Amazon S3 中的数据加密 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 中的数据加密

Amazon Transfer Family 使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用服务器端加密,使用 Amazon S3 托管密钥 (SSE-S3) 或 () 托管密钥 Amazon Key Management Service (SSE-KMS Amazon KMS) 进行加密。有关服务器端加密的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据

以下步骤向您展示了如何加密中的数据 Amazon Transfer Family。

允许加密 Amazon Transfer Family

  1. 为 存储桶启用默认加密。有关更多详细信息,请参阅《Amazon Simple Storage Service 用户指南》中的适用于 S3 存储桶的 Amazon S3 默认加密

  2. 更新附加到用户的 Amazon Identity and Access Management (IAM) 角色策略以授予所需的 Amazon Key Management Service (Amazon KMS) 权限。

  3. 如果您为用户使用会话策略,则会话策略必须授予所需的 Amazon KMS 权限。

以下示例显示了一个 IAM 策略,该策略授予与启用 Amazon KMS 加密的 Amazon S3 存储桶 Amazon Transfer Family 一起使用时所需的最低权限。可以将此示例策略包含在用户 IAM 角色策略和范围缩小策略(如果您在使用)中。

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此策略中指定的 KMS 密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。

Amazon KMS 密钥策略中必须允许根角色或用户使用的 IAM 角色。有关 Amazon KMS 密钥策略的信息,请参阅Amazon Key Management Service 开发人员指南中的在 Amazon KMS 中使用密钥策略