Utilisation de compartiments Amazon S3 chiffrés côté serveur - FSxpour Lustre
Accès aux compartiments Amazon S3 chiffrés côté serveur dans un environnement différent Compte AWS ou partagé VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de compartiments Amazon S3 chiffrés côté serveur

FSxfor Lustre prend en charge les compartiments Amazon S3 qui utilisent le chiffrement côté serveur avec des clés gérées par SSE S3 (-S3) et stockées dans (-). AWS KMS keys AWS Key Management Service SSE KMS

Si vous souhaitez qu'Amazon FSx chiffre les données lorsque vous écrivez dans votre compartiment S3, vous devez définir le chiffrement par défaut de votre compartiment S3 sur SSE -S3 ou SSE sur -. KMS Pour plus d'informations, consultez la section Configuration du chiffrement par défaut dans le guide de l'utilisateur Amazon S3. Lorsque vous écrivez des fichiers dans votre compartiment S3, Amazon FSx suit la politique de chiffrement par défaut de votre compartiment S3.

Par défaut, Amazon FSx prend en charge les compartiments S3 chiffrés à l'aide de SSE -S3. Si vous souhaitez associer votre système de FSx fichiers Amazon à un compartiment S3 chiffré à l'aide SSE du KMS chiffrement, vous devez ajouter une déclaration à votre politique relative aux clés gérées par le client qui autorise Amazon FSx à chiffrer et à déchiffrer les objets de votre compartiment S3 à l'aide de votre KMS clé.

La déclaration suivante permet à un système de FSx fichiers Amazon spécifique de chiffrer et de déchiffrer des objets pour un compartiment S3 spécifique, bucket_name.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
Note

Si vous utilisez un KMS with a CMK pour chiffrer votre compartiment S3 avec les clés de compartiment S3 activées, définissez le EncryptionContext compartimentARN, et non l'objetARN, comme dans cet exemple :

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

La déclaration de politique suivante permet à tous les systèmes de FSx fichiers Amazon de votre compte d'être liés à un compartiment S3 spécifique.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "aws:userid": "*:FSx",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}

Accès aux compartiments Amazon S3 chiffrés côté serveur dans un environnement différent Compte AWS ou partagé VPC

Après avoir créé un système de fichiers FSx for Lustre lié à un compartiment Amazon S3 chiffré, vous devez accorder au rôle AWSServiceRoleForFSxS3Access_fs-01234567890 lié au service (SLR) l'accès à la KMS clé utilisée pour chiffrer le compartiment S3 avant de lire ou d'écrire des données depuis le compartiment S3 lié. Vous pouvez utiliser un IAM rôle déjà autorisé à accéder à la KMS clé.

Note

Ce IAM rôle doit figurer dans le compte dans lequel le système de fichiers FSx for Lustre a été créé (qui est le même compte que le S3SLR), et non dans le compte auquel appartient le compartiment KMS Key/S3.

Vous utilisez le IAM rôle pour appeler ce qui suit AWS KMS API afin de créer une autorisation pour le S3 SLR afin qu'il obtienne SLR l'autorisation d'accéder aux objets S3. Pour trouver ce qui vous est ARN associéSLR, recherchez vos IAM rôles en utilisant l'ID de votre système de fichiers comme chaîne de recherche.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Pour plus d’informations sur les rôles liés à un service, consultez Utilisation de rôles liés à un service pour Amazon FSx.