AWS Snowball
用户指南

本指南适用于 Snowball (50TB 或 80TB 的存储空间)。如果您正在查找 Snowball Edge 的相关文档,请参阅 AWS Snowball Edge 开发人员指南

AWS Snowball 中的安全性

接下来,您可以找到有关使用 AWS Snowball 的安全注意事项信息。传输任何级别的分类信息时,安全都是重点考虑事项,设计 Snowball 时已经考虑到安全问题。

AWS Snowball 中的加密

当您使用标准 Snowball 将数据导入到 S3 时,传输到 Snowball 的所有数据均具有两个加密层:

  1. 一个加密层应用于本地工作站的内存中。无论您使用的是 适用于 Snowball 的 Amazon S3 Adapter 还是 Snowball 客户端,均会应用此层。此加密使用了 AES GCM 256 位密钥,每传输 60 GB 数据,这些密钥就会循环一次。

  2. SSL 加密是另一个加密层,针对传入或传出标准 Snowball 的所有数据。

AWS Snowball 使用服务器端加密 (SSE) 保护静态数据。

AWS Snowball 中的服务器端加密

AWS Snowball 支持使用 Amazon S3 托管的加密密钥 (SSE-S3) 和 AWS Key Management Service 托管的密钥 (SSE-KMS) 进行服务器端加密。服务器端加密是为了保护静态数据。有关更多信息,请参阅Amazon Simple Storage Service 开发人员指南中的使用服务器端加密保护数据

目前,Snowball 不支持使用客户提供的密钥 (SSE-C) 进行服务器端加密。但是,您可能需要使用此 SSE 选项来保护已导入的数据。或者,您可能已将此加密选项用于要导出的数据。。在这种情况下,请注意以下事项:

  • 导入 – 如果您要使用 SSE-C 加密已导入 S3 的对象,请将这些对象复制到已在存储桶策略中设置了 SSE-KMS 或 SSE-S3 加密的其他存储桶。

  • 导出 – 如果您要导出使用 SSE-C 进行加密的对象,请将这些对象复制到没有服务器端加密或已在存储桶策略中指定 SSE-KMS 或 SSE-S3 的其他存储桶。

对从 Snowball 导入到 Amazon S3 中的数据启用 SSE-S3

在 Amazon S3 管理控制台中使用以下步骤对导入到 Amazon S3 的数据启用 SSE-S3。AWS Snowball 管理控制台中或 Snowball 设备本身无需进行配置。

要对导入 Amazon S3 的数据启用 SSE-S3 加密,只需更新您要将数据导入其中的所有存储桶的存储桶策略。您需更新这些策略,以在上传请求不包含 s3:PutObject 标头时拒绝上传对象 (x-amz-server-side-encryption) 权限。

对导入 Amazon S3 的数据启用 SSE-S3

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 从存储桶列表中选择您要将数据导入到其中的存储桶

  3. 选择 Permissions

  4. 选择存储桶策略

  5. Bucket policy editor 中,输入以下策略。使用您的存储桶的实际名称替换此策略中的所有 YourBucket 实例。

    { "Version": "2012-10-17", "Id": "PutObjPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
  6. 选择 Save

您已完成 Amazon S3 存储桶的配置。您的数据在导入此存储桶时将受 SSE-S3 保护。根据需要对任何其他存储桶重复此过程。

本页内容: