数据加密 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据加密

Amazon Transfer Family使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用 Amazon S3 托管密钥 (SSE-S3) 或Amazon Key Management Service () 托管密钥 (SSE-KMSAmazon KMS) 通过服务器端加密进行加密。有关服务器端加密的信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据

以下步骤说明如何在 Amazon Transfer Family 中加密数据。

允许 Amazon Transfer Family 中的加密

  1. 为 Amazon S3 存储桶启用默认加密。有关说明,请参阅《Amazon S imple Storage Service 用户指南》中的适用于 S3 存储桶的 Amazon S3 默认

  2. 更新附加到用户的Amazon Identity and Access Management (IAM) 角色策略以授予所需的Amazon Key Management Service (Amazon KMS) 权限。

  3. 如果您为用户使用会话策略,则会话策略必须授予所需的Amazon KMS权限。

以下示例显示了一个 IAM 策略,该策略授予与启用了Amazon KMS加密功能的 Amazon S3 存储桶Amazon Transfer Family一起使用时所需的最低权限。如果您正在使用用户 IAM 角色策略和会话策略,请将此示例策略包含在这些策略中。

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此策略中指定的 KMS 密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。

Amazon KMS密钥策略中必须允许 Root 或用户使用的 IAM 角色。有关Amazon KMS密钥策略的信息,请参阅Amazon Key Management Service开发者指南中的在Amazon KMS 中使用密钥策略