Chiffrement des données en utilisant AWS KMS

Storage Gateway utiliseSSL/TLS(Secure Socket Layers/Transport Layer Security) pour chiffrer les données transférées entre votre dispositif de passerelle et le stockage. AWS Par défaut, Storage Gateway utilise les clés de chiffrement gérées par Amazon SSE S3 (-S3) pour chiffrer côté serveur toutes les données stockées dans Amazon S3. Vous pouvez utiliser le Storage Gateway pour configurer votre passerelle API afin de chiffrer les données stockées dans le cloud à l'aide d'un chiffrement côté serveur avec des clés AWS Key Management Service (SSE-KMS).

Important

Lorsque vous utilisez une AWS KMS clé pour le chiffrement côté serveur, vous devez choisir une clé symétrique. Storage Gateway ne prend pas en charge les clés asymétriques. Pour en savoir plus, consultez Utilisation des clés symétriques et asymétriques dans le Guide du développeur AWS Key Management Service .

Chiffrement d’un partage de fichiers

Pour un partage de fichiers, vous pouvez configurer votre passerelle pour chiffrer vos objets avec des clés AWS KMS gérées en utilisant SSE -. KMS Pour plus d'informations sur l'utilisation du Storage Gateway API pour chiffrer des données écrites sur un partage de fichiers, consultez C reateNFSFile Share dans le manuel de AWS Storage Gateway APIréférence.

Chiffrement d’un volume

Pour les volumes mis en cache et stockés, vous pouvez configurer votre passerelle pour chiffrer les données de volume stockées dans le cloud à l'aide de clés AWS KMS gérées à l'aide de Storage Gateway. API Vous pouvez spécifier l'une des clés gérées comme KMS clé. La clé que vous utilisez pour chiffrer votre volume ne peut pas être modifié une fois que le volume est créé. Pour plus d'informations sur l'utilisation du Storage Gateway API pour chiffrer des données écrites sur un volume mis en cache ou stocké, reportez-vous à la section CreateCachediSCSIVolumeou CreateStorediSCSIVolumedans le AWS Storage Gateway API manuel de référence.

Chiffrement d’une bande

Pour une bande virtuelle, vous pouvez configurer votre passerelle pour chiffrer les données sur bande stockées dans le cloud à l'aide de clés AWS KMS gérées à l'aide de Storage Gateway. API Vous pouvez spécifier l'une des clés gérées comme KMS clé. La clé que vous utilisez pour chiffrer vos données de bande ne peut pas être modifiée une fois que la bande est créée. Pour plus d'informations sur l'utilisation du Storage Gateway API pour chiffrer des données écrites sur une bande virtuelle, reportez-vous CreateTapesà la section AWS Storage Gateway APIRéférence.

Lorsque vous utilisez AWS KMS le chiffrement de vos données, gardez à l'esprit les points suivants :

• Vos données sont chiffrées lorsqu’elles sont au repos dans le cloud. En d’autres termes, les données sont chiffrées dans Amazon S3.

• IAMles utilisateurs doivent disposer des autorisations requises pour lancer les AWS KMS API opérations. Pour plus d'informations, consultez la section Utilisation des IAM politiques AWS KMS dans le Guide du AWS Key Management Service développeur.

• Si vous supprimez ou désactivez votre AWS AWS KMS clé ou si vous révoquez le jeton d'autorisation, vous ne pouvez pas accéder aux données du volume ou de la bande. Pour plus d'informations, consultez la section Suppression de KMS clés dans le guide du AWS Key Management Service développeur.

• Si vous créez un instantané à partir d'un volume KMS chiffré, le cliché est chiffré. L'instantané hérite de la KMS clé du volume.

• Si vous créez un nouveau volume à partir d'un instantané KMS chiffré, le volume est chiffré. Vous pouvez spécifier une KMS clé différente pour le nouveau volume.

  Note

  Storage Gateway ne prend pas en charge la création d'un volume non chiffré à partir du point de récupération d'un volume KMS chiffré ou d'un instantané KMS chiffré.

Pour plus d'informations AWS KMS, voir Qu'est-ce que c'est AWS Key Management Service ?