凯发k8国际娱乐官网入口-k8凯发> 数据加密服务 dew> > > > sfs服务端加密
更新时间:2024-01-08 gmt 08:00

sfs服务端加密-凯发k8国际娱乐官网入口

简介

当您由于业务需求需要对存储在文件系统的数据进行加密时,弹性文件服务为您提供加密功能,可以对新创建的文件系统进行加密。

加密文件系统使用的是密钥管理服务(kms)提供的密钥,无需您自行构建和维护密钥管理基础设施,安全便捷。当用户希望使用自己的密钥材料时,可通过kms管理控制台的导入密钥功能创建密钥材料为空的用户主密钥,并将自己的密钥材料导入该用户主密钥中。具体操作请参见。

当您需要使用文件系统加密功能时,创建sfs文件系统需要授权sfs访问kms。如果创建sfs turbo文件系统,则不需要授权。

哪些用户有权限使用文件系统加密

  • 安全管理员(拥有“security administrator”权限)可以直接授权sfs访问kms,使用加密功能。
  • 普通用户(没有“security administrator”权限)使用加密功能时,需要联系系统管理员获取安全管理员权限。

同一个区域内只要安全管理员成功授权sfs访问kms,则该区域内的普通用户都可以直接使用加密功能。

如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。

文件系统加密的密钥

sfs加密文件系统使用kms提供的密钥,包括默认主密钥和用户主密钥 (cmk,customer master key):

  • 默认主密钥:系统会为您创建默认主密钥,名称为“sfs/default”

    默认主密钥不支持禁用、计划删除等操作。

  • 用户主密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥

    如果加密文件系统使用的用户主密钥被执行禁用或计划删除操作,当操作生效后,使用该用户主密钥加密的文件系统仅可以在一段时间内(默认为60s)正常使用。请谨慎操作。

sfs turbo文件系统无默认主密钥,可以使用您已有的密钥或者创建新的密钥,具体请参见创建密钥

使用kms加密文件系统(控制台)

用户通过弹性文件服务(scalable file service,sfs)创建文件系统时,可以选择“启用静态数据加密”,使用kms提供的密钥来加密文件系统。

  1. 在sfs管理控制台,单击“创建文件系统”
  2. 配置“加密”参数。
    1. 创建委托。

      勾选“启用静态数据加密”,如果当前未授权sfs访问kms,则会弹出“创建委托”对话框,单击“是”,授权sfs访问kms,当授权成功后,sfs可以获取kms密钥用来加解密文件系统。

      当您需要使用文件系统加密功能时,需要授权sfs访问kms。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有“security administrator”权限的用户授权,然后再重新操作。

    2. 设置加密参数。
      勾选“加密”,如果已经授权,会弹出“加密设置”对话框。
      图1 加密设置

      密钥名称是密钥的标识,您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下:

      • 默认主密钥:成功授权sfs访问kms,系统会创建默认主密钥“sfs/default”。
      • 自定义密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥
  3. 根据界面提示,配置云硬盘的其他基本信息。详细参数说明请参见。

使用kms加密文件系统(api)

用户也可以通过调用sfs api接口创建加密的文件系统,详情请参考《弹性文件服务api参考》

父主题:
分享:
网站地图