Enkripsi objek yang disimpan oleh File Gateway di Amazon S3 - AWS Storage Gateway

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi objek yang disimpan oleh File Gateway di Amazon S3

S3 File Gateway mendukung metode enkripsi sisi server berikut untuk data yang disimpan di Amazon S3:

  • SSE-S3 - Secara default, semua objek baru yang diunggah ke bucket Amazon S3 menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  • SSE-KMS - Anda dapat mengonfigurasi berbagi file Anda untuk menggunakan enkripsi sisi server dengan () kunci terkelola. AWS Key Management Service AWS KMS AWS KMS adalah layanan yang menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Untuk informasi selengkapnya, lihat Apa itu Layanan Manajemen AWS Kunci? di Panduan AWS Key Management Service Pengembang.

  • DSSE-KMS - Enkripsi sisi server dual-layer dengan AWS KMS kunci menerapkan dua lapisan enkripsi ke objek saat diunggah ke Amazon S3. Ini membantu memenuhi standar kepatuhan untuk enkripsi multilayer. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dua lapis dengan kunci AWS KMS di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

    catatan

    Ada biaya tambahan untuk menggunakan DSSE-KMS dan kunci. AWS KMS Untuk informasi selengkapnya, lihat harga AWS KMS.

Anda dapat menentukan metode enkripsi saat membuat berbagi file baru dengan menggunakan konsol Storage Gateway atau Storage Gateway API. Untuk prosedur konsol, lihat Buat berbagi file NFS dengan konfigurasi khusus atauBuat berbagi file SMB dengan konfigurasi khusus. Untuk informasi tentang perintah API terkait, lihat Membuat NFSFile Bagikan atau Buat SMBFile Bagikan di Referensi API AWS Storage Gateway.

Anda juga dapat memperbarui pengaturan enkripsi untuk berbagi file yang ada menggunakan konsol Storage Gateway, atau Storage Gateway API. Untuk prosedur konsol, lihatUbah metode enkripsi sisi server untuk berbagi file yang ada. Untuk informasi tentang perintah API terkait, lihat Memperbarui NFSFile Bagikan atau Perbarui SMBFileBagikan di Referensi API AWS Storage Gateway.

catatan

Setelah Anda memperbarui metode enkripsi, gateway menggunakan metode baru untuk semua objek baru yang dibuatnya di Amazon S3 dan untuk objek tersimpan yang diperbarui atau dimodifikasi di masa mendatang. Objek Amazon S3 yang ada hanya akan menerima metode enkripsi baru jika diperbarui atau dimodifikasi oleh gateway.

penting

Pastikan file share Anda menggunakan jenis enkripsi yang sama dengan bucket Amazon S3 tempat menyimpan data Anda.

Jika Anda mengonfigurasi File Gateway untuk menggunakan SSE-KMS atau DSSE-KMS untuk enkripsi, Anda harus menambahkan,,,kms:Encrypt, kms:Decrypt kms:ReEncrypt*kms:GenerateDataKey, dan kms:DescribeKey izin secara manual ke peran IAM yang terkait dengan berbagi file. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Berbasis Identitas (Kebijakan IAM) untuk Storage Gateway.