傳輸中加密

在支援 SMB 通訊協定 3.0 或更新版本的運算執行個體上映射的檔案共用支援傳輸中的資料加密。這包括從 Windows Server 2012 和 Windows 8 開始的所有 Windows 版本，以及具有 Samba 用戶端 4.2 版或更新版本的所有 Linux 用戶端。當您存取檔案系統時，Amazon FSx for Windows File Server 會使用 SMB 加密自動加密傳輸中的資料，而不需要您修改應用程式。

SMB 加密使用 AES-128-GCM 或 AES-128-CCM （如果用戶端支援 SMB 3.1.1，則選擇 GCM 變體）作為其加密演算法，並使用 SMB Kerberos 工作階段金鑰來提供簽署資料完整性。使用 AES-128-GCM 可提升效能，例如，透過加密 SMB 連線複製大型檔案時，效能可提升高達 2 倍。

若要符合一律加密data-in-transit合規要求，您可以將檔案系統存取限制為僅允許存取支援 SMB 加密的用戶端。您也可以啟用或停用每個檔案共用或整個檔案系統的傳輸中加密。這可讓您在同一檔案系統上混合加密和未加密的檔案共用。

管理傳輸中的加密

您可以使用一組自訂 PowerShell 命令來控制 FSx for Windows File Server 檔案系統和用戶端之間傳輸中的資料的加密。您只能將檔案系統存取限制為支援 SMB 加密的用戶端，以便data-in-transit一律加密。開啟強制執行以加密data-in-transit時，從不支援 SMB 3.0 加密的用戶端存取檔案系統的使用者將無法存取已開啟加密的檔案共用。

您也可以控制檔案共用層級上的data-in-transit加密，而不是檔案伺服器層級。如果您想要對具有敏感資料的某些檔案共用強制執行傳輸中加密，您可以使用檔案共用層級加密控制，在同一檔案系統上混合加密和未加密的檔案共用，並允許所有使用者存取其他檔案共用。全伺服器加密的優先順序高於共用層級加密。如果啟用全域加密，則無法選擇性地停用特定共用的加密。

您可以使用 Amazon FSx CLI 在 PowerShell 上進行遠端管理，在檔案系統上管理傳輸中加密。若要了解如何使用此 CLI，請參閱使用 Amazon FSx CLI for PowerShell。

以下是您可以用來管理檔案系統上使用者傳輸中加密的命令。

傳輸中加密命令描述

傳輸中加密命令	描述
Get-FSxSmbServerConfiguration	擷取伺服器訊息區塊 (SMB) 伺服器組態。在系統回應中，您可以根據 `EncryptData`和 `RejectUnencryptedAccess` 屬性的值，判斷檔案系統的傳輸中加密設定。
Set-FSxSmbServerConfiguration	此命令有兩個設定傳輸中加密的選項： `-EncryptData $True\|$False` – 將此參數設定為 `True`以開啟傳輸中資料加密。將此參數設為 `False` 以關閉傳輸中資料加密。 `-RejectUnencryptedAccess $True\|$False` – 將此參數設定為 `True`，以不允許不支援加密的用戶端存取檔案系統。將此參數設定為 `False`，以允許不支援加密的用戶端存取檔案系統。

Get-FSxSmbServerConfiguration

擷取伺服器訊息區塊 (SMB) 伺服器組態。在系統回應中，您可以根據 EncryptData和 RejectUnencryptedAccess 屬性的值，判斷檔案系統的傳輸中加密設定。

Set-FSxSmbServerConfiguration

此命令有兩個設定傳輸中加密的選項：

-EncryptData $True|$False – 將此參數設定為 True以開啟傳輸中資料加密。將此參數設為 False 以關閉傳輸中資料加密。
-RejectUnencryptedAccess $True|$False – 將此參數設定為 True，以不允許不支援加密的用戶端存取檔案系統。將此參數設定為 False，以允許不支援加密的用戶端存取檔案系統。

每個命令的線上說明提供所有命令選項的參考。若要存取此說明，請使用執行命令-?，例如 Get-FSxSmbServerConfiguration -?。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

靜態資料加密

Windows ACLs