本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS DataSync 传输中的加密
您的存储数据(包括元数据)在传输过程中会进行加密,但在整个传输过程中如何对其进行加密取决于您的源位置和目标位置。
连接某个位置时, DataSync 使用该地点的数据访问协议提供的最安全的选项。例如,使用服务器消息块 (SMB) 连接文件系统时, DataSync 使用 SMB 提供的安全功能。
传输过程中的网络连接
DataSync 需要三个网络连接才能复制数据:一个用于从源位置读取数据的连接,另一个用于在不同位置之间传输数据的连接,以及一个用于将数据写入目标位置的连接。
下图是 DataSync 用于将数据从本地存储系统传输到 AWS 存储服务的网络连接示例。要了解连接发生的位置,以及数据在通过每个连接进行传输时如何受到保护,请使用随附的表格。
| 参考 | 网络连接 | 描述 |
|---|---|---|
| 1 | 从源位置读取数据 | DataSync 使用存储系统的数据访问协议(例如 SMB 或 Amazon S3 API)进行连接。对于此连接,除非存储系统的安全功能 DataSync 不支持这些功能,否则将使用存储系统的安全功能来保护数据。例如, DataSync目前不支持使用 SMB 或 NFS 文件服务器进行 Kerberos 身份验证。 |
| 2 | 在不同位置之间传输数据 | 对于此连接, DataSync 使用传输层安全 (TLS) 1.3 加密所有网络流量。 |
| 3 | 将数据写入目标位置 | 与源位置一样,使用存储系统的数据访问协议进行 DataSync 连接。除非 DataSync 不支持存储系统的安全功能,否则数据将再次受到保护。 |
了解在 DataSync 连接到以下 AWS 存储服务时,您的数据在传输过程中是如何加密的:
TLS 密码
在不同位置之间传输数据时, DataSync 使用不同的 TLS 密码。TLS 密码取决于您的代理用来与之通信的服务端点的类型。 DataSync(有关更多信息,请参阅 选择 AWS DataSync 代理的服务端点。)
公共或 VPC 端点
对于公有云和虚拟私有云 (VPC) 服务终端节点,请 DataSync 使用以下 TLS 密码之一:
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_ (ecdh SHA384 _x25519)
-
TLS_ECDHE_RSA_WITH_ 0_ 05_ (ecdh_x25519CHACHA2) POLY13 SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_ (ecdh SHA256 _x25519)
FIPS 端点
对于联邦信息处理标准 (FIPS) 服务端点, DataSync使用以下 TLS 密码:
-
TLS_AES_128_GCM_ (secp256r1SHA256 )
