更改现有 EFS 的加密密钥
Change Encryption key for existing EFS
有没有办法将现有 EFS 从 AWS 托管密钥切换到客户托管密钥?
EFS是通过AWS提供的密钥创建的(aws/elasticfilesystem),但是由于安全审计,我们不得不使用CMK。
遗憾的是,您无法更改现有 EFS 的密钥。禁用或删除 AWS 托管密钥将导致您的文件系统丢失。
但是您有多种选择可以解决此问题。我看到的第一个是使用 CMK 创建一个新的 EFS,将其安装在也具有旧 EFS 的主机上,并使用 rsync 或类似工具备份所有文件。然后在同步完成后切换。我不知道你有多少数据,这可能需要一段时间并且要花钱。
我还发现了一个类似的程序,它使用数据管道似乎做同样的事情,但都是由 AWS 打包的。
老实说,我从来没有用过这个工具。您可以在此处找到信息 https://docs.aws.amazon.com/efs/latest/ug/alternative-efs-backup.html
第二种选择,是使用AWS备份。创建 EFS 的“按需备份”。备份完成后,使用将使用您的 CMK 的新文件系统创建还原作业。我不喜欢这种方法,因为 AWS 备份会在根文件系统中创建一个目录。我觉得这有点脏。
root@ip-172-31-16-39:/data1# df -h .
Filesystem Size Used Avail Use% Mounted on
fs-fc09d4c8.efs.eu-west-1.amazonaws.com:/ 8.0E 0 8.0E 0% /data1
root@ip-172-31-16-39:/data1#
root@ip-172-31-16-39:/data1# ls -l
total 4
drwxr-xr-x 3 root root 6144 May 14 17:55 aws-backup-restore_2021-05-14T19-03-08-145Z
[1]。 https://docs.aws.amazon.com/efs/latest/ug/troubleshooting-efs-encryption.html
有没有办法将现有 EFS 从 AWS 托管密钥切换到客户托管密钥?
EFS是通过AWS提供的密钥创建的(aws/elasticfilesystem),但是由于安全审计,我们不得不使用CMK。
遗憾的是,您无法更改现有 EFS 的密钥。禁用或删除 AWS 托管密钥将导致您的文件系统丢失。
但是您有多种选择可以解决此问题。我看到的第一个是使用 CMK 创建一个新的 EFS,将其安装在也具有旧 EFS 的主机上,并使用 rsync 或类似工具备份所有文件。然后在同步完成后切换。我不知道你有多少数据,这可能需要一段时间并且要花钱。
我还发现了一个类似的程序,它使用数据管道似乎做同样的事情,但都是由 AWS 打包的。
老实说,我从来没有用过这个工具。您可以在此处找到信息 https://docs.aws.amazon.com/efs/latest/ug/alternative-efs-backup.html
第二种选择,是使用AWS备份。创建 EFS 的“按需备份”。备份完成后,使用将使用您的 CMK 的新文件系统创建还原作业。我不喜欢这种方法,因为 AWS 备份会在根文件系统中创建一个目录。我觉得这有点脏。
root@ip-172-31-16-39:/data1# df -h .
Filesystem Size Used Avail Use% Mounted on
fs-fc09d4c8.efs.eu-west-1.amazonaws.com:/ 8.0E 0 8.0E 0% /data1
root@ip-172-31-16-39:/data1#
root@ip-172-31-16-39:/data1# ls -l
total 4
drwxr-xr-x 3 root root 6144 May 14 17:55 aws-backup-restore_2021-05-14T19-03-08-145Z
[1]。 https://docs.aws.amazon.com/efs/latest/ug/troubleshooting-efs-encryption.html