Enkripsi data di Amazon S3

AWS Transfer Family menggunakan opsi enkripsi default yang Anda tetapkan untuk bucket Amazon S3 untuk mengenkripsi data Anda. Saat Anda mengaktifkan enkripsi pada bucket, semua objek dienkripsi saat disimpan di bucket. Objek dienkripsi dengan menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau () kunci terkelola (SSE-KMS). AWS Key Management Service AWS KMS Untuk informasi tentang enkripsi sisi server, lihat Melindungi data menggunakan enkripsi sisi server di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Langkah-langkah berikut menunjukkan cara mengenkripsi data di AWS Transfer Family.

Untuk memungkinkan enkripsi di AWS Transfer Family

1. Aktifkan enkripsi default untuk bucket Amazon S3 Anda. Untuk petunjuknya, lihat enkripsi default Amazon S3 untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

2. Perbarui kebijakan peran AWS Identity and Access Management (IAM) yang dilampirkan ke pengguna untuk memberikan izin required AWS Key Management Service (AWS KMS).

3. Jika Anda menggunakan kebijakan sesi untuk pengguna, kebijakan sesi harus memberikan AWS KMS izin yang diperlukan.

Contoh berikut menunjukkan kebijakan IAM yang memberikan izin minimum yang diperlukan saat menggunakan bucket Amazon S3 AWS Transfer Family yang diaktifkan untuk enkripsi. AWS KMS Sertakan kebijakan contoh ini dalam kebijakan peran IAM pengguna dan kebijakan sesi, jika Anda menggunakannya.

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}

catatan

ID kunci KMS yang Anda tentukan dalam kebijakan ini harus sama dengan yang ditentukan untuk enkripsi default pada langkah 1.

Root, atau peran IAM yang digunakan untuk pengguna, harus diizinkan dalam kebijakan AWS KMS kunci. Untuk informasi tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama di AWS KMS di Panduan AWS Key Management Service Pengembang.