问题描述
对于现有的 EFS,有没有办法从 AWS 托管密钥切换到客户托管密钥?
EFS 是由 AWS 提供的密钥(aws/elasticfilesystem)创建的,但由于安全审计,我们必须使用 CMK..
非常感谢 彼得
解决方法
很遗憾,您无法更改现有 EFS 的密钥。禁用或删除 AWS 托管密钥将导致您的文件系统丢失。
但是您有多种选择来解决此问题。我看到的第一个是使用 CMK 创建一个新的 EFS,将其安装在一个也有旧 EFS 的主机上,并使用 rsync 或类似工具备份所有文件。然后在同步完成时切换。我不知道你有多少数据,这可能需要一段时间并花钱。
我还发现了一个使用数据管道的类似过程,它似乎做同样的事情,但都是由 AWS 打包的。
老实说,我从不使用这个工具。您可以在此处找到信息https://docs.aws.amazon.com/efs/latest/ug/alternative-efs-backup.html
第二个选项是使用 AWS 备份。创建 EFS 的“按需备份”。备份完成后,使用将使用您的 CMK 的新文件系统创建还原作业。我不喜欢这种方法的是,AWS 备份将在根文件系统内创建一个目录。我觉得这有点脏。
root@ip-172-31-16-39:/data1# df -h .
Filesystem Size Used Avail Use% Mounted on
fs-fc09d4c8.efs.eu-west-1.amazonaws.com:/ 8.0E 0 8.0E 0% /data1
root@ip-172-31-16-39:/data1#
root@ip-172-31-16-39:/data1# ls -l
total 4
drwxr-xr-x 3 root root 6144 May 14 17:55 aws-backup-restore_2021-05-14T19-03-08-145Z
希望这对您有所帮助。
[1]。 https://docs.aws.amazon.com/efs/latest/ug/troubleshooting-efs-encryption.html