Trabajo con buckets de Amazon S3 cifrados del lado del servidor - FSx para Lustre
Acceder a buckets de Amazon S3 cifrados del lado del servidor en una VPC diferente Cuenta de AWS o desde una VPC compartida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajo con buckets de Amazon S3 cifrados del lado del servidor

FSx for Lustre admite buckets de Amazon S3 que utilizan cifrado del lado del servidor con claves administradas por S3 (SSE-S3) y almacenadas en (SSE-KMS). AWS KMS keys AWS Key Management Service

Si quieres que Amazon cifre los datos FSx al escribir en tu bucket de S3, debes configurar el cifrado predeterminado de tu bucket de S3 en SSE-S3 o SSE-KMS. Para obtener más información, consulte Configuración del cifrado predeterminado en la Guía del usuario de Amazon S3. Al escribir archivos en el depósito de S3, Amazon FSx sigue la política de cifrado predeterminada del depósito de S3.

De forma predeterminada, Amazon FSx admite buckets S3 cifrados mediante SSE-S3. Si desea vincular su sistema de FSx archivos de Amazon a un bucket de S3 cifrado mediante el cifrado SSE-KMS, debe añadir una declaración a su política de claves gestionadas por el cliente que permita FSx a Amazon cifrar y descifrar los objetos de su bucket de S3 con su clave de KMS.

La siguiente declaración permite que un sistema de FSx archivos de Amazon específico cifre y descifre objetos para un bucket de S3 específico,. bucket_name

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
nota

Si utiliza un KMS con una CMK para cifrar su bucket de S3 con las claves de bucket de S3 habilitadas, establezca el EncryptionContext en la ARN del bucket, no en el ARN del objeto, como en este ejemplo:

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

La siguiente declaración de política permite que todos los sistemas de FSx archivos de Amazon de tu cuenta se vinculen a un bucket de S3 específico.

{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}

Acceder a buckets de Amazon S3 cifrados del lado del servidor en una VPC diferente Cuenta de AWS o desde una VPC compartida

Tras crear un sistema de archivos FSx para Lustre vinculado a un depósito de Amazon S3 cifrado, debe conceder al rol AWSServiceRoleForFSxS3Access_fs-01234567890 vinculado al servicio (SLR) acceso a la clave de KMS utilizada para cifrar el depósito de S3 antes de leer o escribir datos del depósito de S3 vinculado. Puede utilizar un rol de IAM que ya tenga permisos para acceder a la clave de KMS.

nota

Esta función de IAM debe estar en la cuenta en la que se creó el sistema de archivos FSx for Lustre (que es la misma cuenta que la SLR de S3), no en la cuenta a la que pertenece la clave KMS o el depósito de S3.

Utilice la función de IAM para llamar a la siguiente AWS KMS API a fin de crear una concesión para la SLR de S3, de forma que la SLR obtenga permiso para acceder a los objetos de S3. Para encontrar la ARN asociado a su SLR, busque sus roles de IAM utilizando el ID del sistema de archivos como cadena de búsqueda.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon FSx.