Crittografia dati utilizzandoAWS KMS - AWSStorage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dati utilizzandoAWS KMS

Storage Gateway utilizza SSL/TLS (Secure Socket Layer/Transport Layer Security) per crittografare i dati trasferiti tra un'appliance gateway eAWSarchiviazione. Per impostazione predefinita, Storage Gateway utilizza chiavi di crittografia gestite da Amazon S3 (SSE-S3) per crittografare lato server tutti i dati archiviati in Amazon S3. Puoi usare l'API Storage Gateway per configurare il gateway per crittografare i dati archiviati nel cloud utilizzando la crittografia lato server conAWS Key Management ServiceChiavi master del cliente (SSE-KMS) (SSE-KMS).

Importante

Quando si utilizza un appositoAWS KMSCMK per la crittografia lato server, è necessario scegliere una chiave CMK simmetrica. Storage Gateway non supporta le chiavi CMK asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service.

Crittografia di una condivisione file

Per una condivisione di file, puoi configurare il gateway per crittografare gli oggetti conAWS KMS—chiavi gestite utilizzando SSE-KMS. Per informazioni sull'uso dell'API Storage Gateway per crittografare dati scritti in una condivisione di file, consultaCreateNFSFileSharenellaAWS Storage GatewayDocumentazione di riferimento API.

Crittografia di un file system

Per informazioni, consulta.Crittografia dei dati in Amazon FSxnellaGuida per l'utente di Amazon FSx for Windows File Server.

Quando utilizzi AWS KMS per crittografare i dati, ricorda quanto segue:

  • I dati vengono crittografati nel cloud mentre sono inattivi. Ciò significa che i dati vengono crittografati in Amazon S3.

  • Gli utenti di IAM devono disporre delle autorizzazioni necessarie per chiamare ilAWS KMSOperazioni API. Per ulteriori informazioni, consultaUtilizzo delle policy IAM conAWS KMSnellaAWS Key Management ServiceGuida per gli sviluppatori.

  • Se elimini o disabiliti la CMK o revochi il token di concessione, non potrai accedere ai dati sul volume o sul nastro. Per ulteriori informazioni, consultaEliminazione delle chiavi master del clientenellaAWS Key Management ServiceGuida per gli sviluppatori.

  • Se crei una snapshot da un volume con crittografia KMS, la snapshot sarà crittografata. La snapshot eredita la chiave KMS del volume.

  • Se crei un nuovo volume da una snapshot con crittografia KMS, il volume sarà crittografato. Puoi specificare una chiave KMS differente per il nuovo volume.

    Nota

    Storage Gateway non supporta la creazione di un volume non crittografato da un punto di ripristino di un volume con crittografia KMS o una snapshot con crittografia KMS.

Per ulteriori informazioni su AWS KMS, consulta Che cos'è AWS Key Management Service.