【产品技术】加密系列：SFS服务端

由于业务需求需要对存储在文件系统的数据进行加密时，弹性文件服务提供加密功能，可以对新创建的文件系统进行加密。

加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需自行构建和维护密钥管理基础设施，安全便捷。当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。

需要使用文件系统加密功能时，创建SFS文件系统需要授权SFS访问KMS。若创建SFS Turbo文件系统，则不需要授权。SFS Turbo文件系统需要使用专业版的密钥。

哪些用户有权限使用文件系统加密

• 安全管理员（拥有“Security      Administrator”权限）可以直接授权SFS访问KMS，使用加密功能。

• 普通用户（没有“Security      Administrator”权限）使用加密功能时，需要联系系统管理员获取安全管理员权限。

同一个区域内只要安全管理员成功授权SFS访问KMS，则该区域内的普通用户都可以直接使用加密功能。

如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

文件系统加密的密钥

SFS加密文件系统使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)：

• 默认主密钥：系统会为您创建默认主密钥，名称为“sfs/default”。

默认主密钥不支持禁用、计划删除等操作。

• 用户主密钥：即您已有的密钥或者新创建密钥。

如果加密文件系统使用的用户主密钥被执行禁用或计划删除操作，当操作生效后，使用该用户主密钥加密的文件系统仅可以在一段时间内（默认为60s）正常使用。请谨慎操作。

SFS Turbo文件系统无默认主密钥，可以使用您已有的专业版密钥或者创建新的专业版密钥。

使用KMS加密文件系统（控制台）

用户通过弹性文件服务（Scalable File Service，SFS）创建文件系统时，可以选择“启用静态数据加密”，使用KMS提供的密钥来加密文件系统。

1. 在SFS管理控制台，单击“创建文件系统”。

2. 配置“加密”参数。

创建委托。

勾选“启用静态数据加密”，如果当前未授权SFS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权SFS访问KMS，当授权成功后，SFS可以获取KMS密钥用来加解密文件系统。

需要使用文件系统加密功能时，需要授权SFS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。

设置加密参数。

勾选“加密”，若已经授权，会弹出“加密设置”对话框。

密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下：

• 默认主密钥：成功授权SFS访问KMS，系统会创建默认主密钥“sfs/default”。

• 自定义密钥：即您已有的密钥或者新创建密钥。

  若用户需要加密“SFS Turbo”类型的文件系统，需要在KMS界面将密钥管理升级为专业版，创建专业版的用户主密钥，并使用该用户主密钥对文件系统进行加密。

使用KMS加密文件系统（API）也可以通过调用SFS API接口创建加密的文件系统。