本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon S3 中的数据加密
Amazon Transfer Family 使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用服务器端加密,使用 Amazon S3 托管密钥 (SSE-S3) 或 () 托管密钥 Amazon Key Management Service (SSE-Amazon KMS KMS) 进行加密。有关服务器端加密的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用服务器端加密保护数据。
以下步骤向您展示了如何加密中的数据 Amazon Transfer Family。
允许加密 Amazon Transfer Family
-
为 Amazon S3 存储桶启用默认加密。有关更多详细信息,请参阅 Amazon Simple Storage Service 用户指南中的适用于 S3 存储桶的 Amazon S3 默认加密。
-
更新附加到用户的 Amazon Identity and Access Management (IAM) 角色策略以授予所需的 Amazon Key Management Service (Amazon KMS) 权限。
-
如果您为用户使用会话策略,则会话策略必须授予所需的 Amazon KMS 权限。
以下示例显示了一项IAM策略,该策略授予与启用 Amazon KMS 加密的 Amazon S3 存储桶 Amazon Transfer Family 一起使用时所需的最低权限。如果您使用的是用户IAM角色策略和会话策略,请将此示例策略包含在用户角色策略和会话策略中。
{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:
region
:account-id
:key/kms-key-id
" }
注意
您在此策略中指定的KMS密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。
Amazon KMS 密钥策略中必须允许 root 或用户使用的IAM角色。有关 Amazon KMS 密钥策略的信息,请参阅《Amazon Key Management Service 开发人员指南》 Amazon KMS中的使用密钥策略。