本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon FSx for Windows File Server 中的資料保護
AWS [共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon FSx for Windows File Server 中的資料保護。如此模型所述, AWS 負責保護執行所有 的 全球基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱 *AWS 安全性部落格*上的 [AWS 共同的責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 FSx for Windows File Server 或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## FSx for Windows File Server 中的資料加密
Amazon FSx for Windows File Server 支援靜態資料加密和傳輸中資料的加密。建立 Amazon FSx 檔案系統時,會自動啟用靜態資料加密。在支援 SMB 通訊協定 3.0 或更新版本的運算執行個體上映射的檔案共用支援傳輸中的資料加密。當您存取檔案系統時,Amazon FSx 會使用 SMB 加密自動加密傳輸中的資料,而不需要修改應用程式。
### 使用加密時
如果您的組織需要遵守公司或法規政策,該政策要求對靜態資料和中繼資料進行加密,我們建議您使用傳輸中的資料加密建立掛載檔案系統的加密檔案系統。
如果您的組織受限於需要加密靜態資料和中繼資料的公司或法規政策,您的資料會自動靜態加密。我們也建議您使用傳輸中資料的加密來掛載檔案系統,以啟用傳輸中資料的加密。
# 靜態資料加密
所有 Amazon FSx 檔案系統都會使用 AWS Key Management Service () 管理的金鑰進行靜態加密AWS KMS。資料會在寫入檔案系統之前自動加密,並在讀取時自動解密。這些程序由 Amazon FSx 透明處理,因此您不需要修改應用程式。
Amazon FSx 使用業界標準的 AES-256 加密演算法來加密 Amazon FSx 靜態資料和中繼資料。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[密碼編譯基礎](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)。
**注意**
AWS 金鑰管理基礎設施使用聯邦資訊處理標準 (FIPS) 140-2 核准的密碼編譯演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。
## Amazon FSx 如何使用 AWS KMS
Amazon FSx 與 整合 AWS KMS 以進行金鑰管理。Amazon FSx 使用 AWS KMS key 來加密您的檔案系統。您可以選擇用來加密和解密檔案系統的 KMS 金鑰 (資料和中繼資料)。您可以啟用、停用或撤銷此 KMS 金鑰的授予。此 KMS 金鑰可以是下列兩種類型之一:
+ **AWS 受管金鑰** – 這是預設 KMS 金鑰,可免費使用。
+ **客戶受管金鑰**:這是使用起來最靈活的 KMS 金鑰,因為您可以設定它的金鑰政策和授予多個使用者或服務。如需建立客戶受管金鑰的詳細資訊,請參閱* AWS Key Management Service 《開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
如果您使用客戶受管金鑰做為檔案資料加密和解密的 KMS 金鑰,您可以啟用金鑰輪換。啟用金鑰輪換時, AWS KMS 每年會自動輪換金鑰一次。此外,使用客戶受管金鑰,您可以選擇何時停用、重新啟用、刪除或撤銷對 KMS 金鑰的存取權。如需詳細資訊,請參閱《開發人員指南》中的[輪換 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。* AWS Key Management Service *
## 的 Amazon FSx 金鑰政策 AWS KMS
金鑰政策是控制對 KMS 金鑰之存取的主要方式。如需金鑰政策的詳細資訊,請參閱《 開發人員指南》中的[在 中使用金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。 *AWS Key Management Service *下列清單說明 Amazon FSx 支援用於靜態檔案系統加密的所有相關 AWS KMS許可:
+ **kms:Encrypt**:(選用) 將純文字加密為加密文字。此許可會納入預設的金鑰政策中。
