Como trabalhar com buckets do Amazon S3 criptografados no lado do servidor - FSx para Lustre
Acessando buckets Amazon S3 criptografados do lado do servidor em uma VPC diferente ou de uma VPC compartilhada Conta da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como trabalhar com buckets do Amazon S3 criptografados no lado do servidor

FSx for Lustre oferece suporte a buckets Amazon S3 que usam criptografia do lado do servidor com chaves gerenciadas pelo S3 (SSE-S3) e armazenadas em (SSE-KMS). AWS KMS keys AWS Key Management Service

Se você quiser que FSx a Amazon criptografe dados ao gravar em seu bucket S3, você precisa definir a criptografia padrão em seu bucket S3 como SSE-S3 ou SSE-KMS. Para obter mais informações, consulte Configuração da criptografia padrão no Guia do usuário do Amazon S3. Ao gravar arquivos no seu bucket do S3, a Amazon FSx segue a política de criptografia padrão do seu bucket do S3.

Por padrão, a Amazon FSx oferece suporte a buckets S3 criptografados usando SSE-S3. Se você quiser vincular seu sistema de FSx arquivos Amazon a um bucket S3 criptografado usando criptografia SSE-KMS, você precisa adicionar uma declaração à sua política de chaves gerenciadas pelo cliente que permita à Amazon criptografar e FSx descriptografar objetos em seu bucket S3 usando sua chave KMS.

A declaração a seguir permite que um sistema de FSx arquivos específico da Amazon criptografe e descriptografe objetos para um bucket S3 específico,. bucket_name

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
nota

Se você estiver usando um KMS com uma CMK para criptografar seu bucket do S3 com as chaves do bucket do S3 habilitadas, defina EncryptionContext como ARN do bucket, não o ARN do objeto, como neste exemplo:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

A declaração de política a seguir permite que todos os sistemas de FSx arquivos da Amazon em sua conta sejam vinculados a um bucket específico do S3.

{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}

Acessando buckets Amazon S3 criptografados do lado do servidor em uma VPC diferente ou de uma VPC compartilhada Conta da AWS

Depois de criar um sistema de arquivos FSx for Lustre vinculado a um bucket criptografado do Amazon S3, você deve então conceder à função vinculada AWSServiceRoleForFSxS3Access_fs-01234567890 ao serviço (SLR) acesso à chave KMS usada para criptografar o bucket do S3 antes de ler ou gravar dados do bucket do S3 vinculado. Você pode usar um perfil do IAM que já tenha permissões para a chave KMS.

nota

Essa função do IAM deve estar na conta na qual o sistema de arquivos FSx for Lustre foi criado (que é a mesma conta da SLR do S3), não na conta à qual a chave KMS/bucket do S3 pertence.

Você usa a função do IAM para chamar a AWS KMS API a seguir para criar uma concessão para a SLR do S3 para que a SLR obtenha permissão para os objetos do S3. Para encontrar o ARN associado ao SLR, pesquise nos perfis do IAM usando o ID do sistema de arquivos como string de pesquisa.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Para obter mais informações sobre funções vinculadas ao serviço, consulte Usando funções vinculadas a serviços para a Amazon FSx.