As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em trânsito
A criptografia de dados em trânsito é compatível com compartilhamentos de arquivos mapeados em uma instância de computação que seja compatível com o protocolo SMB 3.0 ou mais recente. Isso inclui todas as versões do Windows a partir do Windows Server 2012 e do Windows 8, e todos os clientes Linux com o cliente Samba versão 4.2 ou mais recente. O Amazon FSx para Windows File Server criptografa automaticamente os dados em trânsito usando criptografia SMB à medida que você acessa seu sistema de arquivos, sem a necessidade de modificar seus aplicativos.
A criptografia SMB usa AES-128-GCM ou AES-128-CCM (com a variante GCM sendo escolhida se o cliente for compatível com SMB 3.1.1) como algoritmo de criptografia e também fornece integridade de dados com assinatura usando chaves de sessão SMB do Kerberos. O uso do AES-128-GCM leva a uma melhor performance, por exemplo, até 2x mais performance ao copiar arquivos grandes em conexões SMB criptografadas.
Para atender aos requisitos de conformidade para sempre criptografar data-in-transit, você pode limitar o acesso ao sistema de arquivos para permitir o acesso somente a clientes que ofereçam suporte à criptografia SMB. Você também pode ativar ou desativar a criptografia em trânsito por compartilhamento de arquivo ou para todo o sistema de arquivos. Isso permite que você tenha uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos.
Como gerenciar criptografia em trânsito
Você pode usar um conjunto de PowerShell comandos personalizados para controlar a criptografia dos dados em trânsito entre o sistema FSx de arquivos do Windows File Server e os clientes. Você pode limitar o acesso ao sistema de arquivos somente a clientes que oferecem suporte à criptografia SMB, para que ela data-in-transit seja sempre criptografada. Quando a imposição é ativada para criptografia de data-in-transit, os usuários que acessam o sistema de arquivos de clientes que não oferecem suporte à criptografia SMB 3.0 não poderão acessar compartilhamentos de arquivos para os quais a criptografia está ativada.
Você também pode controlar a criptografia data-in-transit no nível do compartilhamento de arquivos em vez do nível do servidor de arquivos. Você pode usar controles de criptografia em nível de compartilhamento de arquivos para ter uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos, se quiser impor a criptografia em trânsito para alguns compartilhamentos de arquivos que tenham dados confidenciais e permitir que todos os usuários acessem outros compartilhamentos de arquivos. A criptografia do servidor tem precedência sobre a criptografia em nível de compartilhamento. Se a criptografia global estiver habilitada, você não poderá desabilitar seletivamente a criptografia para determinados compartilhamentos.
Você pode gerenciar a criptografia em trânsito no seu sistema de arquivos usando a Amazon FSx CLI para gerenciamento remoto em. PowerShell Para saber como usar essa CLI, consulte Usando a Amazon FSx CLI para PowerShell.
A seguir estão os comandos que você pode usar para gerenciar a criptografia em trânsito do usuário em seu sistema de arquivos.
| Comando de criptografia em trânsito | Descrição |
|---|---|
|
Get-FSxSmbServerConfiguration |
Recupera a configuração do servidor Server Message Block (SMB). Na resposta do sistema, você pode escolher a criptografia nas configurações de trânsito do sistema de arquivos com base nos valores das propriedades |
|
Set-FSxSmbServerConfiguration |
Esse comando tem duas opções para configurar a criptografia em trânsito:
|
A ajuda on-line de cada comando fornece uma referência de todas as opções de comando. Para acessar essa ajuda, execute o comando com -?, por exemplo Get-FSxSmbServerConfiguration -?.
