Bekerja dengan bucket Amazon S3 yang dienkripsi sisi server - FSx untuk Lustre
Mengakses bucket Amazon S3 terenkripsi sisi server di sisi lain atau dari VPC Bersama Akun AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan bucket Amazon S3 yang dienkripsi sisi server

FSx untuk Lustre mendukung bucket Amazon S3 yang menggunakan enkripsi sisi server dengan kunci yang dikelola S3 (SSE-S3), dan dengan disimpan di (SSE-KMS). AWS KMS keys AWS Key Management Service

Jika Anda ingin Amazon mengenkripsi data saat menulis FSx ke bucket S3 Anda, Anda perlu mengatur enkripsi default pada bucket S3 Anda ke SSE-S3 atau SSE-KMS. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default di Panduan Pengguna Amazon S3. Saat menulis file ke bucket S3 Anda, Amazon FSx mengikuti kebijakan enkripsi default bucket S3 Anda.

Secara default, Amazon FSx mendukung bucket S3 yang dienkripsi menggunakan SSE-S3. Jika Anda ingin menautkan sistem FSx file Amazon ke bucket S3 yang dienkripsi menggunakan enkripsi SSE-KMS, Anda perlu menambahkan pernyataan ke kebijakan kunci terkelola pelanggan yang memungkinkan Amazon FSx mengenkripsi dan mendekripsi objek di bucket S3 menggunakan kunci KMS Anda.

Pernyataan berikut memungkinkan sistem FSx file Amazon tertentu untuk mengenkripsi dan mendekripsi objek untuk bucket S3 tertentu. bucket_name

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
catatan

Jika Anda menggunakan KMS dengan CMK untuk mengenkripsi bucket S3 Anda dengan kunci bucket S3 diaktifkan, setel ke EncryptionContext bucket ARN, bukan objek ARN, seperti dalam contoh ini:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

Pernyataan kebijakan berikut memungkinkan semua sistem FSx file Amazon di akun Anda untuk menautkan ke bucket S3 tertentu.

{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}

Mengakses bucket Amazon S3 terenkripsi sisi server di sisi lain atau dari VPC Bersama Akun AWS

Setelah membuat sistem file FSx untuk Lustre yang ditautkan ke bucket Amazon S3 terenkripsi, Anda harus memberikan AWSServiceRoleForFSxS3Access_fs-01234567890 akses peran terkait layanan (SLR) ke kunci KMS yang digunakan untuk mengenkripsi bucket S3 sebelum membaca atau menulis data dari bucket S3 yang ditautkan. Anda dapat menggunakan peran IAM yang sudah memiliki izin ke kunci KMS.

catatan

Peran IAM ini harus ada di akun tempat sistem file FSx for Lustre dibuat (yang merupakan akun yang sama dengan S3 SLR), bukan akun tempat kunci KMS/ember S3 milik.

Anda menggunakan peran IAM untuk memanggil AWS KMS API berikut untuk membuat hibah untuk SLR S3 sehingga SLR mendapatkan izin ke objek S3. Untuk menemukan ARN yang terkait dengan SLR Anda, cari peran IAM Anda menggunakan ID sistem file Anda sebagai string pencarian.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan untuk Amazon FSx.