本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon S3 API 适配器对 Snowball 进行授权
当您使用适用于 Snowball 的 Amazon S3 适配器时,默认情况下,每次交互都使用Amazon签名版本 4 算法进行签名。此授权仅用于验证从数据源传输到适配器的数据。所有加密和解密都发生在工作站的内存中。未加密的数据永远不会存储在工作站或 Snowball 上。
使用适配器时,请牢记以下内容:
-
您可以禁用签名-在工作站上安装适配器后,可以通过修改 snowball-adapter.config 文件来禁用签名。此文件保存到 /.aws/snowball/config,其名为的值默认
auth.enabled
设置为 true。如果将此值更改为false
,则禁用通过签名版本 4 算法进行签名。您可能不想禁用签名,因为签名用于防止修改或更改在适配器和数据存储之间传输的数据。在与适配器通信时,您也可以启用 HTTPS 并提供自己的证书。为此,您可以使用其他选项启动适配器。有关更多信息,请参阅《Amazon S3 Adapter》Snowball:注意 无论您的签名解决方案如何,传入 Snowball 或从 Snowball 传输的数据始终是加密的。
-
加密密钥不会因您使用的Amazon Web Services凭据而改变 — 因为使用 Signature Version 4 算法进行签名仅用于验证从其源传输到适配器的数据,因此它不会考虑用于在 Snowball 上加密数据的加密密钥。
-
您可以使用任何Amazon配置文件 — 适用于 Snowball 的 Amazon S3 Adapter 永远不会重新连接Amazon以验证您的Amazon Web Services证书,因此您可以使用任何Amazon配置文件与适配器一起对工作站和适配器之间传输的数据进行签名。
-
Snowball 不包含任何Amazon Web Services证书 — 您可以在本地管理 Snowball 的访问控制和授权。Snowball 或适配器上的任何软件都无法区分一个用户和另一个用户之间的访问权限。当有人可以访问 Snowball、清单和解锁码时,该人就可以完全访问设备及其上的所有数据。我们建议您相应地规划 Snowball 的物理和网络访问权限。