本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用的資料加密AWS KMS
Storage Gateway 道使用 SSL/TLS (安全套接字層/傳輸層安全性) 來加密在您閘道裝置和AWS儲存。在預設情況下,Storage Gateway 使用 Amazon S3 受管加密金鑰 (SSE-S3) 在伺服器端加密存放在 Amazon S3 中的所有資料。您可以選擇使用 Storage Gateway API 來設定閘道,將伺服器端加密功能與AWS Key Management Service(SSE-KMS) 客户主金鑰 (CMK)。
重要
當您使用AWS KMSCMK 用於伺服器端加密時,必須選擇對稱 CMK。Storage Gateway 不支援非對稱 CMK。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用對稱和非對稱金鑰。
加密檔案共享
對於文件共享,您可以將網關配置為使用AWS KMS— 通過使用 SSE-KMS 託管密鑰。如需使用 Storage Gateway API 來加密寫入檔案共享的資料,請參CreateNFSFileShare中的AWS Storage GatewayAPI 參考。
加密文件系統
如需相關資訊,請參亞馬遜 FSX 中的數據加密中的Amazon FSx for Windows File Server 使用者指南。
當使用 AWS KMS 加密您的資料時,請謹記下列事項:
-
您的資料是在雲端中的靜態狀態下加密。也就是説,Amazon S3 中的資料會加密。
-
IAM 使用者必須具備必要的許可,才能呼叫AWS KMSAPI 操作。如需詳細資訊,請參閱「」將 IAM 政策與AWS KMS中的AWS Key Management Service開發人員指南。
-
若您刪除或停用您的 CMK 或撤銷授予的字符,您將無法存取磁碟區或磁帶上的資料。如需詳細資訊,請參閱「」刪除客戶主金鑰中的AWS Key Management Service開發人員指南。
-
若您從 KMS 加密的磁碟區建立快照,快照也會處於加密狀態。快照會繼承磁碟區的 KMS 金鑰。
-
若您從 KMS 加密的快照建立新的磁碟區,那麼磁碟區也會處於加密狀態。您可以為新的磁碟區指定不同的 KMS 金鑰。
注意
Storage Gateway 道不支援從 KMS 加密磁碟區或 KMS 加密快照的復原點建立未加密的磁碟區。
如需 AWS KMS 的詳細資訊,請參閱什麼是 AWS Key Management Service?
