本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 传输中数据加密
<a name="encryption-in-transit"></a>

在支持 SMB 协议 3.0 或更高版本的计算实例上映射的文件共享支持传输中数据加密。这包括从 Windows Server 2012 和 Windows 8 开始的所有 Windows 版本，以及所有 Samba 客户端版本 4.2 或更高版本的 Linux 客户端。适用于 Windows File Server 的 Amazon FSx 会在您访问文件系统时使用 SMB 加密自动加密传输中数据，而无需修改应用程序。

SMB 加密使用 AES-128-GCM 或 AES-128-CCM（如果客户端支持 SMB 3.1.1，则选择 GCM 变体）作为其加密算法，同时通过使用 SMB Kerberos 会话密钥进行签名来提供数据完整性。使用 AES-128-GCM 可以提高性能，例如，通过加密的 SMB 连接复制大文件时，性能最多可提高 2 倍。

为了满足始终对传输中数据进行加密的合规性要求，您可以将文件系统的访问权限限制为仅允许访问支持 SMB 加密的客户端。您还可以启用或禁用每个文件共享或整个文件系统的传输中加密。这允许您在同一个文件系统上混合使用加密和未加密的文件共享。

## 管理传输中加密
<a name="manage-encrypt-in-transit"></a>

您可以使用一组自定义 PowerShell 命令来控制在 FSx for Windows File Server 文件系统和客户端之间的传输中数据加密。您可以将文件系统访问权限限制为仅支持 SMB 加密的客户端，以保持传输中数据始终处于加密状态。启用强制执行传输中数据加密后，使用不支持 SMB 3.0 加密的客户端访问文件系统的用户将无法访问已启用加密的文件共享。

您还可以在文件共享级别而不是文件服务器级别控制传输中数据加密。如果您想对某些包含敏感数据的文件共享强制执行传输中加密，并允许所有用户访问某些其他文件共享，则可以使用文件共享级别的加密控制，以在同一个文件系统上混合使用加密和未加密的文件共享。服务器范围的加密优先于共享级别的加密。如果启用了全局加密，则无法有选择地禁用某些共享的加密。

您可以使用 Amazon FSx CLI for Remote Management on PowerShell 管理文件系统上的传输中加密。要了解如何使用此 CLI，请参阅[将 Amazon FSx CLI 用于 PowerShell](administering-file-systems.md#remote-pwrshell)。

如下所列为可用于管理文件系统上的用户传输中加密的命令。


| 传输中加密命令 | 描述 | 
| --- | --- | 
|  **Get-FSxSmbServerConfiguration**  |  检索服务器消息块（SMB）服务器配置。在系统响应中，可以根据 `EncryptData` 和 `RejectUnencryptedAccess` 属性的值确定文件系统的传输中加密设置。  | 
|  **Set-FSxSmbServerConfiguration**  |  此命令提供两个选项，用于在文件系统上全局配置传输中加密： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/encryption-in-transit.html)  | 
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | 将此参数设置为 `True`，以开启共享的传输中数据加密。将此参数设置为 `False`，以关闭共享的传输中数据加密。 | 

每个命令的联机帮助中都提供所有命令选项的参考信息。要访问此帮助，请运行包含 **-?** 的命令，例如 **Get-FSxSmbServerConfiguration -?**。