根据我对 AWS 文档的理解,似乎对包含部分数据的现有 EFS 实例进行静态加密的唯一方法是创建启用加密的新 EFS 实例,然后将文件从未加密的 EFS 复制到加密的 EFS,并更改挂载点(如果有)。
有人能证实确实如此吗?
答案1
您说得对,只有在创建 EFS 实例时才能启用 EFS 静态数据加密。以下是 EFS 设置工作流程中的引文(和图片)。
静态数据加密只能在创建文件系统时启用。传输中数据的加密是在安装文件系统时配置的
参考
答案2
关于 EFS 实例的加密,我制定了一个程序,相当于
创建加密 EFS 实例
使用 DataSync 复制内容
修复安装 EFS 实例的所有内容以使用新 ID。这可能包括实例中的脚本以及 Beanstalks 中的 FILE_SYSTEM_ID 参数。
关于数据库加密,一位同事发现了一篇博客文章,其中剔除了所有不必要的麻烦,并将整个过程提炼为最基本的部分,网址为
https://blog.theodo.com/2019/11/encrypt-existing-aws-rds-database/
我可以确认它有效。