+ **kms:Decrypt**:(必要) 對密文進行解密。加密文字為之前已加密的純文字。此許可會納入預設的金鑰政策中。
+ **kms:ReEncrypt** – (選用) 使用新的 KMS 金鑰加密伺服器端的資料,而不會公開用戶端資料的純文字。資料會先解密,然後重新加密。此許可會納入預設的金鑰政策中。
+ **kms:GenerateDataKeyWithoutPlaintext** – (必要) 傳回以 KMS 金鑰加密的資料加密金鑰。此許可會納入 **kms:GenerateDataKey\$1** 下預設的金鑰政策中。
+ **kms:CreateGrant**:(必要) 將授予新增至金鑰,以指定誰可以使用金鑰和使用條件。授予是金鑰政策的備用許可機制。如需授予的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的[使用授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。此許可會納入預設的金鑰政策中。
+ **kms:DescribeKey** – (必要) 提供指定 KMS 金鑰的詳細資訊。此許可會納入預設的金鑰政策中。
+ **kms:ListAliases**:(選用) 列出帳戶中所有金鑰別名。當您使用 主控台建立加密的檔案系統時,此許可會填入 KMS 金鑰清單。我們建議您使用此許可,以提供最佳使用者體驗。此許可會納入預設的金鑰政策中。
# 加密傳輸中的資料
在支援 SMB 通訊協定 3.0 或更新版本的運算執行個體上映射的檔案共用支援傳輸中的資料加密。這包括從 Windows Server 2012 和 Windows 8 開始的所有 Windows 版本,以及具有 Samba 用戶端 4.2 版或更新版本的所有 Linux 用戶端。當您存取檔案系統時,Amazon FSx for Windows File Server 會使用 SMB 加密自動加密傳輸中的資料,而不需要修改應用程式。
SMB 加密使用 AES-128-GCM 或 AES-128-CCM (如果用戶端支援 SMB 3.1.1,則會選擇 GCM 變體) 做為其加密演算法,並使用 SMB Kerberos 工作階段金鑰提供簽署資料完整性。使用 AES-128-GCM 可提升效能,例如,透過加密 SMB 連線複製大型檔案時,效能提升高達 2 倍。
若要符合一律加密data-in-transit合規要求,您可以將檔案系統存取限制為僅允許支援 SMB 加密的用戶端存取。您也可以啟用或停用每個檔案共享或整個檔案系統的傳輸中加密。這可讓您在相同的檔案系統上混合加密和未加密的檔案共用。
## 管理傳輸中的加密
您可以使用一組自訂 PowerShell 命令來控制 FSx for Windows File Server 檔案系統和用戶端之間傳輸中的資料的加密。您可以將檔案系統存取限制為僅支援 SMB 加密的用戶端,以便一律加密data-in-transit。啟用data-in-transit加密強制執行時,從不支援 SMB 3.0 加密的用戶端存取檔案系統的使用者將無法存取已開啟加密的檔案共用。
您也可以控制檔案共用層級上的data-in-transit加密,而非檔案伺服器層級。如果您想要針對具有敏感資料的某些檔案共享強制執行傳輸中加密,並允許所有使用者存取其他檔案共享,您可以使用檔案共享層級加密控制,在同一檔案系統上混合加密和未加密的檔案共享。全伺服器加密的優先順序高於共用層級加密。如果啟用全域加密,則您無法選擇性地停用特定共用的加密。
您可以使用 Amazon FSx CLI 在 PowerShell 上進行遠端管理,在檔案系統上管理傳輸中加密。若要了解如何使用此 CLI,請參閱 [使用 Amazon FSx CLI for PowerShell](administering-file-systems.md#remote-pwrshell)。
以下是您可以用來管理檔案系統上使用者傳輸中加密的命令。
| 傳輸中加密命令 | 描述 |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | 擷取伺服器訊息區塊 (SMB) 伺服器組態。在系統回應中,您可以根據 `EncryptData`和 `RejectUnencryptedAccess` 屬性的值,判斷檔案系統的傳輸中加密設定。 |
| **Set-FSxSmbServerConfiguration** | 此命令有兩個選項可在檔案系統上全域設定傳輸中加密: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | 將此參數設為 `True`以開啟共享的傳輸中資料加密。將此參數設為 `False` 以關閉共享的傳輸中資料加密。 |
每個命令的線上說明提供所有命令選項的參考。若要存取此說明,請使用 執行 命令**-?**,例如 **Get-FSxSmbServerConfiguration -?**。