View a markdown version of this page

Bekerja dengan bucket Amazon S3 yang dienkripsi sisi server - FSx for Lustre
Mengakses bucket Amazon S3 terenkripsi sisi server di sisi lain atau dari VPC Bersama Akun AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan bucket Amazon S3 yang dienkripsi sisi server

FSx for Lustre mendukung bucket Amazon S3 yang S3-managed menggunakan SSE-S3 enkripsi sisi server dengan keys (), dan dengan storage in (). AWS KMS keys AWS Key Management Service SSE-KMS

Jika Anda ingin Amazon FSx mengenkripsi data saat menulis ke bucket S3, Anda perlu menyetel enkripsi default pada bucket S3 Anda ke salah satu atau. SSE-S3 SSE-KMS Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default di Panduan Pengguna Amazon S3. Saat menulis file ke bucket S3 Anda, Amazon FSx mengikuti kebijakan enkripsi default bucket S3 Anda.

Secara default, Amazon FSx mendukung bucket S3 yang dienkripsi menggunakan. SSE-S3 Jika ingin menautkan sistem file Amazon FSx ke bucket S3 yang dienkripsi menggunakan SSE-KMS enkripsi, Anda perlu menambahkan pernyataan ke kebijakan kunci terkelola pelanggan yang memungkinkan Amazon FSx mengenkripsi dan mendekripsi objek di bucket S3 menggunakan kunci KMS Anda.

Pernyataan berikut memungkinkan sistem file Amazon FSx tertentu untuk mengenkripsi dan mendekripsi objek untuk bucket S3 tertentu. bucket_name

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
catatan

Jika Anda menggunakan KMS dengan CMK untuk mengenkripsi bucket S3 Anda dengan kunci bucket S3 diaktifkan, setel ke EncryptionContext bucket ARN, bukan objek ARN, seperti dalam contoh ini:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

Pernyataan kebijakan berikut memungkinkan semua sistem file Amazon FSx di akun Anda untuk tertaut ke bucket S3 tertentu.

{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}

Mengakses bucket Amazon S3 terenkripsi sisi server di sisi lain atau dari VPC Bersama Akun AWS

Setelah membuat sistem file FSx for Lustre yang ditautkan ke bucket Amazon S3 terenkripsi, Anda harus AWSServiceRoleForFSxS3Access_fs-01234567890 memberikan akses peran terkait layanan (SLR) ke kunci KMS yang digunakan untuk mengenkripsi bucket S3 sebelum membaca atau menulis data dari bucket S3 yang ditautkan. Anda dapat menggunakan peran IAM yang sudah memiliki izin ke kunci KMS.

catatan

Peran IAM ini harus ada di akun tempat sistem file FSx for Lustre dibuat (yang merupakan akun yang sama dengan S3 SLR), bukan akun yang dimiliki bucket KMS. key/S3

Anda menggunakan peran IAM untuk memanggil AWS KMS API berikut untuk membuat hibah untuk SLR S3 sehingga SLR mendapatkan izin ke objek S3. Untuk menemukan ARN yang terkait dengan SLR Anda, cari peran IAM Anda menggunakan ID sistem file Anda sebagai string pencarian.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan untuk Amazon FSx.