本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密靜態資料
<a name="encryption-at-rest"></a>

當您透過 AWS 管理主控台、 或以程式設計方式透過 Amazon FSx API 或其中一個 AWS SDKs 建立Amazon FSx for Lustre檔案系統時 AWS CLI，會自動啟用靜態資料加密。您的組織可能需要對符合特定分類所有資料進行加密，或是與特定應用程式、工作負載或環境相關聯。如果您建立持久性檔案系統，您可以指定用來加密資料的 AWS KMS 金鑰。如果您建立暫存檔案系統，則會使用 Amazon FSx 管理的金鑰來加密資料。如需使用主控台建立靜態加密檔案系統的詳細資訊，請參閱[建立Amazon FSx for Lustre檔案系統](getting-started.md#getting-started-step1)。

**注意**  
 AWS 金鑰管理基礎設施使用聯邦資訊處理標準 (FIPS) 140-2 核准的密碼編譯演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。

如需 FSx for Lustre 使用方式的詳細資訊 AWS KMS，請參閱[Amazon FSx for Lustre 如何使用 AWS KMS](#FSXKMS)。

## 靜態加密的運作方式
<a name="howencrypt"></a>

在加密的檔案系統中，資料和中繼資料會自動加密後再寫入檔案系統。同樣地，隨著資料和中繼資料受到讀取，會自動將他們解密再顯示給應用程式。這些程序是由 Amazon FSx for Lustre 以透明方式處理，因此您不必修改應用程式。

Amazon FSx for Lustre 使用業界標準的 AES-256 加密演算法來加密靜態檔案系統資料。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[密碼編譯基礎](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)。

## Amazon FSx for Lustre 如何使用 AWS KMS
<a name="FSXKMS"></a>

 Amazon FSx for Lustre 會在資料寫入檔案系統之前自動加密資料，並在讀取資料時自動解密資料。使用 XTS-AES-256 區塊密碼加密資料。所有暫存 FSx for Lustre 檔案系統都會使用 管理的金鑰進行靜態加密 AWS KMS。 Amazon FSx for Lustre整合 與 AWS KMS 以進行金鑰管理。用於加密靜態暫存檔案系統的金鑰，對於每個檔案系統都是唯一的，並在刪除檔案系統後銷毀。對於持久性檔案系統，您可以選擇用於加密和解密資料的 KMS 金鑰。您可以指定建立持久性檔案系統時要使用的金鑰。您可以在此 KMS 金鑰上啟用、停用或撤銷授予。此 KMS 金鑰可以是下列兩種類型之一：
+ **AWS 受管金鑰 for Amazon FSx** – 這是預設 KMS 金鑰。您無需支付建立和存放 KMS 金鑰的費用，但需支付使用費。如需詳細資訊，請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。
+ **客戶受管金鑰**：這是使用起來最靈活的 KMS 金鑰，因為您可以設定它的金鑰政策和授予多個使用者或服務。如需建立客戶受管金鑰的詳細資訊，請參閱《開發人員指南》中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。* AWS Key Management Service *

如果您使用客戶受管金鑰做為檔案資料加密和解密的 KMS 金鑰，您可以啟用金鑰輪換。當您啟用金鑰輪換時， 會每年 AWS KMS 自動輪換一次金鑰。此外，使用客戶受管金鑰后，您可以選擇隨時停用、重新啟用、刪除或撤銷對客戶受管金鑰的存取。

**重要**  
Amazon FSx 僅接受對稱加密 KMS 金鑰。您無法搭配 Amazon FSx 使用非對稱 KMS 金鑰。

### 的 Amazon FSx 金鑰政策 AWS KMS
<a name="FSxKMSPolicy"></a>

金鑰政策是控制對 KMS 金鑰之存取的主要方式。如需金鑰政策的詳細資訊，請參閱《 開發人員指南》中的[在 中使用金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。 *AWS Key Management Service *下列清單說明 Amazon FSx 支援用於靜態檔案系統加密的所有 AWS KMS相關許可：
+ **kms:Encrypt**：(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。
+ **kms:Decrypt**：(必要) 對密文進行解密。加密文字為之前已加密的純文字。此許可會納入預設的金鑰政策中。
+ **kms:ReEncrypt** – （選用） 使用新的 KMS 金鑰加密伺服器端的資料，而不會公開用戶端資料的純文字。資料會先解密，然後重新加密。此許可會納入預設的金鑰政策中。
+ **kms:GenerateDataKeyWithoutPlaintext** – （必要） 傳回以 KMS 金鑰加密的資料加密金鑰。此許可會納入 **kms:GenerateDataKey\$1** 下預設的金鑰政策中。
+ **kms:CreateGrant**：(必要) 將授予新增至金鑰，以指定誰可以使用金鑰和使用條件。授予是金鑰政策的備用許可機制。如需授予的詳細資訊，請參閱《 開發人員指南》中的[使用授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。 *AWS Key Management Service *此許可會納入預設的金鑰政策中。
+ **kms:DescribeKey** – （必要） 提供指定 KMS 金鑰的詳細資訊。此許可會納入預設的金鑰政策中。
+ **kms:ListAliases**：(選用) 列出帳戶中所有金鑰別名。當您使用主控台建立加密的檔案系統時，此許可會填入清單以選取 KMS 金鑰。我們建議您使用此許可，以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。