本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用数据加密AWS KMS
Storage Gateway 使用 SSL/TLS(安全套接字层/传输层安全性)来加密在您的网关设备之间传输的数据,AWS存储。默认情况下,Storage Gateway 使用 Amazon S3 托管的加密密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密。您可以选择使用 Storage Gateway API 将您的网关配置为使用服务器端加密以加密存储在云中的数据的选项。AWS Key Management Service(SSE-KMS) 客户主密钥 (CMK)。
重要
当您使用AWS KMSCMK 用于服务器端加密,您必须选择对称 CMK。Storage Gateway 不支持非对称 CMK。有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的使用对称和非对称密钥。
加密文件共享
对于文件共享,您可以将网关配置为加密对象AWS KMS— 使用 SSE-KMS 托管密钥。有关使用 Storage Gateway API 来加密写入文件共享的数据的信息,请参阅。CreateNFSFileShare中的AWS Storage GatewayAPI 参考.
加密文件系统
有关信息,请参阅亚马逊 FSx 中的数据加密中的Amazon FSx for Windows File Server 用户指南.
在使用 AWS KMS 加密您的数据时,请注意以下几点:
-
您的数据在云中静态加密。也就是说,在 Amazon S3 中对数据进行加密。
-
IAM 用户必须有必需的权限才能调用AWS KMSAPI 操作。有关更多信息,请参阅 。将 IAM 策略与AWS KMS中的AWS Key Management Service开发人员指南.
-
如果您删除或禁用 CMK 或撤销授权令牌,则将无法访问卷或磁带上的数据。有关更多信息,请参阅 。删除客户主密钥中的AWS Key Management Service开发人员指南.
-
如果从采用 KMS 加密的卷中创建快照,则将加密快照。快照将继承卷的 KMS 密钥。
-
如果从采用 KMS 加密的快照中创建新卷,则将加密卷。可以为新卷指定不同的 KMS 密钥。
注意
Storage Gateway 不支持从 KMS 加密卷或 KMS 加密快照的恢复点创建未加密卷。
有关 AWS KMS 的更多信息,请参阅什么是 AWS Key Management Service?
