传输过程中加密AWS Snowball - AWS Snowball

本指南正在弃用,将不再更新。

第一代 80 TB Snowball 设备不再可用。使用 Snowball Edge 存储优化设备完成所有数据传输作业。有关 Snowball Edge 文档,请参阅AWS Snowball Edge开发者指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

传输过程中加密AWS Snowball

当您使用标准 Snowball 将数据导入到 S3 时,传输到 Snowball 的所有数据均具有两个加密层:

  1. 一个加密层应用于本地工作站的内存中。无论您使用的是 Snowball Amazon S3 Adapter 还是 Snowball 客户端,均会应用此层。此加密使用了 AES GCM 256 位密钥,每传输 60 GB 数据,这些密钥就会循环一次。

  2. SSL 加密是另一个加密层,针对传入或传出标准 Snowball 的所有数据。

AWS Snowball 使用服务器端加密 (SSE) 保护静态数据。

AWS Snowball 中的服务器端加密

AWS Snowball支持使用 Amazon S3 托管加密密密 (SSE-S3) 进行服务器端加密和服务器端加密。AWS Key Management Service托管密钥 (SSE-KMS)。服务器端加密是为了保护静态数据。有关更多信息,请参阅 。使用服务器端加密保护数据中的Amazon Simple Storage Service 用户指南.

目前,Snowball 不支持使用客户提供的密钥 (SSE-C) 进行服务器端加密。但是,您可能需要使用此 SSE 选项来保护已导入的数据。或者,您可能已对要导出的数据使用此加密选项。在这种情况下,请注意以下事项:

  • 导入导入 — 如果您要使用 SSE-C 加密已导入 S3 的对象,请将这些对象复制到已在存储桶策略中设置了 SSE-KMS 或 SSE-S3 加密的其他存储桶。

  • Export导出-如果您要导出使用 SSE-C 进行加密的对象,请将这些对象复制到没有服务器端加密或已在存储桶策略中指定 SSE-KMS 或 SSE-S3 的其他存储桶。

对从 Snowball 导入 Amazon S3 的数据启用 SSE-S3

在 Amazon S3 管理控制台中使用以下步骤对导入 Amazon S3 的数据启用 SSE-S3。中无需进行配置。AWS Snow 系列管理控制台或者在 Snowball 设备上。

要对导入 Amazon S3 的数据启用 SSE-S3 加密,只需更新您要将数据导入其中的所有存储桶的存储桶策略。您需更新这些策略,以在上传请求不包含 s3:PutObject 标头时拒绝上传对象 (x-amz-server-side-encryption) 权限。

对导入 Amazon S3 的数据启用 SSE-S3

  1. 登录到 AWS Management Console,然后通过以下网址打开 Simple Storage Service(Amazon S3)控制台:https://console.aws.amazon.com/s3/

  2. 从存储桶列表中选择您要将数据导入到其中的存储桶

  3. 选择权限

  4. 请选择存储桶策略

  5. InBucket Policy Editor中,输入以下策略。使用您的存储桶的实际名称替换此策略中的所有 YourBucket 实例。

    { "Version": "2012-10-17", "Id": "PutObjPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
  6. 选择 Save(保存)。

您已完成 Amazon S3 存储桶的配置。您的数据在导入此存储桶时将受 SSE-S3 保护。根据需要对任何其他存储桶重复此过程。