Amazon S3 中的資料加密 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 中的資料加密

AWS Transfer Family 使用您為 Amazon S3 儲存貯體設定的預設加密選項來加密資料。當您在儲存貯體上啟用加密時,存放於儲存貯體中的所有物件都會加密。透過使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或 () 受管金鑰 AWS Key Management Service (SSE-KMS AWS KMS) 來加密物件。有關伺服器端加密的資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用伺服器端加密保護資料

下列步驟說明如何在中加密資料 AWS Transfer Family。

若要允許加密 AWS Transfer Family

  1. 為您的 Amazon S3 儲存貯體啟用預設加密。如需指示,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 儲存貯體預設加密

  2. 更新附加至使用者的 AWS Identity and Access Management (IAM) 角色政策,以授予所需的 AWS Key Management Service (AWS KMS) 權限。

  3. 如果您為使用者使用工作階段原則,工作階段原則必須授與所需的 AWS KMS 權限。

以下範例顯示 IAM 政策,該政策授予與已啟用 AWS KMS 加密的 Amazon S3 儲存貯體 AWS Transfer Family 搭配使用時所需的最低許可。如果您使用的話,請在使用者 IAM 角色政策和工作階段政策中包含此範例政策。

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此原則中指定的 KMS 金鑰識別碼必須與步驟 1 中為預設加密指定的 KMS 金鑰識別碼相同。

AWS KMS 金鑰政策中必須允許根或用於使用者的 IAM 角色。如需金 AWS KMS 鑰原則的相關資訊,請參閱AWS Key Management Service 開發人員指南中的使用 AWS KMS 中的金鑰原則