使用数据加密Amazon KMS - Amazon Storage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用数据加密Amazon KMS

Storage Gateway 使用 SSL/TLS(安全套接字层/传输层安全性)来加密在您的网关设备之间传输的数据,Amazon存储。默认情况下,Storage Gateway 使用 Amazon S3 托管的加密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密。您可以选择使用 Storage Gateway API 将您的网关配置为使用服务器端加密存储在云中的数据。Amazon Key Management Service(SSE-KMS) 密钥。

重要

当您使用Amazon KMS对于服务器端加密的键,您必须选择对称密钥。Storage Gateway 不支持非对称密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用对称和非对称密钥

加密文件共享

对于文件共享,您可以将网关配置为加密对象Amazon KMS— 使用 SSE-KMS 托管密钥。有关使用 Storage Gateway API 来加密写入文件共享的数据的信息,请参阅。CreateNFSFileShare中的Amazon Storage GatewayAPI 参考.

加密卷

对于缓存卷和存储卷,您可以将网关配置为使用对存储在云中的卷数据进行加密。Amazon KMS— 使用 Storage Gateway API 托管密钥。您可以将其中一个托管密钥指定为 KMS 密钥。创建卷后,无法更改用于加密卷的密钥。有关使用 Storage Gateway API 来加密写入缓存卷或存储卷的数据的信息,请参阅。CreateCachediSCSIVolume要么CreateStorediSCSIVolume中的Amazon Storage GatewayAPI 参考.

加密磁带

对于虚拟磁带,您可以将网关配置为加密存储在云中的磁带数据Amazon KMS— 使用 Storage Gateway API 托管密钥。您可以将其中一个托管密钥指定为 KMS 密钥。创建磁带后,无法更改用于加密磁带数据的密钥。有关使用 Storage Gateway API 来加密写入虚拟磁带的数据的信息,请参阅。CreateTapes中的Amazon Storage GatewayAPI 参考.

在使用 Amazon KMS 加密您的数据时请注意以下几点:

  • 在云中对您的数据进行静态加密。也就是说,在 Amazon S3 中对数据进行加密。

  • IAM 用户必须具有调用所需的权限Amazon KMSAPI 操作。有关更多信息,请参阅 。将 IAM 策略用于Amazon KMS中的Amazon Key Management Service开发人员指南.

  • 如果您删除或禁用 CMK 或撤销授权令牌,则将无法访问卷或磁带上的数据。有关更多信息,请参阅 。删除 KMS 密钥中的Amazon Key Management Service开发人员指南.

  • 如果从采用 KMS 加密的卷中创建快照,则将加密快照。快照将继承卷的 KMS 密钥。

  • 如果从采用 KMS 加密的快照中创建新卷,则将加密卷。可以为新卷指定不同的 KMS 密钥。

    注意

    Storage Gateway 不支持从 KMS 加密卷或 KMS 加密快照的恢复点创建未加密卷。

有关 Amazon KMS 的更多信息,请参阅什么是 Amazon Key Management Service?