AWS Storage Gateway
用户指南 (API 版本 2013-06-30)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 AWS Key Management Service 加密您的数据

AWS Storage Gateway 使用 SSL/TLS(安全套接字层/传输层安全性)来加密在您的网关设备和 AWS 存储之间传输的数据。默认情况下, Storage Gateway 使用 Amazon S3 托管的加密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密 (SSE-S3)。您可以选择使用 Storage Gateway API 来配置不同的网关类型,以使用 AWS Key Management Service (KMS) 加密存储在云中的数据。

加密文件共享

对于文件共享,您可以将网关配置为使用 SSE-KMS 借助 AWS KMS 托管密钥加密您的对象。有关使用 Storage Gateway API 来加密写入到文件共享的数据的信息,请参阅 AWS Storage Gateway API Reference 中的 CreateNFSFileShare

加密卷

对于缓存卷和存储卷,您可以将网关配置为使用 Storage Gateway API 借助 AWS KMS 托管密钥加密存储在云中的卷数据。您可以指定其中一个托管客户主密钥 (CMK) 作为 KMS 密钥。您用来加密卷的 CMK 在卷创建之后便无法更改。有关使用 Storage Gateway API 来加密写入到缓存卷或存储卷的数据的信息,请参阅 AWS Storage Gateway API Reference 中的 CreateCachediSCSIVolumeCreateStorediSCSIVolume

加密磁带

对于虚拟磁带,您可以将网关配置为使用 Storage Gateway API 借助 AWS KMS 托管密钥加密存储在云中的磁带数据。您可以指定其中一个托管客户主密钥 (CMK) 作为 KMS 密钥。您用来加密磁带数据的 CMK 在磁带创建之后便无法更改。有关使用 Storage Gateway API 来加密写入到虚拟磁带的数据的信息,请参阅 AWS Storage Gateway API Reference 中的 CreateTapes

在使用 AWS KMS 加密您的数据时请注意以下几点:

  • 您的数据在云中静态加密。也就是说,在 Amazon S3 中对数据进行加密。

  • IAM 用户必须具有调用 AWS KMS API 操作所需的权限。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的在 AWS KMS 中使用 IAM 策略

  • 如果您删除或禁用 CMK 或撤销授权令牌,则将无法访问卷或磁带上的数据。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的删除客户主密钥

  • 如果从采用 KMS 加密的卷中创建快照,则将加密快照。快照将继承卷的 KMS 密钥。

  • 如果从采用 KMS 加密的快照中创建新卷,则将加密卷。可以为新卷指定不同的 KMS 密钥。

    注意

    AWS Storage Gateway 不支持从 KMS 加密卷或 KMS 加密快照的恢复点创建未加密卷。

有关 AWS KMS 的更多信息,请参阅什么是 AWS Key Management Service