本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS DataSync 传输中的加密
<a name="encryption-in-transit"></a>

您的存储数据（包括元数据）在传输过程中会进行加密，但在整个传输过程中如何对其进行加密取决于您的源位置和目标位置。

连接某个位置时， DataSync 使用该地点的数据访问协议提供的最安全的选项。例如，使用服务器消息块 (SMB) 连接文件系统时， DataSync 使用 SMB 提供的安全功能。

## 传输过程中的网络连接
<a name="understanding-network-connections-in-transit"></a>

DataSync 需要三个网络连接才能复制数据：一个用于从源位置读取数据的连接，另一个用于在不同位置之间传输数据的连接，以及一个用于将数据写入目标位置的连接。

下图是 DataSync 用于将数据从本地存储系统传输到 AWS 存储服务的网络连接示例。要了解连接发生的位置，以及数据在通过每个连接进行传输时如何受到保护，请使用随附的表格。

![\[第一个连接用来与源存储位置通信。第二个连接用于在不同位置之间传输。第三个也是最后一个连接是与目标存储位置的连接。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-encryption-in-transit-diagram.png)



| 参考 | 网络连接 | 说明 | 
| --- | --- | --- | 
| 1 | 从源位置读取数据 | DataSync 使用存储系统的数据访问协议（例如 SMB 或 Amazon S3 API）进行连接。对于这种连接，除非 DataSync 不支持这些功能，否则将使用存储系统的安全功能来保护数据。例如， DataSync 目前不支持使用 NFS 文件服务器进行 Kerberos 身份验证，也不支持在 HDFS 中使用 TDE 加密时进行身份验证。 | 
| 2 | 在不同位置之间传输数据 | 对于此连接， DataSync 使用相互传输层安全 (mTLS) 1.3 加密所有网络流量。 | 
| 3 | 将数据写入目标位置 | 与源位置一样，使用存储系统的数据访问协议进行 DataSync 连接。除非 DataSync不支持存储系统的安全功能，否则数据将再次受到保护。 | 

了解在 DataSync 连接到以下 AWS 存储服务时，您的数据在传输过程中是如何加密的：
+ [Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
+ [ FSx 适用于 Windows 文件服务器的亚马逊](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)
+ [亚马逊 f FSx or Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/encryption-in-transit-fsxl.html)
+ [ FSx 适用于 OpenZFS 的亚马逊](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/encryption-transit.html)
+ [ FSx 适用于 NetApp ONTAP 的亚马逊](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/encryption-in-transit.html)
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)

## TLS 密码
<a name="tls-ciphers-in-transit"></a>

在不同位置之间传输数据时， DataSync 使用不同的 TLS 密码。TLS 密码取决于您的代理用来与之通信的服务端点的类型。 DataSync（有关更多信息，请参阅 [为 AWS DataSync 代理选择服务端点](choose-service-endpoint.md)。）

**Contents**
+ [公共或 VPC 端点](#tls-ciphers-in-transit-non-fips)
+ [FIPS 端点](#tls-ciphers-in-transit-fips)

### 公共或 VPC 端点
<a name="tls-ciphers-in-transit-non-fips"></a>

对于公有云和虚拟私有云 (VPC) 服务终端节点，请 DataSync 使用以下 TLS 密码之一：
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 (ecdh SHA384 \$1x25519)
+ TLS\$1ECDHE\$1RSA\$1WITH\$1 \$1 \$1 (ecdh\$1x25519CHACHA20) POLY1305 SHA256 
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1 (ecdh SHA256 \$1x25519)

### FIPS 端点
<a name="tls-ciphers-in-transit-fips"></a>

对于联邦信息处理标准 (FIPS) 服务端点， DataSync使用以下 TLS 密码：
+ TLS\$1AES\$1128\$1GCM\$1 (secp256r1SHA256 )