数据加密使用Amazon KMS - Amazon Storage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据加密使用Amazon KMS

Storage Gateway使用 SSL/TLS(安全套接字层/传输层安全性)来加密在您的网关设备和Amazon存储。默认情况下,Storage Gateway 使用 Amazon S3 托管的加密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密 (SSE-S3)。您可以选择使用 Storage Gateway API 来配置您的网关,使用服务器端加密 (SSE-S3) 存储在云中的数据。Amazon Key Management Service(SSE-KMS) 客户主密钥 (CMK)。

重要

当您使用Amazon KMSCMK 用于服务器端加密,您必须选择对称 CMK。Storage Gateway 不支持非对称 CMK。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用对称和非对称密钥

加密文件共享

对于文件共享,您可以将网关配置为使用Amazon KMS— 通过使用 SSE-KMS 管理密钥。有关使用 Storage Gateway API 来加密写入文件共享的数据的信息,请参阅。CreateNFSFileShare中的Amazon Storage GatewayAPI 参考.

加密卷

对于缓存卷和存储卷,您可以将网关配置为使用Amazon KMS— 通过使用 Storage Gateway API 来管理密钥。您可以将其中一个托管客户主密钥 (CMK) 指定为 KMS 密钥。创建卷后,无法更改用于加密卷的 CMK。有关使用 Storage Gateway API 来加密写入缓存卷或存储卷的数据的信息,请参阅。CreateCachediSCSIVolume或者CreateStorediSCSIVolume中的Amazon Storage GatewayAPI 参考.

加密磁带

对于虚拟磁带,您可以将网关配置为使用Amazon KMS— 通过使用 Storage Gateway API 来管理密钥。您可以将其中一个托管客户主密钥 (CMK) 指定为 KMS 密钥。创建磁带后,无法更改用于加密磁带数据的 CMK。有关使用 Storage Gateway API 来加密写入虚拟磁带的数据的信息,请参阅。CreateTapes中的Amazon Storage GatewayAPI 参考.

在使用 Amazon KMS 加密您的数据时请注意以下几点:

  • 将在云中对您的数据进行静态加密。也就是说,Amazon S3 中的数据都加密。

  • IAM 用户必须具有调用所需的权限。Amazon KMSAPI 操作。有关更多信息,请参阅 。将 IAM 策略与Amazon KMS中的Amazon Key Management Service开发人员指南.

  • 如果您删除或禁用 CMK 或撤销授权令牌,则将无法访问卷或磁带上的数据。有关更多信息,请参阅 。删除客户主密钥中的Amazon Key Management Service开发人员指南.

  • 如果从采用 KMS 加密的卷中创建快照,则将加密快照。快照将继承卷的 KMS 密钥。

  • 如果从采用 KMS 加密的快照中创建新卷,则将加密卷。可以为新卷指定不同的 KMS 密钥。

    注意

    Storage Gateway 不支持从 KMS 加密卷或 KMS 加密快照的恢复点创建未加密卷。

有关 Amazon KMS 的更多信息,请参阅什么是 Amazon Key Management Service?