Datenverschlüsselung mitAWS KMS - AWSStorage Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung mitAWS KMS

Storage Gateway verwendet für die Verschlüsselung von Daten, die zwischen Ihrer Gateway-Appliance und übertragen werden, SSL/TLS (Secure Socket Layers/Transport Layer Security) verschlüsselt werdenAWS-Speicher. Standardmäßig verwendet Storage Gateway die von Amazon S3 verwalteten Verschlüsselungsschlüsseln, um alle in Amazon S3 gespeicherten Daten serverseitig zu verschlüsseln. Sie können die Storage Gateway-API verwenden, um Ihr Gateway so zu konfigurieren, dass in der Cloud gespeicherte Daten mithilfe der serverseitigen Verschlüsselung verschlüsselt werden.AWS Key Management Service(SSE-KMS) -Kundenmasterschlüssel (CMKs).

Wichtig

Wenn Sie eineAWS KMSFür die serverseitige Verschlüsselung müssen Sie einen symmetrischen CMK wählen. Storage Gateway unterstützt keine asymmetrischen CMKs. Weitere Informationen finden Sie unter Using Symmetric and Asymmetric Keys (Verwenden von symmetrischen und asymmetrischen Schlüsseln) im AWS Key Management Service-Benutzerhandbuch.

Verschlüsseln einer Dateifreigabe

Für eine Dateifreigabe können Sie Ihr Gateway so konfigurieren, dass Ihre Objekte mit verschlüsselt werdenAWS KMS—verwaltete Schlüssel unter Verwendung von SSE-KMS. Weitere Informationen zur Verwendung der Storage Gateway Gateway-API zum Verschlüsseln von Daten in einer Dateifreigabe finden Sie unterCreateNFSFileShareimAWS Storage Gateway-API-Referenzaus.

Verschlüsseln eines Dateisystems

Weitere Informationen finden Sie unter.Datenverschlüsselung in Amazon FSximBenutzerhandbuch für Amazon FSx for Windows File Serveraus.

Wenn Sie AWS KMS verwenden, um Ihre Daten zu verschlüsseln, müssen Sie Folgendes beachten:

  • Ihre Daten werden im Ruhezustand in der Cloud verschlüsselt. Das heißt, die Daten werden in Amazon S3 verschlüsselt.

  • IAM-Benutzer müssen über die erforderlichen Berechtigungen zum Aufrufen derAWS KMSAPI-Operationen Weitere Informationen finden Sie unterVerwenden von IAM-RichtlinienAWS KMSimAWS Key Management ServiceEntwicklerhandbuchaus.

  • Wenn Sie Ihren CMK löschen oder deaktivieren oder das Token für die Berechtigungserteilung widerrufen, können Sie nicht auf die Daten auf dem Volume oder Band zugreifen. Weitere Informationen finden Sie unterLöschen von KundenmasterschlüsselnimAWS Key Management ServiceEntwicklerhandbuchaus.

  • Wenn Sie einen Snapshot von einem Volume erstellen, das KMS-verschlüsselt ist, wird der Snapshot verschlüsselt. Der Snapshot erbt den KMS-Schlüssel des Volumes.

  • Wenn Sie ein neues Volume aus einem KMS-verschlüsselten Snapshot erstellen, wird der Snapshot verschlüsselt. Sie können einen anderen KMS-Schlüssel für das neue Volume angeben.

    Anmerkung

    Storage Gateway unterstützt derzeit nicht das Erstellen eines unverschlüsselten Volume von einem Wiederherstellungspunkt eines KMS-verschlüsselten Volumes oder eines KMS-verschlüsselten Snapshots.

Weitere Informationen zu AWS KMS finden Sie unter Was ist AWS Key Management Service?