在 Amazon S3 中加密文件网关存储的对象 - AWS Storage Gatewa

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon S3 中加密文件网关存储的对象

S3 文件网关支持对其存储在 Amazon S3 中的数据使用以下服务器端加密方法:

  • SSE-S3:默认情况下,上传到 Amazon S3 存储桶的所有新对象都使用 Amazon S3 托管密钥进行服务器端加密。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 Amazon S3 托管密钥的服务器端加密

  • SSE-KMS — 您可以将文件共享配置为使用 AWS Key Management Service (AWS KMS) 托管密钥的服务器端加密。 AWS KMS 是一项结合了安全、高度可用的硬件和软件的服务,可提供可扩展到云端的密钥管理系统。有关更多信息,请参阅什么是 AWS 密钥管理服务? 在《AWS Key Management Service 开发人员指南》中。

  • DSSE-KMS — 带 AWS KMS 密钥的双层服务器端加密在对象上传到 Amazon S3 时会对对象进行两层加密。这有助于满足多层加密的合规性标准。有关更多信息,请参阅 A mazon 简单存储服务用户指南中的使用带 AWS KMS 密钥的双层服务器端加密

    注意

    使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息,请参阅AWS KMS 定价

您可以使用 Storage Gateway 控制台或 Storage Gateway API 来指定加密方法。有关控制台操作步骤,请参阅 使用自定义配置创建 NFS 文件共享使用自定义配置创建 SMB 文件共享。有关相应的 API 命令的信息,请参阅 AWS Storage Gateway API 参考中的创建NFSFileSMBFile共享或创建共享

您还可以使用 Storage Gateway 控制台或 Storage Gateway API 更新现有文件共享的加密设置。有关控制台操作步骤,请参阅更改现有文件共享的服务器端加密方法。有关相应的 API 命令的信息,请参阅 AWS Storage Gateway API 参考中的更新NFSFileSMBFile共享或更新共享

注意

更新加密方法后,网关将使用新方法来处理其在 Amazon S3 中创建的所有新对象以及将来更新或修改的任何存储对象。现有 Amazon S3 对象仅在通过网关更新或修改时才会采用新的加密方法。

重要

确保您的文件共享使用的加密类型,与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。

如果您将文件网关配置为使用 SSE-KMS 或 DSSE-KMS 进行加密,则必须手动向与文件共享关联的 IAM 角色添加 kms:Encryptkms:Decryptkms:ReEncrypt*kms:GenerateDataKeykms:DescribeKey 权限。有关更多信息,请参阅为 Storage Gateway 使用基于身份的策略(IAM 策略)