建立加密檔案系統
您可以使用 AWS 管理主控台、AWS CLI、Amazon EFS API 或 AWS 開發套件,建立加密檔案系統。您只能在建立檔案系統時為其啟用加密。
Amazon EFS 與 AWS KMS 相整合,可進行金鑰管理,並會使用 CMK 為檔案系統加密。檔案系統中繼資料 (如檔案名稱、目錄名稱與目錄內容) 使用 AWS 管理的 CMK 進行加密與解密。
您的檔案或檔案資料的內容,將使用您選擇的 CMK 進行加密與解密。該 CMK 可以是下列三種類型之一:
-
適用於 Amazon EFS 之 AWS 管理的 CMK
-
來自 AWS 帳戶之客戶管理的 CMK
-
來自不同 AWS 帳戶之客戶管理的 CMK
您的組織可能受到公司或法規政策的限制,需要完全控制 CMK 的建立、輪換、刪除,以及存取控制與使用政策。若是如此,建議您使用客戶管理的 CMK。在其他情況下,可以使用 AWS 管理的 CMK。
所有使用者都有適用於 Amazon EFS 之 AWS 管理的 CMK,其別名是 aws/elasticfilesystem。AWS 可管理此 CMK 的金鑰政策,且您無法對其進行變更。建立及儲存 AWS 管理的 CMK 不會產生任何費用。
若您決定使用客戶管理的 CMK 來加密您的檔案系統,請選取您擁有之客戶管理的 CMK 的金鑰別名。或者,可以輸入客戶管理的 CMK 的 Amazon Resource Name (ARN)。有了您所擁有之客戶管理的 CMK 之後,即可透過金鑰政策與金鑰授予來控制可使用該金鑰的使用者與服務。
您也可以藉由選擇停用、重新啟用、刪除或撤銷對這些金鑰的存取權,來控制這些金鑰的週期與輪換。如需管理其他 AWS 帳戶中金鑰存取權的資訊,請參閲《AWS KMS 開發人員指南》中的變更金鑰政策。
如需如何管理客戶管理的 CMK 的詳細資訊,請參閲《AWS KMS 開發人員指南》中的客戶主金鑰 (CMK)。
下列章節會討論如何使用 AWS 管理主控台與使用 AWS CLI,建立加密檔案系統。
