使用适用于 Snowball 的 Amazon S3 API 适配器进行授权
在您使用 适用于 Snowball 的 Amazon S3 Adapter 时,系统会默认使用 AWS 签名版本 4 算法对每次交互进行签名。此授权仅用于验证从数据源传输到适配器的数据。所有加密和解密工作都在工作站的内存中完成。未加密的数据从不会存储在工作站或 Snowball 中。
使用适配器时,请牢记以下内容:
-
可以禁用签名 – 在工作站中安装适配器之后,可通过修改 snowball-adapter.config 文件禁用签名。此文件保存在 /.aws/snowball/config 下,有一个名为
auth.enabled的值,默认设置为 true。如果将此值更改为false,则可以禁用通过签名版本 4 算法进行的签名。您可能不想禁用签名。因为签名可用于防止修改或更改适配器和数据存储之间传输的数据。您还可启用 HTTPS,并在与适配器进行通信时提供自己的凭证。为此,请使用其他选项启动适配器。有关更多信息,请参阅 适用于Snowball 的 Amazon S3 Adapter 的选项。注意
无论您使用哪种签名解决方案,传入或传出 Snowball 的数据应始终加密。
-
加密密钥不会因您使用的 AWS 凭证类型而有所更改 – 因为使用签名版本 4 算法进行签名只用于验证从数据源传输到适配器的数据,因此从不考虑将加密密钥用于加密 Snowball 上的数据。
-
可使用任何 AWS 配置文件 – 适用于 Snowball 的 Amazon S3 Adapter 不会连接回 AWS 来验证您的 AWS 凭证,因此您可以将任何 AWS 配置文件与适配器相结合使用来对工作站和适配器之间传输的数据进行签名。
-
Snowball 不含任何 AWS 凭证 – 您可以管理对 Snowball 本地的访问控制和授权。Snowball 或适配器上没有任何软件能够区分用户之间的访问。当有人访问 Snowball、清单和解锁代码时,该用户可以完全访问设备及设备上的所有数据。我们建议您能够相应地制定好 Snowball 的物理和网络访问计划。