Crittografia dei dati tramite AWS KMS - AWS Storage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati tramite AWS KMS

Storage Gateway utilizzaSSL/TLS(Secure Socket Layers/Transport Layer Security) per crittografare i dati trasferiti tra l'appliance gateway e lo storage. AWS Per impostazione predefinita, Storage Gateway utilizza le chiavi di crittografia gestite di Amazon S3 (SSE-S3) per crittografare sul lato server tutti i dati archiviati in Amazon S3. È possibile utilizzare Storage Gateway API per configurare il gateway per crittografare i dati archiviati nel cloud utilizzando la crittografia lato server con chiavi AWS Key Management Service (SSE-KMS).

Importante

Quando si utilizza una AWS KMS chiave per la crittografia lato server, è necessario scegliere una chiave simmetrica. Storage Gateway non supporta le chiavi asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service .

Crittografia di una condivisione file

Per una condivisione di file, puoi configurare il gateway per crittografare gli oggetti con chiavi gestite utilizzando AWS KMS-. SSE KMS Per informazioni sull'utilizzo dello Storage Gateway API per crittografare i dati scritti in una condivisione di file, vedere C reateNFSFile Share nel AWS Storage Gateway APIriferimento.

Crittografia di un volume

Per i volumi memorizzati nella cache, puoi configurare il gateway per crittografare i dati di volume archiviati nel AWS KMS cloud con chiavi gestite utilizzando Storage Gateway. API È possibile specificare una delle chiavi gestite come chiave. KMS La chiave utilizzata per crittografare il volume non può essere modificata dopo che il volume è stato creato. Per informazioni sull'utilizzo dello Storage Gateway API per crittografare i dati scritti su un volume memorizzato o memorizzato nella cache, vedere CreateCachediSCSIVolumeo CreateStorediSCSIVolumenel AWS Storage Gateway API Reference.

Crittografia di un nastro

Per un nastro virtuale, puoi configurare il gateway per crittografare i dati su nastro archiviati nel AWS KMS cloud con chiavi gestite utilizzando Storage Gateway. API È possibile specificare una delle chiavi gestite come chiave. KMS La chiave utilizzata per crittografare i dati del nastro non può essere modificata dopo che il nastro è stato creato. Per informazioni sull'utilizzo dello Storage Gateway API per crittografare i dati scritti su un nastro virtuale, vedere CreateTapesnella Guida AWS Storage Gateway APIdi riferimento.

Quando si utilizza AWS KMS per crittografare i dati, è necessario tenere presente quanto segue:

  • I dati vengono crittografati nel cloud mentre sono inattivi. Ciò significa che i dati vengono crittografati in AmazonS3.

  • IAMgli utenti devono disporre delle autorizzazioni necessarie per chiamare le AWS KMS API operazioni. Per ulteriori informazioni, consulta Using IAM policies with AWS KMS nella AWS Key Management Service Developer Guide.

  • Se elimini o disattivi la AWS AWS KMS chiave o revochi il token di concessione, non puoi accedere ai dati sul volume o sul nastro. Per ulteriori informazioni, consulta Eliminazione delle KMS chiavi nella Guida per gli sviluppatori.AWS Key Management Service

  • Se si crea un'istantanea da un volume KMS crittografato, l'istantanea viene crittografata. L'istantanea eredita la chiave del volume. KMS

  • Se si crea un nuovo volume da un'istantanea KMS crittografata, il volume viene crittografato. È possibile specificare una KMS chiave diversa per il nuovo volume.

    Nota

    Storage Gateway non supporta la creazione di un volume non crittografato da un punto di ripristino di un volume KMS crittografato o di un'istantanea KMS crittografata.

Per ulteriori informazioni su AWS KMS, consulta What is? AWS Key Management Service