更改现有文件共享的服务器端加密方法 - Amazon Storage Gatewa
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改现有文件共享的服务器端加密方法

以下过程介绍如何使用 Storage Gateway 控制台更改现有 NFS 或 SMB 文件共享的服务器端加密方法。要使用 Storage Gateway API 执行此操作,请参阅 Amazon Storage Gateway API 参考中的更新NFSFileSMBFile共享或更新共享

注意

更新加密方法后,将新方法应用于存储在 Amazon S3 存储桶中的现有对象。

如果您将文件网关配置为使用 SSE-KMS 进行加密,则必须手动向与文件共享关联的 IAM 角色添加kms:Encryptkms:Decryptkms:ReEncrypt*kms:GenerateDataKey、、、和kms:DescribeKey权限。有关更多信息,请参阅对 Storage Gateway 使用基于身份的策略(IAM 策略)

更改 NFS 或 SMB 文件共享的服务器端加密方法

  1. https://console.aws.amazon.com/storagegateway/家中打开 Storage Gateway 控制台。

  2. 选择 “文件共享”,然后选择要更改其加密方法的文件共享。

  3. 在 “操作” 中,选择 “编辑文件共享加密”。

  4. 对于加密,请选择要对 Amazon S3 中的静态文件使用的加密类型:

    • 要使用由 Amazon S3 管理的服务器端加密 (SSE-S3),请选择 S3 托管密钥 (SSE-S3)。有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的对 Amazon S3 托管密钥使用服务器端加密

    • 要使用由 Amazon 密钥管理服务 (SSE-KMS) 管理的服务器端加密,请选择 KMS 管理的密钥 (SSE-K MS)。对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。

      有关的更多信息 Amazon KMS,请参阅什么是 Amazon 密钥管理服务? 在《Amazon Key Management Service 开发人员指南》中。

    • 要使用由 Amazon 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密,请选择使用密钥进行双层服务器端加密 (DSSE-KMS)。 Amazon Key Management Service 对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。

      有关 DSSE-KMS 的更多信息,请参阅 A mazon 简单存储服务用户指南Amazon KMS 中的使用带密钥的双层服务器端加密

      注意

      使用 DSSE-KMS 和 Amazon KMS 密钥需要支付额外费用。有关更多信息,请参阅Amazon KMS 定价

      要指定别名未列出的 Amazon KMS 密 Amazon KMS 钥或使用来自其他 Amazon 账户的密钥,必须使用 Amazon Command Line Interface。不支持非对称 KMS 密钥。有关更多信息,请参阅 Amazon Storage Gateway API 参考中的创建SMBFile共享

  5. 完成后,选择保存更改