As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O Storage Gateway usa SSL/TLS (Secure Socket Layers/Transport Layer Security (segurança de camada) para criptografar dados que são transferidos entre o dispositivo de gateway e AWS o armazenamento. Por padrão, o Storage Gateway usa chaves de criptografia gerenciadas do Amazon S3 (SSE-S3) do lado do servidor para criptografar todos os dados armazenados no Amazon S3. Você tem a opção de usar a API Storage Gateway para configurar seu gateway para criptografar dados armazenados na nuvem usando criptografia do lado do servidor com chaves AWS Key Management Service (SSE-KMS).
Importante
Ao usar uma AWS KMS chave para criptografia do lado do servidor, você deve escolher uma chave simétrica. O Storage Gateway não é compatível com chaves assimétricas. Para obter mais informações, consulte Como usar chaves simétricas e assimétricas no AWS Key Management Service Guia do desenvolvedor.
Como criptografar um compartilhamento de arquivos
Para um compartilhamento de arquivos, é possível configurar seu gateway para criptografar seus objetos com chaves gerenciadas pelo AWS KMS usando o SSE-KMS. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados em um compartilhamento de arquivos, consulte Create NFSFile Share na Referência da AWS Storage Gateway API.
Como criptografar um volume
Para volumes em cache e armazenados, você pode configurar seu gateway para criptografar dados de volume armazenados na nuvem com chaves AWS KMS gerenciadas usando a API Storage Gateway. É possível especificar uma das chaves mestras de cliente como a chave do KMS. A chave que você usa para criptografar o volume não pode ser alterada depois que o volume for criado. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados em um volume armazenado em cache ou em um volume armazenado, consulte CreateCachediSCSIVolumeou CreateStorediSCSIVolumena Referência da AWS Storage Gateway API.
Como criptografar uma fita
Para uma fita virtual, você pode configurar seu gateway para criptografar dados de fita armazenados na nuvem com chaves AWS KMS gerenciadas usando a API Storage Gateway. É possível especificar uma das chaves mestras de cliente como a chave do KMS. A chave que você usa para criptografar os dados da fita não pode ser alterada depois que a fita for criada. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados CreateTapesem uma fita virtual, consulte a Referência da AWS Storage Gateway API.
Ao usar AWS KMS para criptografar seus dados, lembre-se do seguinte:
-
Seus dados estão criptografados em repouso na nuvem. Ou seja, os dados são criptografados no Amazon S3.
-
Os usuários do IAM devem ter as permissões necessárias para chamar as operações AWS KMS da API. Para obter mais informações, consulte Como usar políticas do IAM com o AWS KMS no Guia do desenvolvedor do AWS Key Management Service .
-
Se você excluir ou desativar sua AWS AWS KMS chave ou revogar o token de concessão, não poderá acessar os dados no volume ou na fita. Para obter mais informações, consulte Como excluir chaves do KMS no Guia do desenvolvedor do AWS Key Management Service .
-
Se você criar um snapshot de um volume criptografado pelo KMS, o snapshot será criptografado. O snapshot herdará a chave do KMS do volume.
-
Se você criar um novo volume de um snapshot criptografado pelo KMS, o volume será criptografado. Você poderá especificar outra chave do KMS para o novo volume.
nota
O Storage Gateway não é compatível com a criação de um volume não criptografado de um ponto de recuperação de um volume criptografado pelo KMS ou snapshot criptografado pelo KMS.
Para obter mais informações sobre AWS KMS, consulte O que é AWS Key Management Service?
