Trabajo con buckets de Amazon S3 cifrados del lado del servidor - FSxpara Lustre
Acceder a buckets de Amazon S3 cifrados del lado del servidor en un entorno diferente Cuenta de AWS o desde un servidor compartido VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajo con buckets de Amazon S3 cifrados del lado del servidor

FSxfor Lustre admite buckets de Amazon S3 que utilizan cifrado del lado del servidor con claves administradas por SSE S3 (-S3) y almacenadas en (-). AWS KMS keys AWS Key Management Service SSE KMS

Si quieres que Amazon FSx cifre los datos al escribir en tu bucket de S3, debes configurar el cifrado predeterminado de tu bucket de S3 en SSE -S3 o SSE -. KMS Para obtener más información, consulte Configuración del cifrado predeterminado en la Guía del usuario de Amazon S3. Al escribir archivos en el depósito de S3, Amazon FSx sigue la política de cifrado predeterminada del depósito de S3.

De forma predeterminada, Amazon FSx admite buckets S3 cifrados mediante SSE -S3. Si desea vincular su sistema de FSx archivos de Amazon a un bucket de S3 cifrado mediante SSE KMS cifrado, debe añadir una declaración a su política de claves gestionadas por el cliente que permita FSx a Amazon cifrar y descifrar los objetos de su bucket de S3 con su KMS clave.

La siguiente declaración permite que un sistema de FSx archivos de Amazon específico cifre y descifre objetos para un bucket S3 específico, bucket_name.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
nota

Si utilizas un KMS con CMK a para cifrar tu bucket de S3 con las claves de bucket de S3 habilitadas, configúralo en el EncryptionContext bucketARN, no en el objetoARN, como en este ejemplo:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

La siguiente declaración de política permite que todos los sistemas de FSx archivos de Amazon de tu cuenta se vinculen a un bucket de S3 específico.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "aws:userid": "*:FSx",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}

Acceder a buckets de Amazon S3 cifrados del lado del servidor en un entorno diferente Cuenta de AWS o desde un servidor compartido VPC

Tras crear un sistema de archivos FSx para Lustre vinculado a un depósito de Amazon S3 cifrado, debe conceder al rol AWSServiceRoleForFSxS3Access_fs-01234567890 vinculado al servicio (SLR) acceso a la KMS clave utilizada para cifrar el depósito de S3 antes de leer o escribir datos del depósito de S3 vinculado. Puede usar un IAM rol que ya tenga permisos para acceder a la clave. KMS

nota

Este IAM rol debe estar en la cuenta en la que se creó el sistema de archivos de FSx for Lustre (que es la misma cuenta que el S3SLR), no en la cuenta a la que pertenece la KMS clave o el depósito de S3.

Usa el IAM rol para llamar a lo siguiente AWS KMS API a fin de crear una concesión para el S3, de SLR forma que SLR obtenga permiso para acceder a los objetos del S3. Para encontrar el que ARN está asociado al suyoSLR, busque sus IAM roles utilizando el ID de su sistema de archivos como cadena de búsqueda.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon FSx.