本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon DataSync 传输中加密
您的存储数据(包括元数据)在传输过程中会进行加密,但在整个传输过程中如何对其进行加密取决于您的源位置和目标位置。
与某个位置连接时,DataSync 使用该位置的数据访问协议提供的最安全的选项。例如,当使用服务器消息块(SMB)与文件系统连接时,DataSync 会使用 SMB 提供的安全功能。
传输过程中的网络连接
DataSync 需要三个网络连接才能复制数据:一个用于从源位置读取数据的连接,另一个用于在不同位置之间传输数据的连接,以及一个用于将数据写入目标位置的连接。
下图是 DataSync 用于将数据从本地存储系统传输到 Amazon 存储服务的网络连接示例。要了解连接发生的位置,以及数据在通过每个连接进行传输时如何受到保护,请使用随附的表格。
| 参考 | 网络连接 | 描述 |
|---|---|---|
| 1 | 从源位置读取数据 | DataSync 使用存储系统的数据访问协议(例如 SMB 或 Amazon S3 API)进行连接。对于此连接,数据通过使用存储系统的安全功能受到保护(除非 DataSync 不支持这些功能)。例如,DataSync 目前不支持 NFS 文件服务器的 Kerberos 身份验证,HDFS 使用 TDE 加密时也不支持这种身份验证。 |
| 2 | 在不同位置之间传输数据 | 对于此连接,DataSync 使用相互传输层安全性协议(mTLS)1.3 对所有网络流量进行加密。 |
| 3 | 将数据写入目标位置 | 与源位置一样,DataSync 使用存储系统的数据访问协议进行连接。数据通过使用存储系统的安全功能再次受到保护(除非 DataSync 不支持这些功能)。 |
了解当 DataSync 连接到以下 Amazon 存储服务时,数据在传输过程中是如何加密的:
TLS 密码
在不同位置之间传输数据时,DataSync 使用不同的 TLS 密码。TLS 密码取决于代理用于与 DataSync 通信的服务端点类型。(有关更多信息,请参阅 选择 Amazon DataSync 代理的服务端点。)
公共或 VPC 端点
对于公共和虚拟私有云(VPC)服务端点,DataSync 使用下列 TLS 密码之一:
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519)
-
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519)
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519)
FIPS 终端节点
对于联邦信息处理标准(FIPS)服务端点,DataSync 使用以下 TLS 密码:
-
TLS_AES_128_GCM_SHA256 (secp256r1)