強制執行靜態資料加密
加密對 I/O 延遲與輸送量的影響非常小。使用者、應用程序與服務並不會感覺到加密與解密的進行。所有資料與中繼資料在寫入磁碟之前,都會由 Amazon EFS 代表您進行加密,並會在客戶端讀取之前進行解密。您無需變更用戶端工具、應用程序或服務,即可存取加密的檔案系統。
您的組織可能需要加密所有資料,才能符合特定的機密等級,或是需要加密與特定應用程式、工作負載或環境相關聯的所有資料。您可以使用以 AWS Identity and Access Management
例如,明確允許使用者只能建立加密 EFS 檔案系統的 IAM 政策,會使用下列效果、動作與條件的組合:
Effect為Allow。Action為elasticfilesystem:CreateFileSystem。Condition elasticfilesystem:Encrypted為true。
下列範例説明以 IAM 身分區分的政策,其授權主體只能建立加密的檔案系統。
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } }
設定為 * 的 Resource 屬性,表示將會對所有建立的 EFS 資源,套用 IAM 政策。您可以根據標籤新增其他條件屬性,以便只對具有資料機密需求的一部分 EFS 資源強制執行該屬性。
您也可以藉由對組織中的所有 AWS 帳戶或 OU 使用服務控制政策,在 AWS Organizations 層級強制執行建立加密的 Amazon EFS 檔案系統。如需 AWS Organizations 中服務控制策略的詳細資訊,請參閲《AWS Organizations 使用者指南》中的服務控制政策。
