Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifre los objetos almacenados por File Gateway en Amazon S3
S3 File Gateway admite los siguientes métodos de cifrado del lado del servidor para los datos que almacena en Amazon S3:
-
SSE-S3: de forma predeterminada, todos los objetos nuevos cargados en los buckets de Amazon S3 utilizan el cifrado del lado del servidor con claves administradas de Amazon S3. Para obtener más información, consulte Uso del cifrado del lado del servidor con claves administradas de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
-
SSE-KMS: puede configurar su recurso compartido de archivos para que utilice el cifrado del lado del servidor con claves administradas (). AWS Key Management Service AWS KMS AWS KMS es un servicio que combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Para obtener más información, consulte ¿Qué es el servicio de administración de AWS claves? en la Guía para AWS Key Management Service desarrolladores.
-
DSSE-KMS: el cifrado de doble capa del lado del servidor con AWS KMS claves aplica dos capas de cifrado a los objetos cuando se cargan en Amazon S3. Esto ayuda a cumplir con los estándares de conformidad para el cifrado multicapa. Para obtener más información, consulte Uso del cifrado de doble capa del lado del servidor con AWS KMS claves en la Guía del usuario de Amazon Simple Storage Service.
nota
El uso del DSSE-KMS y las claves conlleva cargos adicionales. AWS KMS Para más información, consulte Precios de AWS KMS
.
Puede especificar un método de cifrado al crear un nuevo recurso compartido de archivos mediante la consola Storage Gateway o la API Storage Gateway. Para conocer los procedimientos de la consola, consulte Cree un recurso compartido de archivos NFS con una configuración personalizada oCree un recurso compartido de archivos SMB con una configuración personalizada. Para obtener información sobre los comandos de API correspondientes, consulte Create NFSFile Share o Create SMBFile Share en la referencia de la API AWS de Storage Gateway.
También puede actualizar la configuración de cifrado de un recurso compartido de archivos existente mediante la consola Storage Gateway o la API Storage Gateway. Para ver el procedimiento de la consola, consulteCambia el método de cifrado del lado del servidor para un recurso compartido de archivos existente. Para obtener información sobre los comandos de API correspondientes, consulte Update NFSFile Share o Update SMBFile Share en la referencia de la API AWS de Storage Gateway.
nota
Tras actualizar el método de cifrado, la puerta de enlace utilizará el nuevo método para todos los objetos nuevos que cree en Amazon S3 y para cualquier objeto almacenado que actualice o modifique en el futuro. Los objetos Amazon S3 existentes solo recibirán el nuevo método de cifrado si la puerta de enlace los actualiza o modifica.
importante
Asegúrese de que el recurso compartido de archivos utilice el mismo tipo de cifrado que el bucket de Amazon S3 en el que almacena los datos.
Si configura su puerta de enlace de archivos para utilizar SSE-KMS o DSSE-KMS para el cifrado, debe añadir manualmente los kms:DescribeKey permisoskms:Encrypt, kms:Decrypt kms:ReEncrypt*kms:GenerateDataKey, y a la función de IAM asociada al recurso compartido de archivos. Para obtener más información, consulte Uso de políticas basadas en la identidad (políticas de IAM) para Storage Gateway.
