使用数据加密 Amazon KMS - Amazon Storage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关?

Amazon FSx 文件网关文档已移至什么是 Amazon FSx 文件网关?

卷网关文档已移至什么是卷网关?

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用数据加密 Amazon KMS

Storage Gateway 使用 SSL/TLS(安全套接层/传输层安全)来加密在网关设备和存储设备之间传输的数据。 Amazon 默认情况下,Storage Gateway 使用 Amazon S3 托管的加密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密。您可以选择使用 Storage Gateway API 将网关配置为使用服务器端加密和 Amazon Key Management Service (SSE-KMS) 密钥对存储在云中的数据进行加密。

重要

使用 Amazon KMS 密钥进行服务器端加密时,必须选择对称密钥。Storage Gateway 不支持非对称密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用对称和非对称密钥

加密文件共享

对于文件共享,您可以使用 SSE-KMS 将网关配置为使用 Amazon KMS托管密钥来加密对象。有关使用 Storage Gateway API 加密写入文件共享的数据的信息,请参阅 Amazon Storage Gateway API 参考FileShare中的 CreateNFS

加密卷

对于缓存和存储的卷,您可以使用 Storage Gateway API 将网关配置为使用 Amazon KMS托管密钥加密存储在云中的卷数据。您可以将其中一个托管密钥指定为 KMS 密钥。创建卷后,即无法更改用于加密卷的密钥。有关使用 Storage Gateway API 加密写入缓存或存储卷的数据的信息,请参阅 API 参考中的 CreateCachedisciVol ume 或 CreateStoredisciVol ume。Amazon Storage Gateway

加密磁带

对于虚拟磁带,您可以使用 Storage Gateway API 将网关配置为使用 Amazon KMS托管密钥加密存储在云中的磁带数据。您可以将其中一个托管密钥指定为 KMS 密钥。创建磁带后,即无法更改用于加密磁带数据的密钥。有关使用 Storage Gateway API 加密写入虚拟磁带的数据的信息,请参阅 Amazon Storage Gateway API 参考CreateTapes中的。

使用 Amazon KMS 加密数据时请记住以下几点:

  • 您的数据在云中进行静态加密。也就是说,在 Amazon S3 中对数据进行加密。

  • IAM 用户必须具有调用 Amazon KMS API 操作所需的权限。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的将 IAM 策略与 Amazon KMS结合使用

  • 如果您删除或停用 Amazon Amazon KMS 密钥或撤消授权令牌,则无法访问卷或磁带上的数据。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的删除 KMS 密钥

  • 如果从采用 KMS 加密的卷中创建快照,则将加密快照。快照将继承卷的 KMS 密钥。

  • 如果从采用 KMS 加密的快照中创建新卷,则将加密卷。可以为新卷指定不同的 KMS 密钥。

    注意

    Storage Gateway 不支持从 KMS 加密卷或 KMS 加密快照的恢复点创建未加密卷。

有关的更多信息 Amazon KMS,请参阅什么是 Amazon Key Management Service?