本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS DataSync 靜態加密
因為 AWS DataSync 是傳輸服務,所以通常不會管理靜態儲存資料。DataSync 支援的儲存服務和系統負責保護該狀態的資料。不過,DataSync 會管理一些服務相關資料。
加密的內容為何?
DataSync 處理的唯一靜態資料與其探索的現場部署儲存系統相關資訊,以及完成傳輸所需的詳細資訊相關。DataSync 會在 Amazon DynamoDB 中以完整靜態加密存放下列資料:
-
收集有關您的內部部署儲存系統的資訊 (如果您使用 DataSync Discovery)。此資訊也會在 Amazon S3 中以完整靜態加密儲存。
-
任務組態 (例如,傳輸中位置的詳細資訊)。
-
允許 DataSync 代理程式向 位置進行身分驗證的使用者登入資料。這些登入資料會使用客服人員的公有金鑰進行加密。代理程式可以視需要使用其私有金鑰解密這些金鑰。
如需詳細資訊,請參閱《Amazon DynamoDB 開發人員指南》中的靜態 DynamoDB 加密。 DynamoDB
DataSync Discovery 收集的資訊
DataSync Discovery 會存放和管理其收集的現場部署儲存系統相關資料,最長可達 60 天。您可以使用 Amazon EventBridge,在到期日期接近時通知您。如需詳細資訊,請參閱DataSync 探索事件。
當您從 DataSync Discovery 移除內部部署儲存系統資源時,您會永久刪除任何相關聯的探索任務、收集的資料和建議。
金鑰管理
您無法管理 DataSync 用來在 DynamoDB 中存放與執行任務相關資訊的加密金鑰。此資訊包含您的任務組態,以及客服人員用來向儲存位置進行驗證的登入資料。
哪些項目未加密?
雖然 DataSync 無法控制儲存資料靜態加密的方式,但仍建議您設定位置,使其擁有其支援的最高安全層級。例如,您可以使用 Amazon S3 受管加密金鑰 (SSE-S3) 或 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 來加密物件。
進一步了解 AWS 儲存服務如何加密靜態資料: