Enkripsi data menggunakanAWS KMS - AWSStorage Gateway

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data menggunakanAWS KMS

Storage Gateway menggunakan SSL/TLS (Secure Socket Layers/Transport Layer Security) untuk mengenkripsi data yang ditransfer antara alat gateway Anda danAWSpenyimpanan. Secara default, Storage Gateway menggunakan kunci enkripsi Amazon S3-Managed (SSE-S3) untuk mengenkripsi semua data yang disimpan di Amazon S3. Anda memiliki opsi untuk menggunakan Storage Gateway API untuk mengkonfigurasi gateway Anda untuk mengenkripsi data yang disimpan di awan menggunakan enkripsi sisi server denganAWS Key Management ServiceKunci master pelanggan (SSE-KMS).

penting

Saat Anda menggunakanAWS KMSCMK untuk enkripsi server-side, Anda harus memilih CMK simetris. Storage Gateway tidak mendukung CMK asimetris. Untuk informasi selengkapnya, lihat Menggunakan kunci simetri dan asimetrik di Panduan Developer AWS Key Management Service.

Mengenkripsi berbagi file

Untuk berbagi file, Anda dapat mengkonfigurasi gateway Anda untuk mengenkripsi objek Anda denganAWS KMS—managed kunci dengan menggunakan SSE-KMS. Untuk informasi tentang penggunaan Storage Gateway API untuk mengenkripsi data yang ditulis ke berbagi file, lihatCreateNFSFileSharediAWS Storage GatewayReferensi API.

Mengenkripsi sistem file

Untuk informasi lihat,Enkripsi Data di Amazon FSxdiPanduan Pengguna Amazon FSx for Windows File Server.

Saat menggunakanAWS KMSuntuk mengenkripsi data Anda,Ingatlah hal berikut ini:

  • Data Anda dienkripsi saat istirahat di cloud. Artinya, data dienkripsi di Amazon S3.

  • Pengguna IAM harus memiliki izin yang diperlukan untuk memanggilAWS KMSOperasi API. Untuk informasi selengkapnya, lihatMenggunakan kebijakan IAM denganAWS KMSdiAWS Key Management ServicePanduan Pengembang.

  • Jika Anda menghapus atau menonaktifkan CMK atau mencabut token hibah, Anda tidak dapat mengakses data pada volume atau rekaman. Untuk informasi selengkapnya, lihatMenghapus kunci utama pelanggandiAWS Key Management ServicePanduan Pengembang.

  • Jika Anda membuat snapshot dari volume yang dienkripsi KMS, snapshot akan dienkripsi. Snapshot mewarisi tombol KMS volume.

  • Jika Anda membuat volume baru dari snapshot yang dienkripsi KMS, volume akan dienkripsi. Anda dapat menentukan kunci KMS yang berbeda untuk volume baru.

    catatan

    Storage Gateway tidak mendukung pembuatan volume yang tidak terenkripsi dari titik pemulihan volume terenkripsi KMS atau snapshot yang dienkripsi KMS.

Untuk informasi lebih lanjut tentangAWS KMS, lihatApaAWS Key Management Service?