加密檔案閘道存放在 Amazon S3 中的物件 - AWS Storage Gateway

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密檔案閘道存放在 Amazon S3 中的物件

S3 File Gateway 支援下列伺服器端加密方法,用於存放於 Amazon S3 的資料:

  • SSE-S3 — 根據預設,上傳至 Amazon S3 儲存貯體的所有新物件都會使用伺服器端加密搭配 Amazon S3 受管金鑰。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的搭配 Amazon S3 受管金鑰使用伺服器端加密

  • SSE-KMS — 您可以將檔案共享設定為使用伺服器端加密與 AWS Key Management Service (AWS KMS) 受管金鑰。 AWS KMS 是一種服務,結合了安全、高可用性的硬體和軟體,以提供針對雲端擴展的金鑰管理系統。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的 Key AWS Management Service?

  • DSSE-KMS — 使用 AWS KMS 金鑰的雙層伺服器端加密會在物件上傳至 Amazon S3 時套用兩層加密。這有助於滿足多層加密的合規標準。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用雙層伺服器端加密搭配 AWS KMS 金鑰

    注意

    使用 DSSE-KMS 和 AWS KMS 金鑰需支付額外費用。如需詳細資訊,請參閱 AWS KMS 定價

您可以使用 Storage Gateway 主控台或 Storage Gateway API,在建立新檔案共享時指定加密方法。如需主控台程序,請參閱 使用自訂組態建立 NFS 檔案共享使用自訂組態建立 SMB 檔案共享。如需對應 API 命令的資訊,請參閱 AWS Storage Gateway API 參考中的 CreateNFSFileShareCreateSMBFileShare

您也可以使用 Storage Gateway 主控台或 Storage Gateway API 更新現有檔案共享的加密設定。如需主控台程序,請參閱 變更現有檔案共享的伺服器端加密方法。如需對應 API 命令的資訊,請參閱 AWS Storage Gateway API 參考中的 UpdateNFSFileShareUpdateSMBFileShare

注意

更新加密方法之後,閘道會針對其在 Amazon S3 中建立的所有新物件,以及未來更新或修改的任何儲存物件,使用新的方法。現有的 Amazon S3 物件只有在閘道更新或修改時才會收到新的加密方法。

重要

請確定您的檔案共享使用與其存放資料的 Amazon S3 儲存貯體相同的加密類型。

如果您將檔案閘道設定為使用 SSE-KMS 或 DSSE-KMS 進行加密,則必須手動將 kms:Encryptkms:GenerateDataKey、、 kms:Decrypt kms:ReEncrypt*kms:DescribeKey許可新增至與檔案共用相關聯的 IAM 角色。如需詳細資訊,請參閱針對 Storage Gateway 使用以身分為基礎的政策 (IAM 政策)