本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 中的資料加密
AWS Transfer Family 使用您為 Amazon S3 儲存貯體設定的預設加密選項來加密資料。當您在儲存貯體上啟用加密時,存放於儲存貯體中的所有物件都會加密。物件使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-) 進行加密KMS。如需伺服器端加密的相關資訊,請參閱 Amazon Simple Storage Service 使用者指南 中的使用伺服器端加密保護資料。
下列步驟說明如何加密 中的資料 AWS Transfer Family。
若要允許 加密 AWS Transfer Family
-
啟用 Amazon S3 儲存貯體的預設加密。如需指示,請參閱 Amazon S3 Simple Storage Service 使用者指南 中的 S3 儲存貯體的 Amazon S3 預設加密。
-
更新連接至使用者的 AWS Identity and Access Management (IAM) 角色政策,以授予所需的 AWS Key Management Service (AWS KMS) 許可。
-
如果您為使用者使用工作階段政策,則工作階段政策必須授予必要的 AWS KMS 許可。
下列範例顯示IAM政策,在 AWS Transfer Family 搭配啟用 AWS KMS 加密的 Amazon S3 儲存貯體使用 時,授予所需的最低許可。如果您使用的是 ,請在使用者IAM角色政策和工作階段政策中包含此範例政策。
{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:
region
:account-id
:key/kms-key-id
" }
注意
您在此政策中指定的KMS金鑰 ID 必須與步驟 1 中為預設加密指定的金鑰 ID 相同。
金鑰政策中 AWS KMS 必須允許根或使用者使用IAM的角色。如需 AWS KMS 金鑰政策的相關資訊,請參閱 AWS Key Management Service 開發人員指南 中的使用金鑰政策 AWS KMS。