传输中加密

在支持 SMB 协议 3.0 或更高版本的计算实例上映射的文件共享支持传输中数据加密。这包括从 Windows Server 2012 和 Windows 8 开始的所有 Windows 版本，以及所有 Samba 客户端版本 4.2 或更高版本的 Linux 客户端。Amazon FSx for Windows File Server 会在您访问文件系统时使用 SMB 加密自动加密传输中数据，而无需修改应用程序。

SMB 加密使用 AES-128-GCM 或 AES-128-CCM（如果客户端支持 SMB 3.1.1，则选择 GCM 变体）作为其加密算法，同时通过使用 SMB Kerberos 会话密钥进行签名来提供数据完整性。使用 AES-128-GCM 可以提高性能，例如，通过加密的 SMB 连接复制大文件时，性能最多可提高 2 倍。

为了满足始终加密的合规性要求 data-in-transit，您可以将文件系统的访问权限限制为仅允许访问支持 SMB 加密的客户端。您还可以启用或禁用每个文件共享或整个文件系统的传输中加密。这允许您在同一个文件系统上混合使用加密和未加密的文件共享。

管理传输中加密

您可以使用一组自定义 PowerShell 命令来控制在 FSx for Windows File Server 文件系统和客户端之间传输的数据的加密。您可以将文件系统访问权限限制为仅支持 SMB 加密的客户端，以便 data-in-transit 始终对其进行加密。启用加密强制功能后 data-in-transit，从不支持 SMB 3.0 加密的客户机访问文件系统的用户将无法访问已启用加密功能的文件共享。

您还可以在文件共享级别而不是文件服务器级别控制加密。 data-in-transit 如果您想对某些包含敏感数据的文件共享强制执行传输中加密，并允许所有用户访问某些其他文件共享，则可以使用文件共享级别的加密控制，以在同一个文件系统上混合使用加密和未加密的文件共享。服务器范围的加密优先于共享级别的加密。如果启用了全局加密，则无法有选择地禁用某些共享的加密。

您可以使用 Amazon FSx CLI 在文件系统上管理用户传输中的加密，以便在上进行远程 PowerShell管理。要了解如何使用此 CLI，请参阅使用 Amazon FSx CLI PowerShell。

如下所列为可用于管理文件系统上的用户传输中加密的命令。

传输中加密命令描述

传输中加密命令	描述
Get-FSxSmbServerConfiguration	检索服务器消息块（SMB）服务器配置。在系统响应中，您可以根据`EncryptData`和`RejectUnencryptedAccess`属性的值确定文件系统的传输中加密设置。
Set-FSxSmbServerConfiguration	此命令有两个用于配置传输中加密的选项： `-EncryptData $True\|$False`— 将此参数设置`True`为可开启传输中数据加密。将此参数设置`False`为可关闭传输中数据加密。 `-RejectUnencryptedAccess $True\|$False`— 将此参数设置为，不允许不支持加密的客户机访问文件系统。`True`将此参数设置为，允许不支持加密的客户机访问文件系统。`False`

Get-FSxSmbServerConfiguration

检索服务器消息块（SMB）服务器配置。在系统响应中，您可以根据EncryptData和RejectUnencryptedAccess属性的值确定文件系统的传输中加密设置。

Set-FSxSmbServerConfiguration

此命令有两个用于配置传输中加密的选项：

-EncryptData $True|$False— 将此参数设置True为可开启传输中数据加密。将此参数设置False为可关闭传输中数据加密。
-RejectUnencryptedAccess $True|$False— 将此参数设置为，不允许不支持加密的客户机访问文件系统。True将此参数设置为，允许不支持加密的客户机访问文件系统。False

每个命令的联机帮助中都提供所有命令选项的参考信息。要访问此帮助，请运行包含 -? 的命令，例如 Get-FSxSmbServerConfiguration -?。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

静态加密

Windows ACL