本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Storage Gateway 使用 SSL/TLS (Secure Socket Layers/Transport Layer Security) 來加密閘道設備與 AWS 儲存之間傳輸的資料。在預設情況下,Storage Gateway 使用 Amazon S3 受管加密金鑰 (SSE-S3) 在伺服器端加密存放在 Amazon S3 中的所有資料。您可以選擇使用 Storage Gateway API 來設定閘道,使用伺服器端加密搭配 AWS Key Management Service (SSE-KMS) 金鑰來加密存放在雲端的資料。
重要
當您使用 AWS KMS 金鑰進行伺服器端加密時,您必須選擇對稱金鑰。Storage Gateway 不支援非對稱金鑰。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的使用對稱和非對稱金鑰。
加密檔案共享
對於檔案共用,您可以將閘道設定為使用 SSE-KMS,以使用 AWS KMS的管理金鑰來加密物件。如需使用 Storage Gateway API 加密寫入檔案共用的資料的詳細資訊,請參閱 AWS Storage Gateway API 參考中的 CreateNFSFileShare。
加密磁碟區
對於快取和儲存的磁碟區,您可以使用 Storage Gateway API,設定閘道以使用 AWS KMS受管金鑰加密存放在雲端中的磁碟區資料。您可以將一個受管金鑰指定為 KMS 金鑰。您用來加密磁碟區的金輪在磁碟區建立之後就無法變更。若要使用 Storage Gateway API 來加密寫入快取或存放磁碟區的資料,請參閱 AWS Storage Gateway API 參考中的 CreateCachediSCSIVolume 或 CreateStorediSCSIVolume。
加密磁帶
對於虛擬磁帶,您可以使用 Storage Gateway API 設定閘道,以加密存放在雲端的磁帶資料與 AWS KMS受管金鑰。您可以將一個受管金鑰指定為 KMS 金鑰。您用來加密磁帶資料的金輪在磁帶建立之後就無法變更。如需使用 Storage Gateway API 加密寫入虛擬磁帶的資料的相關資訊,請參閱 AWS Storage Gateway API 參考中的 CreateTapes。
使用 AWS KMS 加密您的資料時,請記住下列事項:
-
您的資料是在雲端中的靜態狀態下加密。意即資料會在 Amazon S3 中加密。
-
IAM 使用者必須擁有呼叫 AWS KMS API 操作所需的許可。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的AWS KMS使用 IAM 政策。
-
如果您刪除或停用 AWS AWS KMS 金鑰或撤銷授予字符,則無法存取磁碟區或磁帶上的資料。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的刪除 KMS 金鑰。
-
若您從 KMS 加密的磁碟區建立快照,快照也會處於加密狀態。快照會繼承磁碟區的 KMS 金鑰。
-
若您從 KMS 加密的快照建立新的磁碟區,那麼磁碟區也會處於加密狀態。您可以為新的磁碟區指定不同的 KMS 金鑰。
注意
Storage Gateway 不支援從 KMS 加密磁碟區或 KMS 加密快照的復原點建立未加密的磁碟區。
如需 的詳細資訊 AWS KMS,請參閱什麼是 AWS Key Management Service?
