Arbeiten mit serverseitig verschlüsselten Amazon S3 S3-Buckets - FSxfür Lustre
Zugreifen auf serverseitig verschlüsselte Amazon S3 S3-Buckets in einem anderen AWS-Konto oder von einem Shared VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit serverseitig verschlüsselten Amazon S3 S3-Buckets

FSxfor Lustre unterstützt Amazon S3 S3-Buckets, die serverseitige Verschlüsselung mit S3-verwalteten Schlüsseln (SSE-S3) und mit AWS KMS keys gespeicherten in (-) verwenden. AWS Key Management Service SSE KMS

Wenn Sie möchtenFSx, dass Amazon Daten beim Schreiben in Ihren S3-Bucket verschlüsselt, müssen Sie die Standardverschlüsselung in Ihrem S3-Bucket entweder auf SSE -S3 oder SSE - setzen. KMS Weitere Informationen finden Sie unter Konfiguration der Standardverschlüsselung im Amazon S3 S3-Benutzerhandbuch. Beim Schreiben von Dateien in Ihren S3-Bucket FSx befolgt Amazon die Standard-Verschlüsselungsrichtlinie Ihres S3-Buckets.

Standardmäßig FSx unterstützt Amazon S3-Buckets, die mit SSE -S3 verschlüsselt wurden. Wenn Sie Ihr FSx Amazon-Dateisystem mit einem S3-Bucket verknüpfen möchten, der mit SSE - KMS Verschlüsselung verschlüsselt wurde, müssen Sie Ihrer Richtlinie für vom Kunden verwaltete Schlüssel eine Erklärung hinzufügen, die es Amazon ermöglicht, Objekte in Ihrem S3-Bucket mithilfe Ihres KMS Schlüssels FSx zu verschlüsseln und zu entschlüsseln.

Die folgende Anweisung ermöglicht es einem bestimmten FSx Amazon-Dateisystem, Objekte für einen bestimmten S3-Bucket zu verschlüsseln und zu entschlüsseln, bucket_name.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
Anmerkung

Wenn Sie a KMS mit a verwenden, CMK um Ihren S3-Bucket mit aktivierten S3-Bucket-Schlüsseln EncryptionContext zu verschlüsseln, setzen Sie das auf den BucketARN, nicht auf das ObjektARN, wie in diesem Beispiel:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

Die folgende Richtlinienerklärung ermöglicht es allen FSx Amazon-Dateisystemen in Ihrem Konto, eine Verknüpfung mit einem bestimmten S3-Bucket herzustellen.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "aws:userid": "*:FSx",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}

Zugreifen auf serverseitig verschlüsselte Amazon S3 S3-Buckets in einem anderen AWS-Konto oder von einem Shared VPC

Nachdem Sie ein FSx for Lustre-Dateisystem erstellt haben, das mit einem verschlüsselten Amazon S3 S3-Bucket verknüpft ist, müssen Sie der AWSServiceRoleForFSxS3Access_fs-01234567890 serviceverknüpften Rolle (SLR) Zugriff auf den KMS Schlüssel gewähren, mit dem der S3-Bucket verschlüsselt wurde, bevor Sie Daten aus dem verknüpften S3-Bucket lesen oder schreiben. Sie können eine IAM Rolle verwenden, die bereits über Berechtigungen für den Schlüssel verfügt. KMS

Anmerkung

Diese IAM Rolle muss sich in dem Konto befinden, in dem das FSx for Lustre-Dateisystem erstellt wurde (das ist dasselbe Konto wie das S3SLR), nicht in dem Konto, zu dem der KMS Schlüssel/der S3-Bucket gehört.

Mithilfe der IAM Rolle rufen Sie Folgendes auf, AWS KMS API um einen Grant für den S3 zu erstellen, SLR sodass dieser Zugriff auf die S3-Objekte SLR erhält. Um die mit Ihnen ARN verknüpften Rollen zu findenSLR, suchen Sie nach Ihren IAM Rollen, indem Sie Ihre Dateisystem-ID als Suchzeichenfolge verwenden.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon FSx.