Cifrado de datos medianteAWS KMS - AWSStorage Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos medianteAWS KMS

Storage Gateway utiliza SSL/TLS (capas de conexión segura/seguridad de la capa de transporte) para cifrar los datos que se transfieren entre el dispositivo de gateway yAWSalmacenamiento. De forma predeterminada, Storage Gateway utiliza claves de cifrado administradas por Amazon S3 (SSE-S3) para cifrar en el lado del servidor todos los datos que almacena en Amazon S3. Tiene la opción de utilizar la API de Storage Gateway para configurar su gateway para cifrar los datos almacenados en la nube mediante el cifrado en el lado del servidor conAWS Key Management Service(SSE-KMS) claves maestras del cliente (CMK).

importante

Cuando utiliza unAWS KMSCMK para el cifrado en el lado del servidor, debe elegir una CMK simétrica. Storage Gateway no admite CMK asimétricas. Para obtener más información, consulte Uso de claves simétricas y asimétricas en la guía para desarrolladores de AWS Key Management Service.

Cifrado de un recurso compartido de archivos

Para un recurso compartido de archivos, puede configurar la puerta de enlace para cifrar los objetos conAWS KMS—claves administradas mediante SSE-KMS. Para obtener más información sobre cómo utilizar la API de Storage Gateway para cifrar los datos que se escriben en un recurso compartido de archivos, consulteCreateNFSFileShareen laAWS Storage GatewayReferencia de la API.

Cifrado de un sistema de archivos

Para obtener información, consulte:Cifrado de datos en Amazon FSxen laGuía del usuario de Amazon FSx for Windows File Server.

Cuando utilice AWS KMS para cifrar datos, tenga en cuenta lo siguiente:

  • Los datos se cifran en reposo en la nube. Es decir, los datos se cifran en Amazon S3.

  • Los usuarios de IAM deben tener los permisos necesarios para llamar alAWS KMSOperaciones de la API. Para obtener más información, consulteUso de políticas de IAM conAWS KMSen laAWS Key Management ServiceGuía para desarrolladores.

  • Si elimina o deshabilita su CMK o revoca el token de concesión, no podrá tener acceso a los datos del volumen o la cinta. Para obtener más información, consulteEliminar las claves maestras de clienteen laAWS Key Management ServiceGuía para desarrolladores.

  • Si crea una instantánea de un volumen cifrado con KMS, la instantánea está cifrada. La instantánea hereda la clave de KMS del volumen.

  • Si crea un volumen a partir de una instantánea cifrada con KMS, el volumen está cifrado. Para especificar otra clave de KMS para el volumen nuevo.

    nota

    Storage Gateway no admite la creación de un volumen sin cifrar a partir de un punto de recuperación de un volumen cifrado con KMS o de una instantánea cifrada con KMS.

Para obtener más información acerca de AWS KMS, consulte ¿Qué es AWS Key Management Service?