鑰材料。AWS KMS 可產生此金鑰材料;也可由您產生金鑰材料後,將其匯入 AWS KMS。CMK 專門用於 AWS 帳戶與 AWS 區域,可由客戶或 AWS 進行管理。
-
AWS 管理的 CMK – 由 AWS 代表您所產生的 CMK。當您為整合式 AWS 服務的資源啟用加密時,就會建立 AWS 管理的 CMK。AWS 管理的 CMK 金鑰原則會由 AWS 管理,而且您無法加以變更。建立或儲存 AWS 管理的 CMK 不需付費。
-
客戶管理的 CMK – 您使用 AWS 管理主控台、API、AWS CLI 或軟體開發套件所建立的 CMK。當您需要對 CMK 進行更細微的控制時,可以使用客戶管理的 CMK。
-
KMS 金鑰原則 – 資源原則,可控制客戶管理之 CMK 的存取權。客戶會使用金鑰原則或 IAM 原則與金鑰原則的組合,定義這些許可。如需詳細資訊,請參閲《AWS KMS 開發人員指南》中的管理存取權概觀。
-
資料金鑰 – 由 AWS KMS 所產生的密碼編譯金鑰,用於為 AWS KMS 外部的資料加密。AWS KMS 可讓授權實體 (使用者或服務) 取得受 CMK 保護的資料金鑰。
-
Transport Layer Security (TLS) – TLS 是 Secure Sockets Layer (SSL) 的新一代技術,是透過網路交換的資訊加密所需的密碼編譯協定。
-
EFS 裝載協助程式 – Linux 用戶端代理程式 (
amazon-efs-utils),用於簡化 EFS 檔案系統裝載。其可用於透過 TLS 通道設定、維護及路由所有 NFS 流量。
如需基本概念與術語的相關詳細資訊,請參閲《AWS KMS 開發人員指南》中的 AWS 金鑰管理服務概念。
