使用数据加密Amazon KMS - AmazonStorage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用数据加密Amazon KMS

Storage Gateway 使用 SSL/TLS(安全套接字层/传输层安全性)来加密在您的网关设备之间传输的数据,Amazon存储。默认情况下,Storage Gateway 使用 Amazon S3 托管的加密密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密。您可以选择使用 Storage Gateway API 将您的网关配置为使用服务器端加密以加密存储在云中的数据的选项。Amazon Key Management Service(SSE-KMS) 客户主密钥 (CMK)。

重要

当您使用Amazon KMSCMK 用于服务器端加密,您必须选择对称 CMK。Storage Gateway 不支持非对称 CMK。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用对称和非对称密钥

加密文件共享

对于文件共享,您可以将网关配置为加密对象Amazon KMS— 使用 SSE-KMS 托管密钥。有关使用 Storage Gateway API 来加密写入文件共享的数据的信息,请参阅。CreateNFSFileShare中的Amazon Storage GatewayAPI 参考.

加密文件系统

有关信息,请参阅亚马逊 FSx 中的数据加密中的Amazon FSx for Windows File Server 用户指南.

在使用 Amazon KMS 加密您的数据时请注意以下几点:

  • 您的数据在云中静态加密。也就是说,在 Amazon S3 中对数据进行加密。

  • IAM 用户必须有必需的权限才能调用Amazon KMSAPI 操作。有关更多信息,请参阅 。将 IAM 策略与Amazon KMS中的Amazon Key Management Service开发人员指南.

  • 如果您删除或禁用 CMK 或撤销授权令牌,则将无法访问卷或磁带上的数据。有关更多信息,请参阅 。删除客户主密钥中的Amazon Key Management Service开发人员指南.

  • 如果从采用 KMS 加密的卷中创建快照,则将加密快照。快照将继承卷的 KMS 密钥。

  • 如果从采用 KMS 加密的快照中创建新卷,则将加密卷。可以为新卷指定不同的 KMS 密钥。

    注意

    Storage Gateway 不支持从 KMS 加密卷或 KMS 加密快照的恢复点创建未加密卷。

有关 Amazon KMS 的更多信息,请参阅什么是 Amazon Key Management Service?