加密文件网关存储在 Amazon S3 中的对象 - Amazon Storage Gatewa
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密文件网关存储在 Amazon S3 中的对象

S3 文件网关支持对其存储在 Amazon S3 中的数据使用以下服务器端加密方法:

  • SSE-S3 — 默认情况下,上传到 Amazon S3 存储桶的所有新对象都使用服务器端加密和 Amazon S3 托管密钥。有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的对 Amazon S3 托管密钥使用服务器端加密

  • SSE-KMS — 您可以将文件共享配置为使用 Amazon Key Management Service (Amazon KMS) 托管密钥的服务器端加密。 Amazon KMS 是一项结合了安全、高度可用的硬件和软件的服务,可提供可扩展到云端的密钥管理系统。有关更多信息,请参阅什么是 Amazon 密钥管理服务? 在《Amazon Key Management Service 开发人员指南》中。

  • DSSE-KMS — 带 Amazon KMS 密钥的双层服务器端加密在对象上传到 Amazon S3 时会对对象进行两层加密。这有助于满足多层加密的合规性标准。有关更多信息,请参阅 A mazon 简单存储服务用户指南中的使用带 Amazon KMS 密钥的双层服务器端加密

    注意

    使用 DSSE-KMS 和 Amazon KMS 密钥需要支付额外费用。有关更多信息,请参阅Amazon KMS 定价

在创建新的文件共享时,您可以使用 Storage Gateway 控制台或 Storage Gateway API 指定加密方法。有关控制台操作步骤,请参阅使用自定义配置创建 NFS 文件共享使用自定义配置创建 SMB 文件共享。有关相应的 API 命令的信息,请参阅 Amazon Storage Gateway API 参考中的创建NFSFileSMBFile共享或创建共享

您还可以使用 Storage Gateway 控制台或 Storage Gateway API 更新现有文件共享的加密设置。有关控制台操作步骤,请参见更改现有文件共享的服务器端加密方法。有关相应的 API 命令的信息,请参阅 Amazon Storage Gateway API 参考中的更新NFSFileSMBFile共享或更新共享

注意

更新加密方法后,网关将使用新方法来处理其在 Amazon S3 中创建的所有新对象以及将来更新或修改的任何存储对象。只有当网关更新或修改现有的 Amazon S3 对象时,它们才会收到新的加密方法。

重要

确保您的文件共享使用与存储数据的 Amazon S3 存储桶相同的加密类型。

如果您将文件网关配置为使用 SSE-KMS 或 DSSE-KMS 进行加密,则必须手动向与文件共享关联的 IAM 角色添加kms:Encryptkms:Decryptkms:ReEncrypt*kms:GenerateDataKey、、、和kms:DescribeKey权限。有关更多信息,请参阅对 Storage Gateway 使用基于身份的策略(IAM 策略)