使用数据加密 AWS KMS

Storage Gateway 使用SSL/TLS（安全套接层/传输层安全）来加密在网关设备和 AWS 存储设备之间传输的数据。默认情况下，Storage Gateway 使用 Amazon S3 托管加密密钥 (SSE-S3) 对其存储在 Amazon S3 中的所有数据进行服务器端加密。您可以选择使用 Storage Gateway API 将网关配置为使用服务器端加密和 AWS Key Management Service (SSE-KMS) 密钥对存储在云中的数据进行加密。

重要

使用 AWS KMS 密钥进行服务器端加密时，必须选择对称密钥。Storage Gateway 不支持非对称密钥。有关更多信息，请参阅 AWS Key Management Service 开发人员指南中的使用对称和非对称密钥。

加密文件共享

对于文件共享，您可以使用 SSE-KMS 将网关配置为使用 AWS KMS托管密钥加密对象。有关使用 Storage Gateway API 加密写入文件共享的数据的信息，请参阅AWS Storage Gateway API参考资料中的 C reateNFSFile 共享。

加密卷

对于缓存卷和存储卷，您可以使用 Storage Gateway 将网关配置为使用 AWS KMS托管密钥加密存储在云中的卷数据。API您可以将其中一个托管密钥指定为密KMS钥。创建卷后，即无法更改用于加密卷的密钥。有关使用 Storage Gateway API 对写入缓存或存储卷的数据进行加密的信息，请参阅AWS Storage Gateway API参考CreateStorediSCSIVolume中的CreateCachediSCSIVolume或。

加密磁带

对于虚拟磁带，您可以使用 Storage Gateway 将网关配置为使用 AWS KMS托管密钥加密存储在云中的磁带数据。API您可以将其中一个托管密钥指定为密KMS钥。创建磁带后，即无法更改用于加密磁带数据的密钥。有关使用 Storage Gateway API 对写入虚拟磁带的数据进行加密的信息，请参阅AWS Storage Gateway API参考资料CreateTapes中的。

使用 AWS KMS 加密数据时，请记住以下几点：

• 您的数据在云中进行静态加密。也就是说，在 Amazon S3 中对数据进行加密。

• IAM用户必须具有调用 AWS KMS API操作所需的权限。有关更多信息，请参阅《AWS Key Management Service 开发者指南》 AWS KMS中的将IAM策略与一起使用。

• 如果您删除或停用 AWS AWS KMS 密钥或撤消授权令牌，则无法访问卷或磁带上的数据。有关更多信息，请参阅《AWS Key Management Service 开发者指南》中的删除KMS密钥。

• 如果您使用KMS加密的卷创建快照，则快照会被加密。快照继承了卷的KMS密钥。

• 如果您使用KMS已加密的快照创建新卷，则该卷将被加密。您可以为新卷指定不同的KMS密钥。

  注意

  Storage Gateway 不支持从加密卷或加密快照的恢复点创建未KMS加密KMS的卷。

有关的更多信息 AWS KMS，请参阅什么是 AWS Key Management Service？