本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 中的資料加密
AWS Transfer Family 使用您為 Amazon S3 儲存貯體設定的預設加密選項來加密資料。當您在儲存貯體上啟用加密時,存放於儲存貯體中的所有物件都會加密。透過使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或 () 受管金鑰 AWS Key Management Service (SSE-KMS AWS KMS) 來加密物件。有關伺服器端加密的資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用伺服器端加密保護資料。
下列步驟說明如何在中加密資料 AWS Transfer Family。
若要允許加密 AWS Transfer Family
-
為您的 Amazon S3 儲存貯體啟用預設加密。如需指示,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 儲存貯體預設加密。
-
更新附加至使用者的 AWS Identity and Access Management (IAM) 角色政策,以授予所需的 AWS Key Management Service (AWS KMS) 權限。
-
如果您為使用者使用工作階段原則,工作階段原則必須授與所需的 AWS KMS 權限。
以下範例顯示 IAM 政策,該政策授予與已啟用 AWS KMS 加密的 Amazon S3 儲存貯體 AWS Transfer Family 搭配使用時所需的最低許可。如果您使用的話,請在使用者 IAM 角色政策和工作階段政策中包含此範例政策。
{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:
region
:account-id
:key/kms-key-id
" }
注意
您在此原則中指定的 KMS 金鑰識別碼必須與步驟 1 中為預設加密指定的 KMS 金鑰識別碼相同。
AWS KMS 金鑰政策中必須允許根或用於使用者的 IAM 角色。如需金 AWS KMS 鑰原則的相關資訊,請參閱AWS Key Management Service 開發人員指南中的使用 AWS KMS 中的金鑰原則。