Criptografia de dados usandoAWS KMS - AWSStorage Gateway

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados usandoAWS KMS

O Storage Gateway usa SSL/TLS (Secure Socket Layers/Transport Layer Security) para criptografar dados que são transferidos entre o gateway e o dispositivo de gateway eAWSArmazenamento. Por padrão, o Storage Gateway usa chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no lado do servidor para criptografar todos os dados armazenados no Amazon S3. Você tem a opção de usar a API do Storage Gateway para configurar seu gateway para criptografar dados armazenados na nuvem usando criptografia no lado do servidor comAWS Key Management Service(SSE-KMS) chaves mestras de cliente (CMKs).

Importante

Quando você usa umAWS KMSA CMK do para criptografia no lado do servidor, você deve escolher uma CMK simétrica. O Storage Gateway não é compatível com CMKs assimétricas. Para obter mais informações, consulte Como usar chaves simétricas e assimétricas no AWS Key Management Service Guia do desenvolvedor.

Criptografar um compartilhamento de arquivos

Para um compartilhamento de arquivos, você pode configurar seu gateway para criptografar seus objetos com oAWS KMSchaves gerenciadas usando o SSE-KMS. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados em um compartilhamento de arquivos, consulteCreateNFSFileSharenoAWS Storage GatewayReferência de API do.

Criptografar um sistema de arquivos

Para obter mais informações, consulteCriptografia de dados no Amazon FSxnoGuia do usuário do Amazon FSx for Windows File Server.

Ao usar o AWS KMS para criptografar seus dados, lembre-se do seguinte:

  • Seus dados estão criptografados em repouso na nuvem. Ou seja, os dados são criptografados no Amazon S3.

  • Os usuários do IAM devem ter as permissões necessárias para chamarAWS KMSOperações de API do. Para obter mais informações, consulteUsar políticas do IAM com oAWS KMSnoAWS Key Management ServiceGuia do desenvolvedor.

  • Se você excluir ou desativar sua CMK ou revogar o token concedido, não poderá acessar os dados no volume ou fita. Para obter mais informações, consulteExcluir chaves mestras do clientenoAWS Key Management ServiceGuia do desenvolvedor.

  • Se você criar um snapshot de um volume criptografado pelo KMS, o snapshot será criptografado. O snapshot herdará a chave do KMS do volume.

  • Se você criar um novo volume de um snapshot criptografado pelo KMS, o volume será criptografado. Você poderá especificar outra chave do KMS para o novo volume.

    nota

    O Storage Gateway não oferece suporte à criação de um volume não criptografado a partir de um ponto de recuperação de um volume criptografado pelo KMS ou snapshot criptografado pelo KMS.

Para obter mais informações sobre AWS KMS, consulte O que é AWS Key Management Service?