Chiffrement des données avecAWS KMS - AWSStorage Gateway

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données avecAWS KMS

Storage Gateway utilise SSL/TLS (Secure Socket Layer/Transport Layer Security) pour chiffrer les données transférées entre votre appliance de passerelle etAWSstockage. Par défaut, Storage Gateway utilise des clés de chiffrement gérées par Amazon S3 (SSE-S3) pour chiffrer côté serveur toutes les données qu'elle stocke dans Amazon S3. Vous avez la possibilité d'utiliser l'API Storage Gateway pour configurer votre passerelle pour chiffrer les données stockées dans le cloud à l'aide du chiffrement côté serveur avecAWS Key Management Service(SSE-KMS) clés principales client (CMK).

Important

Lorsque vous utilisez unAWS KMSPour le chiffrement côté serveur, vous devez choisir une clé CMK symétrique. Storage Gateway ne prend pas en charge les clés CMK asymétriques. Pour en savoir plus, consultez Utilisation des clés symétriques et asymétriques dans le guide du développeur AWS Key Management Service.

Chiffrement d'un partage de fichiers

Pour un partage de fichiers, vous pouvez configurer votre passerelle pour chiffrer vos objets avecAWS KMS—clés gérées à l'aide de SSE-KMS. Pour plus d'informations sur l'utilisation de l'API Storage Gateway pour chiffrer les données écrites sur un partage de fichiers, consultez.CreateNFSFileSharedans leAWS Storage GatewayAPI Reference.

Chiffrement d'un système de fichiers

Pour plus d'informations, consultez.Chiffrement des données dans Amazon FSxdans leGuide de l'utilisateur Amazon FSx for Windows File Server.

Lorsque vous utilisez AWS KMS pour chiffrer vos données, gardez à l'esprit les points suivants :

  • Vos données sont chiffrées lorsqu'elles sont au repos dans le cloud. En d'autres termes, elles sont chiffrées dans Amazon S3.

  • Les utilisateurs IAM doivent disposer des autorisations requises pour appeler leAWS KMSOpérations d'API. Pour de plus amples informations, veuillez consulterUtilisation des stratégies IAM avecAWS KMSdans leAWS Key Management ServiceManuel du développeur.

  • Si vous supprimez ou désactivez votre clé CMK ou que vous révoquez le jeton d'octroi, vous ne pouvez pas accéder aux données du volume ou de la bande. Pour de plus amples informations, veuillez consulterSuppression des clés principales clientdans leAWS Key Management ServiceManuel du développeur.

  • Si vous créez un instantané à partir d'un volume chiffré par KMS, l'instantané est chiffré. Si vous créez un instantané à partir d'un volume chiffré par KMS, l'instantané est chiffré.

  • Si vous créez un nouveau volume à partir d'un instantané chiffré par KMS, le volume est chiffré. Vous pouvez spécifier une autre clé KMS pour le nouveau volume.

    Note

    Storage Gateway ne prend actuellement pas en charge la création d'un volume non chiffré à partir d'un point de récupération d'un volume chiffré par KMS ou d'un instantané chiffré par KMS.

Pour plus d'informations sur AWS KMS, consultez Qu'est-ce que AWS Key Management Service ?