Amazon S3 中的資料加密 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 中的資料加密

AWS Transfer Family 使用您為 Amazon S3 儲存貯體設定的預設加密選項來加密資料。當您在儲存貯體上啟用加密時,存放於儲存貯體中的所有物件都會加密。物件使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-) 進行加密KMS。如需伺服器端加密的相關資訊,請參閱 Amazon Simple Storage Service 使用者指南 中的使用伺服器端加密保護資料

下列步驟說明如何加密 中的資料 AWS Transfer Family。

若要允許 加密 AWS Transfer Family
  1. 啟用 Amazon S3 儲存貯體的預設加密。如需指示,請參閱 Amazon S3 Simple Storage Service 使用者指南 中的 S3 儲存貯體的 Amazon S3 預設加密

  2. 更新連接至使用者的 AWS Identity and Access Management (IAM) 角色政策,以授予所需的 AWS Key Management Service (AWS KMS) 許可。

  3. 如果您為使用者使用工作階段政策,則工作階段政策必須授予必要的 AWS KMS 許可。

下列範例顯示IAM政策,在 AWS Transfer Family 搭配啟用 AWS KMS 加密的 Amazon S3 儲存貯體使用 時,授予所需的最低許可。如果您使用的是 ,請在使用者IAM角色政策和工作階段政策中包含此範例政策。

{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" }
注意

您在此政策中指定的KMS金鑰 ID 必須與步驟 1 中為預設加密指定的金鑰 ID 相同。

金鑰政策中 AWS KMS 必須允許根或使用者使用IAM的角色。如需 AWS KMS 金鑰政策的相關資訊,請參閱 AWS Key Management Service 開發人員指南 中的使用金鑰政策 AWS KMS