数据加密 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据加密

Amazon Transfer Family使用您为 Amazon S3 存储桶设置的默认加密选项来加密数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用 Amazon S3 托管密钥 (SSE-S3) 或具有服务器端加密进行加密AmazonKMS 托管密钥 (SSE-KMS)。有关服务器端加密的信息,请参阅使用服务器端加密保护数据中的Amazon Simple Storage Service 开发人员指南.

以下步骤说明如何在 Amazon Transfer Family 中加密数据。

允许 Amazon Transfer Family 中的加密

  1. 为 Amazon S3 存储桶启用默认加密。有关说明,请参阅S3 存储桶的 Amazon S3 默认加密中的Amazon Simple Storage Service 开发人员指南.

  2. 更新Amazon Identity and Access Management(IAM) 角色策略,该策略附加到用户授予所需的Amazon Key Management Service(Amazon KMS) 权限。

  3. 如果您为用户使用的是会话策略,则会话策略必须授予所需的Amazon KMS权限。

以下示例显示了一个 IAM 策略,该策略授予使用Amazon Transfer Family与已启用的 Amazon S3 存储桶Amazon KMS加密进行存储。在用户 IAM 角色策略和会话策略中包含此示例策略(如果您在使用)。 

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此策略中指定的 KMS 密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。

根或用于用户的 IAM 角色必须在Amazon KMS密钥策略。有关Amazon KMS密钥策略,请参阅使用以下密钥策略AmazonKMS中的Amazon Key Management Service开发人员指南.