本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 的資料加密 AWS KMS Storage Gateway 使用 SSL/TLS (Secure Socket Layers/Transport Layer Security) 來加密閘道設備與 AWS 儲存之間傳輸的資料。在預設情況下,Storage Gateway 使用 Amazon S3 受管加密金鑰 (SSE-S3) 在伺服器端加密存放在 Amazon S3 中的所有資料。您可以選擇使用 Storage Gateway API 來設定閘道,使用伺服器端加密搭配 AWS Key Management Service (SSE-KMS) 金鑰來加密存放在雲端的資料。 **重要** 當您使用 AWS KMS 金鑰進行伺服器端加密時,您必須選擇對稱金鑰。Storage Gateway 不支援非對稱金鑰。如需詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[使用對稱和非對稱金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)。 **加密檔案共享** 對於檔案共用,您可以將閘道設定為使用 SSE-KMS,以使用 AWS KMS的管理金鑰來加密物件。如需使用 Storage Gateway API 加密寫入檔案共用的資料的詳細資訊,請參閱 *AWS Storage Gateway API 參考*中的 [CreateNFSFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateNFSFileShare.html)。 **加密磁碟區** 對於快取和儲存的磁碟區,您可以使用 Storage Gateway API 設定閘道,以使用 AWS KMS受管金鑰加密存放在雲端中的磁碟區資料。您可以將一個受管金鑰指定為 KMS 金鑰。您用來加密磁碟區的金輪在磁碟區建立之後就無法變更。若要使用 Storage Gateway API 來加密寫入快取或存放磁碟區的資料,請參閱 *AWS Storage Gateway API 參考*中的 [CreateCachediSCSIVolume](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateCachediSCSIVolume.html) 或 [ CreateStorediSCSIVolume](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateStorediSCSIVolume.html)。 **加密磁帶** 對於虛擬磁帶,您可以使用 Storage Gateway API 設定閘道,以加密存放在雲端的磁帶資料與 AWS KMS受管金鑰。您可以將一個受管金鑰指定為 KMS 金鑰。您用來加密磁帶資料的金輪在磁帶建立之後就無法變更。如需使用 Storage Gateway API 加密寫入虛擬[磁帶的資料的相關資訊,請參閱 *AWS Storage Gateway API 參考*中的 CreateTapes](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateTapes.html)。 使用 AWS KMS 加密您的資料時*,*請記住下列事項: + 您的資料是在雲端中的靜態狀態下加密。意即資料會在 Amazon S3 中加密。 + IAM 使用者必須擁有呼叫 AWS KMS API 操作所需的許可。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[AWS KMS使用 IAM 政策](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)。 + 如果您刪除或停用 AWS AWS KMS 金鑰或撤銷授予字符,則無法存取磁碟區或磁帶上的資料。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[刪除 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。 + 若您從 KMS 加密的磁碟區建立快照,快照也會處於加密狀態。快照會繼承磁碟區的 KMS 金鑰。 + 若您從 KMS 加密的快照建立新的磁碟區,那麼磁碟區也會處於加密狀態。您可以為新的磁碟區指定不同的 KMS 金鑰。 **注意** Storage Gateway 不支援從 KMS 加密磁碟區或 KMS 加密快照的復原點建立未加密的磁碟區。 如需詳細資訊 AWS KMS,請參閱[什麼是 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)