Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi Saat Data Berpindah
Enkripsi data dalam transit di-support pada akses berbagi file yang dipetakan pada instans komputasi yang men-support protokol SMB 3.0 atau yang lebih baru. Ini termasuk semua versi Windows mulai dari Windows Server 2012 dan Windows 8, dan semua Linux client dengan Samba client versi 4.2 atau yang lebih baru. Amazon FSx untuk Windows File Server secara otomatis mengenkripsi data dalam perjalanan menggunakan enkripsi SMB saat Anda mengakses sistem file Anda tanpa perlu memodifikasi aplikasi Anda.
Enkripsi SMB menggunakan AES-128-GCM atau AES-128-CCM (dengan varian GCM yang terpilih jika klien men-support SMB 3.1.1) sebagai algoritme enkripsinya, dan juga menyediakan integritas data dengan penandaan menggunakan kunci sesi SMB Kerberos. Penggunaan AES-128-GCM mengarah pada performa yang lebih baik, misalnya, hingga peningkatan kinerja 2x ketika menyalin file besar melalui koneksi SMB terenkripsi.
Untuk memenuhi persyaratan kepatuhan untuk selalu mengenkripsi data-in-transit, Anda dapat membatasi akses sistem file untuk hanya mengizinkan akses ke klien yang mendukung enkripsi SMB. Anda juga dapat mengaktifkan atau me-nonaktifkan enkripsi dalam transit per Berbagi file atau ke seluruh sistem file. Hal ini memungkinkan Anda untuk memiliki campuran Berbagi file yang terenkripsi dan tidak terenkripsi pada sistem file yang sama.
Mengelola enkripsi in transit
Anda dapat menggunakan serangkaian PowerShell perintah khusus untuk mengontrol enkripsi data Anda dalam perjalanan antara sistem file Windows File Server dan klien Anda FSx . Anda dapat membatasi akses sistem file hanya untuk klien yang mendukung enkripsi SMB sehingga selalu data-in-transit dienkripsi. Ketika penegakan dihidupkan untuk enkripsi data-in-transit, pengguna yang mengakses sistem file dari klien yang tidak mendukung enkripsi SMB 3.0 tidak akan dapat mengakses berbagi file yang enkripsi dihidupkan.
Anda juga dapat mengontrol enkripsi data-in-transit pada tingkat berbagi file, bukan tingkat server file. Anda dapat menggunakan kontrol enkripsi tingkat pembagian file untuk memiliki gabungan pembagian file terenkripsi dan tidak terenkripsi pada sistem file yang sama jika Anda ingin memberlakukan enkripsi di-transit untuk beberapa pembagian file yang memiliki data sensitif, dan mengizinkan semua pengguna untuk mengakses beberapa pembagian file lainnya. Enkripsi seluruh server memiliki prioritas atas enkripsi tingkat pembagian. Jika enkripsi global diaktifkan, Anda tidak dapat memilih menonaktifkan enkripsi untuk pembagian tertentu.
Anda dapat mengelola enkripsi dalam transit pada sistem file Anda menggunakan Amazon FSx CLI untuk manajemen jarak jauh. PowerShell Untuk mempelajari cara menggunakan CLI ini, lihat Menggunakan Amazon FSx CLI untuk PowerShell.
Berikut ini adalah perintah yang dapat Anda gunakan untuk mengelola enkripsi in-transit pengguna pada sistem file Anda.
Perintah Enkripsi in Transit | Deskripsi |
---|---|
Get-FSxSmbServerConfiguration |
Mengambil konfigurasi server Server Message Block (SMB). Dalam respons sistem, Anda dapat menentukan enkripsi dalam pengaturan transit untuk sistem file Anda berdasarkan nilai untuk properti dan |
Set-FSxSmbServerConfiguration |
Perintah ini memiliki dua opsi untuk mengkonfigurasi enkripsi dalam transit:
|
Bantuan online untuk setiap perintah memberikan referensi dari semua opsi perintah. Untuk mengakses bantuan ini, jalankan perintah dengan -?, misalnya Get-FSxSmbServerConfiguration -?.