使用数据加密Amazon KMS - Amazon Storage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

亚马逊 S3 文件网关文档已移至什么是亚马逊 S3 文件网关?

亚马逊 FSx 文件网关文档已移至什么是亚马逊 FSx 文件网关?

磁带网关文档已移至什么是磁带网关?

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用数据加密Amazon KMS

Storage Gateway 使用 SSL/TLS(安全套接字层/传输层安全)对网关设备和Amazon存储设备之间传输的数据进行加密。默认情况下,Storage Gateway 使用 Amazon S3 托管的加密密钥 (SSE-S3) 来加密服务器端加密。您可以选择使用 Storage Gateway API 将网关配置为使用带有Amazon Key Management Service (SSE-KMS) 密钥的服务器端加密来加密存储在云中的数据。

重要

使用Amazon KMS密钥,进行服务器端加密时,您必须选择对称密钥。Storage Gateway 不支持非对称密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用对称和非对称密钥

加密文件共享

对于文件共享,您可以将网关配置为使用 SSEAmazon KMS-KMS 使用托管密钥加密对象。有关使用Storage Gateway API 加密写入文件共享的数据的信息,请参阅 Amazon Storage GatewayAPI 参考中的 CreateNFSFileShare

加密卷加密

对于缓存卷和存储卷,您可以使用 Storage Gateway API 将网关配置为使用Amazon KMS托管密钥加密存储在云中的卷数据。您可以将其中一个托管密钥指定为 KMS 密钥。创建卷后,无法更改用于加密卷的密钥。有关使用Storage Gateway API 加密写入缓存或存储卷的数据的信息,请参阅 Amazon Storage GatewayAPI 参考中的 CreateCachediscsi Volume 或 CreateStorediscsi Volume。

加密磁带

对于虚拟磁带,您可以使用 StoragAmazon KMS e Gateway API 将网关配置为使用托管密钥加密存储在云中的磁带数据。您可以将其中一个托管密钥指定为 KMS 密钥。创建磁带后,无法更改用于加密磁带数据的密钥。有关使用 Storage Gateway API 加密写入虚拟磁带的数据的信息,请参见 CreateTapesAmazon Storage GatewayAPI 参考中的

在使用 Amazon KMS 加密您的数据时请注意以下几点:

  • 您的数据在云中静态加密。也就是说,数据已在 Amazon S3 中加密。

  • IAM 用户必须具有调用Amazon KMS API 操作所需的权限。有关更多信息,请参阅Amazon Key Management Service开发者指南Amazon KMS中的使用 IAM 策略

  • 如果您删除或停用AmazonAmazon KMS密钥或撤消授权令牌,则无法访问卷或磁带上的数据。有关更多信息,请参阅Amazon Key Management Service开发者指南中的删除 KMS 密钥

  • 如果您从 KMS 加密的卷创建快照,则该快照会被加密。快照将继承卷的 KMS 密钥。

  • 如果您使用 KMS 加密的快照创建新卷,则该卷会被加密。可以为新卷指定不同的 KMS 密钥。

    注意

    Storage Gateway 不支持从 KMS 加密卷的恢复点或 KMS 加密的快照创建未加密卷。

有关 Amazon KMS 的更多信息,请参阅什么是 Amazon Key Management Service?