Verwaltung der Verschlüsselung bei der Übertragung

Verschlüsselung während der Übertragung

Die Verschlüsselung von Daten während der Übertragung wird auf Dateifreigaben unterstützt, die einer Recheninstanz zugeordnet sind, die das SMB-Protokoll 3.0 oder höher unterstützt. Dies umfasst alle Windows-Versionen ab Windows Server 2012 und Windows 8 sowie alle Linux-Clients mit Samba-Client-Version 4.2 oder neuer. Amazon FSx for Windows File Server verschlüsselt Daten während der Übertragung automatisch mit SMB-Verschlüsselung, wenn Sie auf Ihr Dateisystem zugreifen, ohne dass Sie Ihre Anwendungen ändern müssen.

Die SMB-Verschlüsselung verwendet AES-128-GCM oder AES-128-CCM (wobei die GCM-Variante ausgewählt wird, wenn der Client SMB 3.1.1 unterstützt) als Verschlüsselungsalgorithmus und bietet außerdem Datenintegrität durch Signieren mit SMB-Kerberos-Sitzungsschlüsseln. Die Verwendung von AES-128-GCM führt zu einer besseren Leistung, beispielsweise bis zu einer zweifachen Leistungssteigerung beim Kopieren großer Dateien über verschlüsselte SMB-Verbindungen.

Um die Compliance-Anforderungen für eine durchgehende Verschlüsselung zu erfüllen data-in-transit, können Sie den Dateisystemzugriff so einschränken, dass nur Clients Zugriff haben, die SMB-Verschlüsselung unterstützen. Sie können auch die Verschlüsselung während der Übertragung pro Dateifreigabe oder für das gesamte Dateisystem aktivieren oder deaktivieren. Auf diese Weise können Sie eine Mischung aus verschlüsselten und unverschlüsselten Dateifreigaben auf demselben Dateisystem verwenden.

Verwaltung der Verschlüsselung bei der Übertragung

Sie können eine Reihe von benutzerdefinierten PowerShell Befehlen verwenden, um die Verschlüsselung Ihrer Daten während der Übertragung zwischen Ihrem FSx for Windows File Server Server-Dateisystem und Clients zu steuern. Sie können den Dateisystemzugriff auf Clients beschränken, die SMB-Verschlüsselung unterstützen, sodass diese immer verschlüsselt data-in-transit ist. Wenn die Erzwingung für die Verschlüsselung von aktiviert ist data-in-transit, können Benutzer, die von Clients aus auf das Dateisystem zugreifen, die die SMB 3.0-Verschlüsselung nicht unterstützen, nicht auf Dateifreigaben zugreifen, für die die Verschlüsselung aktiviert ist.

Sie können die Verschlüsselung auch auf Dateifreigabeebene statt data-in-transit auf Dateiserverebene steuern. Sie können Verschlüsselungskontrollen auf Dateifreigabeebene verwenden, um eine Mischung aus verschlüsselten und unverschlüsselten Dateifreigaben auf demselben Dateisystem einzurichten, wenn Sie für einige Dateifreigaben mit vertraulichen Daten die Verschlüsselung während der Übertragung erzwingen und allen Benutzern den Zugriff auf andere Dateifreigaben ermöglichen möchten. Die serverweite Verschlüsselung hat Vorrang vor der Verschlüsselung auf Freigabeebene. Wenn die globale Verschlüsselung aktiviert ist, können Sie die Verschlüsselung für bestimmte Shares nicht selektiv deaktivieren.

Sie können die Verschlüsselung von Benutzern während der Übertragung in Ihrem Dateisystem verwalten, indem Sie die Amazon FSx CLI für die Fernverwaltung verwenden. PowerShell Informationen zur Verwendung dieser CLI finden Sie unterAmazon nutzen FSx CLI für PowerShell.

Im Folgenden finden Sie Befehle, mit denen Sie die Verschlüsselung von Benutzern während der Übertragung in Ihrem Dateisystem verwalten können.

Verschlüsselung im Transit Command Beschreibung

Verschlüsselung im Transit Command	Beschreibung
Get-FSxSmbServerConfiguration	Ruft die Server Message Block (SMB) -Serverkonfiguration ab. In der Systemantwort können Sie die Einstellungen für die Verschlüsselung bei der Übertragung für Ihr Dateisystem anhand der Werte für die `EncryptData` Eigenschaften und festlegen. `RejectUnencryptedAccess`
Set-FSxSmbServerConfiguration	Dieser Befehl bietet zwei Optionen für die Konfiguration der Verschlüsselung bei der Übertragung: `-EncryptData $True\|$False`— Stellen Sie diesen Parameter auf ein, `True` um die Verschlüsselung von Daten bei der Übertragung zu aktivieren. Stellen Sie diesen Parameter auf ein, `False` um die Verschlüsselung von Daten bei der Übertragung zu deaktivieren. `-RejectUnencryptedAccess $True\|$False`— Legen Sie diesen Parameter auf fest`True`, um Clients, die keine Verschlüsselung unterstützen, den Zugriff auf das Dateisystem zu verbieten. Stellen Sie diesen Parameter so ein`False`, dass Clients, die keine Verschlüsselung unterstützen, auf das Dateisystem zugreifen können.

Get-FSxSmbServerConfiguration

Ruft die Server Message Block (SMB) -Serverkonfiguration ab. In der Systemantwort können Sie die Einstellungen für die Verschlüsselung bei der Übertragung für Ihr Dateisystem anhand der Werte für die EncryptData Eigenschaften und festlegen. RejectUnencryptedAccess

Set-FSxSmbServerConfiguration

Dieser Befehl bietet zwei Optionen für die Konfiguration der Verschlüsselung bei der Übertragung:

-EncryptData $True|$False— Stellen Sie diesen Parameter auf ein, True um die Verschlüsselung von Daten bei der Übertragung zu aktivieren. Stellen Sie diesen Parameter auf ein, False um die Verschlüsselung von Daten bei der Übertragung zu deaktivieren.
-RejectUnencryptedAccess $True|$False— Legen Sie diesen Parameter auf festTrue, um Clients, die keine Verschlüsselung unterstützen, den Zugriff auf das Dateisystem zu verbieten. Stellen Sie diesen Parameter so einFalse, dass Clients, die keine Verschlüsselung unterstützen, auf das Dateisystem zugreifen können.

Die Online-Hilfe für jeden Befehl enthält eine Referenz zu allen Befehlsoptionen. Um auf diese Hilfe zuzugreifen, führen Sie den Befehl -? beispielsweise mit ausGet-FSxSmbServerConfiguration -?.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsselung im Ruhezustand

Windows-ACLs