更改现有 EFS 的加密密钥

Posted 2023-03-25

【中文标题】更改现有 EFS 的加密密钥

【英文标题】：Change Encryption key for existing EFS

【发布时间】：2021-05-14 16:42:19

【问题描述】：

对于现有的 EFS，有没有办法从 AWS 托管密钥切换到客户托管密钥？

EFS 是由 AWS 提供的密钥 (aws/elasticfilesystem) 创建的，但由于安全审计，我们必须使用 CMK。

【参考方案1】：

很遗憾，您无法更改现有 EFS 的密钥。禁用或删除 AWS 托管密钥将导致您的文件系统丢失。

但是您有几个选项可以解决此问题。我看到的第一个是使用 CMK 创建一个新的 EFS，将其挂载到也具有旧 EFS 的主机上，并使用 rsync 或类似工具备份所有文件。然后在同步完成后切换。我不知道你有多少数据，这可能需要一段时间并且要花钱。

我还发现了一个使用数据管道的类似程序，它似乎做同样的事情，但都是由 AWS 打包的。

说实话，我从来没有使用过这个工具。你可以在这里找到信息https://docs.aws.amazon.com/efs/latest/ug/alternative-efs-backup.html

第二个选项是使用 AWS 备份。创建 EFS 的“按需备份”。备份完成后，使用将使用您的 CMK 的新文件系统创建恢复作业。我不喜欢这种方法，AWS 备份会在根文件系统中创建一个目录。我觉得这有点脏。

root@ip-172-31-16-39:/data1# df -h .
Filesystem                                 Size  Used Avail Use% Mounted on
fs-fc09d4c8.efs.eu-west-1.amazonaws.com:/  8.0E     0  8.0E   0% /data1
root@ip-172-31-16-39:/data1#
root@ip-172-31-16-39:/data1# ls -l
total 4
drwxr-xr-x 3 root root 6144 May 14 17:55 aws-backup-restore_2021-05-14T19-03-08-145Z

[1]。 https://docs.aws.amazon.com/efs/latest/ug/troubleshooting-efs-encryption.html

【讨论】：

感谢您的澄清，我们将按照您的指示进行操作，方法 1 似乎最适合我们的需求。