本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
数据加密
Amazon Transfer Family使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用 Amazon S3 托管密钥 (SSE-S3) 或Amazon Key Management Service () 托管密钥 (SSE-KMSAmazon KMS) 通过服务器端加密进行加密。有关服务器端加密的信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据。
以下步骤说明如何在 Amazon Transfer Family 中加密数据。
允许 Amazon Transfer Family 中的加密
-
为 Amazon S3 存储桶启用默认加密。有关说明,请参阅《Amazon S imple Storage Service 用户指南》中的适用于 S3 存储桶的 Amazon S3 默认
-
更新附加到用户的Amazon Identity and Access Management (IAM) 角色策略以授予所需的Amazon Key Management Service (Amazon KMS) 权限。
-
如果您为用户使用会话策略,则会话策略必须授予所需的Amazon KMS权限。
以下示例显示了一个 IAM 策略,该策略授予与启用了Amazon KMS加密功能的 Amazon S3 存储桶Amazon Transfer Family一起使用时所需的最低权限。如果您正在使用用户 IAM 角色策略和会话策略,请将此示例策略包含在这些策略中。
{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:
region
:account-id
:key/kms-key-id
" }
您在此策略中指定的 KMS 密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。
Amazon KMS密钥策略中必须允许 Root 或用户使用的 IAM 角色。有关Amazon KMS密钥策略的信息,请参阅Amazon Key Management Service开发者指南中的在Amazon KMS 中使用密钥策略。