Datenverschlüsselung mit AWS KMS - AWS Storage Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung mit AWS KMS

Storage Gateway verwendetSSL/TLS(Secure Socket Layers/Transport Layer Security), um Daten zu verschlüsseln, die zwischen Ihrer Gateway-Appliance und dem Speicher übertragen werden. AWS Standardmäßig verwendet Storage Gateway Amazon S3-Managed Encryption Keys (SSE-S3), um alle in Amazon S3 gespeicherten Daten serverseitig zu verschlüsseln. Sie haben die Möglichkeit, das Storage Gateway zu verwenden, API um Ihr Gateway so zu konfigurieren, dass in der Cloud gespeicherte Daten mithilfe einer serverseitigen Verschlüsselung mit AWS Key Management Service (SSE-KMS) -Schlüsseln verschlüsselt werden.

Wichtig

Wenn Sie einen AWS KMS Schlüssel für die serverseitige Verschlüsselung verwenden, müssen Sie einen symmetrischen Schlüssel wählen. Storage Gateway unterstützt keine asymmetrischen Schlüssel. Weitere Informationen finden Sie unter Using Symmetric and Asymmetric Keys (Verwenden von symmetrischen und asymmetrischen Schlüsseln) im AWS Key Management Service -Benutzerhandbuch.

Verschlüsseln einer Dateifreigabe

Für eine Dateifreigabe können Sie Ihr Gateway so konfigurieren, dass Ihre Objekte mithilfe von AWS KMS- mit verwalteten Schlüsseln verschlüsselt werden. SSE KMS Informationen zur Verwendung des Storage Gateway API zum Verschlüsseln von Daten, die auf eine Dateifreigabe geschrieben wurden, finden Sie unter C reateNFSFile Share in der AWS Storage Gateway APIReferenz.

Verschlüsseln eines Volumes

Für zwischengespeicherte und gespeicherte Volumes können Sie Ihr Gateway so konfigurieren, dass in der Cloud gespeicherte Volumendaten mithilfe des Storage Gateway mit AWS KMS verwalteten Schlüsseln verschlüsselt werden. API Sie können einen der verwalteten Schlüssel als Schlüssel angeben. KMS Der von Ihnen für die Verschlüsselung Ihres Volumes verwendete Schlüssel kann nach dem Erstellen des Volumes nicht geändert werden. Informationen zur Verwendung des Storage Gateway API zum Verschlüsseln von Daten, die auf ein zwischengespeichertes oder gespeichertes Volume geschrieben wurden, finden Sie unter CreateCachediSCSIVolumeoder CreateStorediSCSIVolumein der AWS Storage Gateway API Referenz.

Verschlüsseln eines Bands

Für ein virtuelles Band können Sie Ihr Gateway so konfigurieren, dass in der Cloud gespeicherte Banddaten mithilfe des Storage Gateway AWS KMS mit verwalteten Schlüsseln verschlüsselt werden. API Sie können einen der verwalteten Schlüssel als Schlüssel angeben. KMS Der von Ihnen für die Verschlüsselung Ihrer Banddaten verwendete Schlüssel kann nach dem Erstellen des Bands nicht geändert werden. Informationen zur Verwendung des Storage Gateway API zur Verschlüsselung von Daten, die auf ein virtuelles Band geschrieben wurden, finden Sie CreateTapesin der AWS Storage Gateway APIReferenz.

Beachten Sie bei der Verwendung AWS KMS zur Verschlüsselung Ihrer Daten Folgendes:

  • Ihre Daten werden im Ruhezustand in der Cloud verschlüsselt. Das bedeutet, dass die Daten in Amazon S3 verschlüsselt werden.

  • IAMBenutzer müssen über die erforderlichen Berechtigungen verfügen, um die AWS KMS API Operationen aufrufen zu können. Weitere Informationen finden Sie unter IAMRichtlinien verwenden mit AWS KMS im AWS Key Management Service Entwicklerhandbuch.

  • Wenn Sie Ihren AWS AWS KMS Schlüssel löschen oder deaktivieren oder das Grant-Token widerrufen, können Sie nicht auf die Daten auf dem Volume oder Band zugreifen. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Löschen von KMS Schlüsseln.

  • Wenn Sie einen Snapshot von einem Volume erstellen, das KMS -verschlüsselt ist, ist der Snapshot verschlüsselt. Der Snapshot erbt den Schlüssel des KMS Volumes.

  • Wenn Sie aus einem Snapshot, der KMS -verschlüsselt ist, ein neues Volume erstellen, wird das Volume verschlüsselt. Sie können einen anderen KMS Schlüssel für das neue Volume angeben.

    Anmerkung

    Storage Gateway unterstützt nicht die Erstellung eines unverschlüsselten Volumes von einem Wiederherstellungspunkt eines KMS -verschlüsselten Volumes oder eines KMS -verschlüsselten Snapshots aus.

Weitere Informationen zu finden Sie unter AWS KMS Was ist? AWS Key Management Service