加密靜態資料 - Amazon Elastic File System
靜態加密的運作方式強制執行新檔案系統的靜態加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密靜態資料

靜態加密會加密存放在 EFS 檔案系統上的資料。這可協助您符合合規要求,並保護敏感資料免於未經授權的存取。您的組織可能需要加密符合特定分類或與特定應用程式、工作負載或環境相關聯的所有資料。

注意

AWS 金鑰管理基礎設施使用聯邦資訊處理標準 (FIPS) 140-3 核准的密碼編譯演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。

當您使用 Amazon EFS 主控台建立檔案系統時,靜態加密預設為啟用。使用 、 AWS CLI API 或 SDKs建立檔案系統時,您必須明確啟用加密。

建立 EFS 檔案系統之後,您無法變更其加密設定。這表示您無法修改未加密的檔案系統,使其加密。反之,請複寫檔案系統,將資料從未加密的檔案系統複製到新的加密檔案系統。如需詳細資訊,請參閱如何開啟現有 EFS 檔案系統的靜態加密?

靜態加密的運作方式

在加密的檔案系統中,資料和中繼資料預設會在寫入儲存體之前加密,並在讀取時自動解密。這些程序由 Amazon EFS 透明處理,因此您不需要修改應用程式。

Amazon EFS 使用 AWS KMS 進行金鑰管理,如下所示:

  • 檔案資料加密 – 檔案的內容會使用您指定的 KMS 金鑰進行加密。這可以是:

    • AWS 擁有的金鑰 適用於 Amazon EFS (aws/elasticfilesystem) 的 - 預設選項,無需額外費用。

    • 您建立和管理的客戶受管金鑰 – 提供額外的控制和稽核功能。

  • 中繼資料加密 - 檔案名稱、目錄名稱和目錄內容會使用 Amazon EFS 內部管理的金鑰進行加密。

加密程序

當檔案系統建立或重新複製到相同帳戶中的檔案系統時,Amazon EFS 會使用轉送存取工作階段 (FAS),使用發起人的憑證進行 KMS 呼叫。在 CloudTrail 日誌中,kms:CreateGrant通話似乎是由建立檔案系統或複寫的相同使用者身分進行。您可以透過尋找值為 的 invokedBy 欄位,在 CloudTrail 中識別 Amazon EFS 服務呼叫elasticfilesystem.amazonaws.com。KMS 金鑰上的資源政策必須允許 FAS CreateGrant的動作進行呼叫。

重要

您可以管理授予的控制權,也可以隨時撤銷授予。撤銷授予可防止 Amazon EFS 存取 KMS 金鑰以供未來操作使用。如需詳細資訊,請參閱《 開發人員指南》中的淘汰和撤銷授予AWS Key Management Service

使用客戶受管 KMS 金鑰時,資源政策也必須允許 Amazon EFS 服務主體,並包含限制存取特定服務端點kms:ViaService的條件。例如:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS 使用業界標準的 AES-256 加密演算法來加密靜態資料和中繼資料。

如需 Amazon EFS 的 KMS 金鑰政策詳細資訊,請參閱 使用 Amazon EFS 的 AWS KMS 金鑰

強制執行新檔案系統的靜態加密

您可以在 elasticfilesystem:Encrypted AWS Identity and Access Management (IAM) 身分型政策中使用 IAM 條件金鑰,以在使用者建立 EFS 檔案系統時強制執行靜態建立。如需有關使用條件索引鍵的詳細資訊,請參閱 範例:強制建立加密檔案系統

您也可以在 中定義服務控制政策 (SCPs) AWS Organizations ,以強制執行組織中所有 AWS 帳戶 的 Amazon EFS 加密。如需 中服務控制政策的詳細資訊 AWS Organizations,請參閱AWS Organizations 《 使用者指南》中的服務控制政策