Cifrado de datos mediante AWS KMS

Storage Gateway utiliza SSL/TLS (Secure Socket Layers/Transport Layer Security) para cifrar los datos que se transfieren entre el dispositivo de puerta de enlace y el almacenamiento. AWS De forma predeterminada, Storage Gateway utiliza claves de cifrado administradas por Amazon S3 (SSE-S3) para cifrar en el lado del servidor todos los datos que almacena en Amazon S3. Tiene la opción de usar la API Storage Gateway para configurar su puerta de enlace para cifrar los datos almacenados en la nube mediante el cifrado del lado del servidor con claves AWS Key Management Service (SSE-KMS).

importante

Cuando utiliza una AWS KMS clave para el cifrado del lado del servidor, debe elegir una clave simétrica. Storage Gateway no es compatible con claves asimétricas. Para obtener más información, consulte Uso de claves simétricas y asimétricas en la guía para desarrolladores de AWS Key Management Service .

Cifrado de un recurso compartido de archivos

En el caso de compartir archivos, puede configurar la puerta de enlace para cifrar los objetos con claves administradas por AWS KMS mediante SSE-KMS. Para obtener información sobre el uso de la API Storage Gateway para cifrar los datos escritos en un recurso compartido de archivos, consulte CreateNFS FileShare en la referencia de la AWS Storage Gateway API.

Cifrado de un volumen

Para los volúmenes almacenados y en caché, puede configurar su puerta de enlace para cifrar los datos de volumen almacenados en la nube con claves AWS KMS administradas mediante la API Storage Gateway. Puede especificar una de las claves administradas como clave de KMS. No se puede cambiar la clave que se utiliza para cifrar el volumen después de crearlo. Para obtener información sobre el uso de la API Storage Gateway para cifrar los datos escritos en un volumen almacenado o en caché, consulte CreateCachediSCSIVolume o SCSIVolume en la referencia CreateStoredi de la API.AWS Storage Gateway

Cifrado de una cinta

En el caso de una cinta virtual, puede configurar su puerta de enlace para cifrar los datos de la cinta almacenados en la nube con claves AWS KMS administradas mediante la API Storage Gateway. Puede especificar una de las claves administradas como clave de KMS. No se puede cambiar la clave que se utiliza para cifrar los datos de la cinta después de crearla. Para obtener información sobre el uso de la API Storage Gateway para cifrar los datos escritos CreateTapesen una cinta virtual, consulte la referencia de la AWS Storage Gateway API.

Cuando AWS KMS la utilice para cifrar sus datos, tenga en cuenta lo siguiente:

• Los datos se cifran en reposo en la nube. Es decir, los datos se cifran en Amazon S3.

• Los usuarios de IAM deben tener los permisos necesarios para llamar a las operaciones de la AWS KMS API. Para obtener más información, consulte Uso de políticas de IAM con AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

• Si eliminas o desactivas tu AWS AWS KMS clave o revocas el token de concesión, no podrás acceder a los datos del volumen o la cinta. Para obtener más información, consulte Eliminación de claves de KMS en la Guía para desarrolladores de AWS Key Management Service .

• Si crea una instantánea de un volumen cifrado con KMS, la instantánea está cifrada. La instantánea hereda la clave de KMS del volumen.

• Si crea un volumen a partir de una instantánea cifrada con KMS, el volumen está cifrado. Para especificar otra clave de KMS para el volumen nuevo.

  nota

  Storage Gateway no admite la creación de un volumen sin cifrar a partir de un punto de recuperación de un volumen cifrado con KMS o de una instantánea cifrada con KMS.

Para obtener más información AWS KMS, consulta ¿Qué es? AWS Key Management Service