Bekerja dengan bucket Amazon S3 yang dienkripsi sisi server - FSxuntuk Lustre
Mengakses bucket Amazon S3 terenkripsi sisi server secara berbeda atau dari Shared Akun AWS VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan bucket Amazon S3 yang dienkripsi sisi server

FSxuntuk Lustre mendukung bucket Amazon S3 yang menggunakan enkripsi sisi server dengan kunci yang dikelola S3 (-S3), dan dengan disimpan di SSE (-). AWS KMS keys AWS Key Management Service SSE KMS

Jika Anda FSx ingin Amazon mengenkripsi data saat menulis ke bucket S3 Anda, Anda perlu mengatur enkripsi default pada bucket S3 Anda ke SSE -S3 atau -. SSE KMS Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default di Panduan Pengguna Amazon S3. Saat menulis file ke bucket S3 Anda, Amazon FSx mengikuti kebijakan enkripsi default bucket S3 Anda.

Secara default, Amazon FSx mendukung bucket S3 yang dienkripsi menggunakan -S3. SSE Jika Anda ingin menautkan sistem FSx file Amazon ke bucket S3 yang dienkripsi menggunakan KMS enkripsi SSE -, Anda perlu menambahkan pernyataan ke kebijakan kunci terkelola pelanggan yang memungkinkan Amazon FSx mengenkripsi dan mendekripsi objek di bucket S3 menggunakan kunci Anda. KMS

Pernyataan berikut memungkinkan sistem FSx file Amazon tertentu untuk mengenkripsi dan mendekripsi objek untuk bucket S3 tertentu, bucket_name.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
catatan

Jika Anda menggunakan KMS with a CMK untuk mengenkripsi bucket S3 Anda dengan kunci bucket S3 diaktifkan, setel EncryptionContext ke bucket, bukan objeknya ARNARN, seperti dalam contoh ini:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

Pernyataan kebijakan berikut memungkinkan semua sistem FSx file Amazon di akun Anda untuk menautkan ke bucket S3 tertentu.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "aws:userid": "*:FSx",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}

Mengakses bucket Amazon S3 terenkripsi sisi server secara berbeda atau dari Shared Akun AWS VPC

Setelah membuat sistem file FSx for Lustre yang ditautkan ke bucket Amazon S3 terenkripsi, Anda harus memberikan AWSServiceRoleForFSxS3Access_fs-01234567890 akses role SLR () terkait layanan ke kunci yang digunakan untuk mengenkripsi bucket S3 sebelum KMS membaca atau menulis data dari bucket S3 yang ditautkan. Anda dapat menggunakan IAM peran yang sudah memiliki izin untuk KMS kunci.

catatan

IAMPeran ini harus ada di akun tempat sistem file FSx for Lustre dibuat (yang merupakan akun yang sama dengan S3SLR), bukan akun tempat bucket KMS kunci/S3 berada.

Anda menggunakan IAM peran untuk memanggil yang berikut ini AWS KMS API untuk membuat hibah untuk S3 SLR sehingga SLR memperoleh izin ke objek S3. Untuk menemukan yang ARN terkait dengan AndaSLR, cari IAM peran Anda menggunakan ID sistem file Anda sebagai string pencarian.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan untuk Amazon FSx.