Verschlüsseln Sie von File Gateway in Amazon S3 gespeicherte Objekte - AWS Storage Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie von File Gateway in Amazon S3 gespeicherte Objekte

S3 File Gateway unterstützt die folgenden Methoden der serverseitigen Verschlüsselung für die in Amazon S3 gespeicherten Daten:

  • SSE-S3 — Standardmäßig verwenden alle neuen Objekte, die in Amazon S3 S3-Buckets hochgeladen werden, serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln. Weitere Informationen finden Sie unter Verwenden der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln im Amazon Simple Storage Service-Benutzerhandbuch.

  • SSE-KMS — Sie können Ihre Dateifreigabe so konfigurieren, dass serverseitige Verschlüsselung mit AWS Key Management Service ()AWS KMS verwalteten Schlüsseln verwendet wird. AWS KMS ist ein Dienst, der sichere, hochverfügbare Hardware und Software kombiniert, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Weitere Informationen finden Sie unter Was ist der AWS Key Management Service? im AWS Key Management Service Entwicklerhandbuch.

  • DSSE-KMS — Die zweischichtige serverseitige Verschlüsselung mit AWS KMS Schlüsseln wendet zwei Verschlüsselungsebenen auf Objekte an, wenn sie auf Amazon S3 hochgeladen werden. Dies trägt dazu bei, die Compliance-Standards für mehrschichtige Verschlüsselung zu erfüllen. Weitere Informationen finden Sie unter Verwenden der dualen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln im Amazon Simple Storage Service-Benutzerhandbuch.

    Anmerkung

    Für die Verwendung von DSSE-KMS und Schlüsseln fallen zusätzliche Gebühren an. AWS KMS Weitere Informationen finden Sie unter AWS KMS Preise.

Sie können eine Verschlüsselungsmethode angeben, wenn Sie eine neue Dateifreigabe mithilfe der Storage Gateway Gateway-Konsole oder der Storage Gateway Gateway-API erstellen. Informationen zu Konsolenprozeduren finden Sie unter Erstellen Sie eine NFS-Dateifreigabe mit einer benutzerdefinierten Konfiguration oderErstellen Sie eine SMB-Dateifreigabe mit einer benutzerdefinierten Konfiguration. Informationen zu den entsprechenden API-Befehlen finden Sie unter Create NFSFile Share oder Create SMBFile Share in der AWS Storage Gateway API-Referenz.

Sie können die Verschlüsselungseinstellungen für eine bestehende Dateifreigabe auch mithilfe der Storage Gateway Gateway-Konsole oder der Storage Gateway Gateway-API aktualisieren. Informationen zum Konsolenverfahren finden Sie unterÄndern Sie die serverseitige Verschlüsselungsmethode für eine bestehende Dateifreigabe. Informationen zu den entsprechenden API-Befehlen finden Sie unter Update NFSFile Share oder Update SMBFile Share in der AWS Storage Gateway API-Referenz.

Anmerkung

Nachdem Sie die Verschlüsselungsmethode aktualisiert haben, verwendet das Gateway die neue Methode für alle neuen Objekte, die es in Amazon S3 erstellt, und für alle gespeicherten Objekte, die es in future aktualisiert oder ändert. Bestehende Amazon S3 S3-Objekte erhalten die neue Verschlüsselungsmethode nur, wenn sie vom Gateway aktualisiert oder geändert werden.

Wichtig

Stellen Sie sicher, dass Ihre Dateifreigabe denselben Verschlüsselungstyp verwendet wie der Amazon S3 S3-Bucket, in dem Ihre Daten gespeichert werden.

Wenn Sie Ihr File Gateway so konfigurieren, dass SSE-KMS oder DSSE-KMS für die Verschlüsselung verwendet werden, müssen Sie der mit der kms:Encrypt Dateifreigabe verknüpften IAM-Rolle manuell kms:Decrypt kms:ReEncrypt*kms:GenerateDataKey,,, und kms:DescribeKey Berechtigungen hinzufügen. Weitere Informationen finden Sie unter Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Storage Gateway.