本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS DataSync传输中加密
您的存储数据(包括元数据)在传输过程中经过加密,但是在整个传输过程中如何对其进行加密取决于您的来源和目标位置。
连接某个位置时,DataSync使用该位置的数据访问协议提供的最安全的选项。例如,使用服务器消息块 (SMB) 连接文件系统时,DataSync使用 SMB 提供的安全功能。
传输中的网络连接
DataSync需要三个网络连接才能复制数据:一个连接用于从源位置读取数据,另一个连接用于在位置之间传输数据,另外一个用于将数据写入目标位置。
下图是DataSync用于将数据从本地存储系统传输到AWS存储服务的网络连接的示例。要了解连接发生在何处以及在数据通过每个连接时如何保护数据,请使用随附的表。
| 参考 | 网络连接 | 描述 |
|---|---|---|
| 1 | 从源位置读取数据 | DataSync使用存储系统的协议访问数据(例如,SMB 或 Amazon S3 API)进行连接。对于此连接,使用存储系统的安全功能保护数据。 |
| 2 | 在不同地点之间传输数据 | 对于此连接,DataSync使用传输层安全性协议(TLS)1.2 加密进行加密。 |
| 3 | 将数据写入目标位置 | 与源位置一样,通过使用存储系统的协议访问数据进行DataSync连接。再次使用存储系统的安全功能保护数据。 |
了解在DataSync连接到以下AWS存储服务时如何对传输中的数据进行加密:
TLS 密码
在不同位置之间传输数据时,DataSync使用不同的 TLS 密码。DataSync使用的 TLS 密码取决于用于激活DataSync代理的端点类型。
公共或 VPC 终端节点
对于这些终端节点,DataSync使用以下 TLS 密码之一:
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519)
-
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519)
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519)
FIPS 终端节点
对于 FIPS 终端节点,DataSync使用以下 TLS 密码:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519)
