Amazon S3 中的数据加密 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 中的数据加密

Amazon Transfer Family 使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用服务器端加密,使用 Amazon S3 托管密钥 (SSE-S3) 或 () 托管密钥 Amazon Key Management Service (SSE-Amazon KMS KMS) 进行加密。有关服务器端加密的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用服务器端加密保护数据

以下步骤向您展示了如何加密中的数据 Amazon Transfer Family。

允许加密 Amazon Transfer Family

  1. 为 Amazon S3 存储桶启用默认加密。有关更多详细信息,请参阅 Amazon Simple Storage Service 用户指南中的适用于 S3 存储桶的 Amazon S3 默认加密

  2. 更新附加到用户的 Amazon Identity and Access Management (IAM) 角色策略以授予所需的 Amazon Key Management Service (Amazon KMS) 权限。

  3. 如果您为用户使用会话策略,则会话策略必须授予所需的 Amazon KMS 权限。

以下示例显示了一项IAM策略,该策略授予与启用 Amazon KMS 加密的 Amazon S3 存储桶 Amazon Transfer Family 一起使用时所需的最低权限。如果您使用的是用户IAM角色策略和会话策略,请将此示例策略包含在用户角色策略和会话策略中。

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此策略中指定的KMS密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。

Amazon KMS 密钥策略中必须允许 root 或用户使用的IAM角色。有关 Amazon KMS 密钥策略的信息,请参阅《Amazon Key Management Service 开发人员指南》 Amazon KMS中的使用密钥策略