Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

加密传输中数据

本主题说明了在 FSx for ONTAP 文件系统和连接的客户端之间传输文件数据时，可用于对文件数据进行加密的不同选项。它还提供指导，帮助您选择最适合您的工作流程的加密方法。

流经 Amazon 全球 Amazon Web Services 区域 网络的所有数据在离开 Amazon 安全设施之前，都会在物理层自动加密。可用区之间的所有流量都是加密的。其他加密层（包括本节中列出的加密层）会提供额外保护。有关如何为流经可用区域和实例的数据 Amazon 提供保护的更多信息 Amazon Web Services 区域，请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》中的传输中加密。

适用于 NetApp ONTAP 的 Amazon FSx 支持以下方法来加密在 FSx for ONTAP 文件系统和连接的客户端之间传输的数据：

所有支持的传输中数据加密方法都使用行业标准的 AES-256 加密算法，提供企业级加密。

选择加密传输中数据的方法

本节提供的信息可以帮助您确定哪种支持的传输中加密方法最适合您的工作流程。您可以在探索以下各节中详细介绍的支持选项时重新参阅本节。

在选择如何加密 FSx for ONTAP 文件系统和连接客户端间的传输中数据时，需要考虑几个因素。这些因素包括：

利用下图来帮助您决定使用哪种传输中加密方法。

如果以下所有条件都适用于您的工作流程，则 IPsec 加密是唯一可用选项：

使用 Amazon Nitro 系统对传输中的数据进行加密

如果使用基于 Nitro 的加密，当访问您文件系统的客户端在支持的 Amazon EC2 Linux 或 Windows 实例类型上运行时，传输中数据会自动加密。

使用基于 Amazon Nitro 的加密对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro 系统硬件的分载功能，自动加密实例间的传输中流量。

当支持的客户端实例类型位于同一 Amazon Web Services 区域 和同一 VPC 中或位于与文件系统的 VPC 对等的 VPC 中时，将自动启用基于 Nitro 的加密。此外，如果客户端位于对等 VPC 中，则数据无法通过虚拟网络设备或服务（如传输网关）以自动启用基于 Nitro 的加密。有关基于 Nitro 的加密的更多信息，请参阅《适用于 Linux 或 Windows 实例类型的 Amazon EC2 用户指南》中的传输中加密部分。

基于 Nitro 的传输中加密可用于 2022 年 11 月 28 日之后创建的文件系统，具体如下： Amazon Web Services 区域

此外，基于 Nitro的加密可用于亚太地区（悉尼）的横向扩展文件系统。 Amazon Web Services 区域

有关适用于 ONTAP 的 FSx Amazon Web Services 区域 在何处可用的更多信息，请参阅适用于 ONTAP 的 Amazon FSx 定价。 NetApp

有关 FSx for ONTAP 文件系统性能规格的更多信息，请参阅吞吐能力对性能的影响。

使用基于 Kerberos 的加密进行传输中数据加密

如果你使用的是 Act Microsoft ive Directory，则可以通过 NFS 和 SMB 协议使用基于 Kerberos 的加密来加密已加入 Microsoft Active Directory 的 SV M 子卷的传输数据。

通过 NFS 使用 Kerberos 进行传输中数据加密

NFSv3 和 NFSv4 协议支持使用 Kerberos 对传输中数据进行加密。要针对 NFS 协议使用 Kerberos 启用传输中加密，请参阅 NetApp ONTAP 文档中心中的使用 Kerberos 与 NFS 获得强大的安全性。

通过 SMB 使用 Kerberos 进行传输中数据加密

在支持 SMB 协议 3.0 或更高版本的计算实例上映射的文件共享支持通过 SMB 协议进行传输中数据加密。这包括来自微软 Windows Server 2012 及更高Microsoft Windows版本以及微软 Windows 8 及更高版本的所有版本。启用后，FSx for ONTAP 会在您访问文件系统时使用 SMB 加密自动加密传输中数据，而无需修改应用程序。

FSx for ONTAP SMB 支持 128 位和 256 位加密，具体取决于客户端会话请求。有关不同加密级别的描述，请参阅 NetApp ONTAP 文档中心中使用 CLI 管理 SMB 的设置 SMB 服务器最低身份验证安全级别部分。

您可以使用 ONTAP CLI 管理 FSx for ONTAP SVM 和卷的传输中加密设置。要访问 NetApp ONTAP CLI，请在要进行传输中加密设置的 SVM 上建立 SSH 会话，如 使用 CLI 管理 SVM ONTAP 中所述。

有关如何在 SVM 或卷上启用 SMB 加密的说明，请参阅。启用传输中数据 SMB 加密

使用 IPsec 加密进行传输中数据加密

FSx for ONTAP 支持在传输模式下使用 IPsec 协议，确保数据在传输过程中持续保持安全和加密。IPsec 为所有支持的 IP 流量（NFS、iSCSI 和 SMB 协议）为 ONTAP 文件系统的 FSx 之间传输的数据提供 end-to-end 加密。借助 IPsec 加密，您可以在配置为启用 IPsec 的 FSx for ONTAP SVM 与在访问数据的连接客户端上运行的 IPsec 客户端之间建立 IPsec 隧道。

当从不支持 基于 Nitro 的加密的客户端访问数据时，如果您的客户端和 SVM 未加入基于 Kerberos 的加密所必需的 Active Directory，我们建议您使用 IPsec 对通过 NFS、SMB 和 iSCSI 协议进行的传输中数据进行加密。如果 iSCSI 客户端不支持基于 Nitro 的加密，则 IPsec 加密是唯一可用于对 iSCSI 流量进行传输中数据加密的选项。

对于 IPsec 身份验证，您可以使用预共享密钥（PSK）或证书。如果您使用的是 PSK，则您使用的 IPsec 客户端必须支持带有 PSK 的互联网密钥交换版本 2 (IKEv2)。在 FSx for ONTAP 和客户端上配置 IPsec 加密的高级步骤如下：

有关如何使用 PSK 配置 IPsec 的更多信息，请参阅文档中心中的通过线路加密配置 IP 安全 (IPsec)。NetApp ONTAP

有关如何使用证书配置 IPsec 的更多信息，请参阅使用证书身份验证配置 IPsec。