As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em trânsito
A criptografia de dados em trânsito é suportada em compartilhamentos de arquivos mapeados em uma instância de computação compatível com o SMB protocolo 3.0 ou mais recente. Isso inclui todas as versões do Windows a partir do Windows Server 2012 e do Windows 8, e todos os clientes Linux com o cliente Samba versão 4.2 ou mais recente. O Amazon FSx para Windows File Server criptografa automaticamente os dados em trânsito usando SMB criptografia à medida que você acessa seu sistema de arquivos, sem a necessidade de modificar seus aplicativos.
SMBa criptografia usa AES -128- GCM ou AES -128- CCM (com a GCM variante sendo escolhida se o cliente suportar SMB 3.1.1) como seu algoritmo de criptografia e também fornece integridade de dados com a assinatura usando chaves de sessão SMB Kerberos. O uso de AES -128- GCM leva a um melhor desempenho, por exemplo, uma melhoria de desempenho de até 2x ao copiar arquivos grandes em conexões SMB criptografadas.
Para atender aos requisitos de conformidade para sempre criptografar data-in-transit, você pode limitar o acesso ao sistema de arquivos para permitir o acesso somente aos clientes que oferecem suporte à SMB criptografia. Você também pode ativar ou desativar a criptografia em trânsito por compartilhamento de arquivo ou para todo o sistema de arquivos. Isso permite que você tenha uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos.
Como gerenciar criptografia em trânsito
Você pode usar um conjunto de PowerShell comandos personalizados para controlar a criptografia dos dados em trânsito entre o sistema FSx de arquivos do Windows File Server e os clientes. Você pode limitar o acesso ao sistema de arquivos somente aos clientes que oferecem suporte à SMB criptografia, de modo que ele data-in-transit seja sempre criptografado. Quando a imposição é ativada para criptografia de data-in-transit, os usuários que acessam o sistema de arquivos de clientes que não oferecem suporte à criptografia SMB 3.0 não poderão acessar compartilhamentos de arquivos para os quais a criptografia está ativada.
Você também pode controlar a criptografia data-in-transit no nível do compartilhamento de arquivos em vez do nível do servidor de arquivos. Você pode usar controles de criptografia em nível de compartilhamento de arquivos para ter uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos, se quiser impor a criptografia em trânsito para alguns compartilhamentos de arquivos que tenham dados confidenciais e permitir que todos os usuários acessem outros compartilhamentos de arquivos. A criptografia do servidor tem precedência sobre a criptografia em nível de compartilhamento. Se a criptografia global estiver habilitada, você não poderá desabilitar seletivamente a criptografia para determinados compartilhamentos.
Você pode gerenciar a criptografia de usuários em trânsito em seu sistema de arquivos usando a Amazon FSx CLI para gerenciamento remoto ativado PowerShell. Para saber como usar issoCLI, consulteUsando a Amazon FSx CLI para PowerShell.
A seguir estão os comandos que você pode usar para gerenciar a criptografia em trânsito do usuário em seu sistema de arquivos.
| Comando de criptografia em trânsito | Descrição |
|---|---|
|
Get-FSxSmbServerConfiguration |
Recupera a configuração do servidor Server Message Block (SMB). Na resposta do sistema, você pode escolher a criptografia nas configurações de trânsito do sistema de arquivos com base nos valores das propriedades |
|
Set-FSxSmbServerConfiguration |
Esse comando tem duas opções para configurar a criptografia em trânsito:
|
A ajuda on-line de cada comando fornece uma referência de todas as opções de comando. Para acessar essa ajuda, execute o comando com -?, por exemplo Get-FSxSmbServerConfiguration -?.
