View a markdown version of this page

Utilisation de compartiments Amazon S3 chiffrés côté serveur - FSx pour Lustre
Accès aux compartiments Amazon S3 chiffrés côté serveur dans un autre VPC Compte AWS ou à partir d'un VPC partagé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de compartiments Amazon S3 chiffrés côté serveur

FSx for Lustre prend en charge les compartiments Amazon S3 qui utilisent le chiffrement côté serveur à l' S3-managed aide de clés SSE-S3 () et AWS KMS keys de données stockées dans (). AWS Key Management Service SSE-KMS

Si vous souhaitez qu'Amazon FSx chiffre les données lors de l'écriture dans votre compartiment S3, vous devez définir le chiffrement par défaut de votre compartiment S3 sur ou. SSE-S3 SSE-KMS Pour plus d'informations, consultez la section Configuration du chiffrement par défaut dans le guide de l'utilisateur Amazon S3. Lorsque vous écrivez des fichiers dans votre compartiment S3, Amazon FSx suit la politique de chiffrement par défaut de votre compartiment S3.

Par défaut, Amazon FSx prend en charge les compartiments S3 chiffrés à l'aide de. SSE-S3 Si vous souhaitez lier votre système de fichiers Amazon FSx à un compartiment S3 chiffré par SSE-KMS chiffrement, vous devez ajouter une déclaration à votre politique de clé gérée par le client qui autorise Amazon FSx à chiffrer et déchiffrer les objets de votre compartiment S3 à l'aide de votre clé KMS.

L'instruction suivante permet à un système de fichiers Amazon FSx spécifique de chiffrer et de déchiffrer des objets pour un compartiment S3 spécifique,. bucket_name

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
Note

Si vous utilisez un KMS avec une clé CMK pour chiffrer votre compartiment S3 avec les clés de compartiment S3 activées, définissez l'ARN du EncryptionContext compartiment, et non l'ARN de l'objet, comme dans cet exemple :

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

La déclaration de politique suivante permet à tous les systèmes de fichiers Amazon FSx de votre compte d'être liés à un compartiment S3 spécifique.

{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}

Accès aux compartiments Amazon S3 chiffrés côté serveur dans un autre VPC Compte AWS ou à partir d'un VPC partagé

Après avoir créé un système de fichiers FSx for Lustre lié à un compartiment Amazon S3 chiffré, vous devez accorder au rôle lié AWSServiceRoleForFSxS3Access_fs-01234567890 au service (SLR) l'accès à la clé KMS utilisée pour chiffrer le compartiment S3 avant de lire ou d'écrire des données depuis le compartiment S3 lié. Vous pouvez utiliser un rôle IAM déjà autorisé à accéder à la clé KMS.

Note

Ce rôle IAM doit figurer dans le compte dans lequel le système de fichiers FSx for Lustre a été créé (qui est le même compte que le S3 SLR), et non dans le compte auquel appartient le compartiment key/S3 KMS.

Vous utilisez le rôle IAM pour appeler l' AWS KMS API suivante afin de créer une autorisation pour le SLR S3 afin que le SLR obtienne l'autorisation d'accéder aux objets S3. Pour trouver l'ARN associé à votre SLR, recherchez vos rôles IAM en utilisant l'ID de votre système de fichiers comme chaîne de recherche.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Pour plus d’informations sur les rôles liés à un service, consultez Utilisation de rôles liés à un service pour Amazon FSx.