設定閘道的安全層級

透過使用 S3 檔案閘道，您可以指定閘道的安全層級。透過指定此安全層級，您可以設定閘道是否需要伺服器訊息區塊 (SMB) 簽署或 SMB 加密，還是要允許 SMB 第 1 版。

設定安全層級

1. 前往 https://console.aws.amazon.com/storagegateway/home 開啟 Storage Gateway 主控台。

2. 選擇閘道，然後選擇您要為其編輯 SMB 設定的閘道。

3. 從動作下拉式功能表中，選擇編輯 SMB 設定，然後選擇 SMB 安全設定。

4. 對於 Security level (安全層級)，請選擇以下其中一項：

   注意

   如需有關使用 AWS API 設定此設定的資訊，請參閱 AWS Storage Gateway API 參考中的 UpdateSMBSecurityStrategy。

   更高的安全策略層級可能會影響閘道的效能。

   • 強制執行 AES256 加密 – 如果您選擇此選項，S3 File Gateway 僅允許使用 256 位元 AES 加密演算法的 SMBv3 用戶端進行連線。不允許 128 位元演算法。對於處理敏感資料的環境，建議使用此選項。它適用於 Microsoft Windows 上所有目前的 SMB 用戶端。

   • 強制加密 – 如果您選擇此選項，S3 File Gateway 僅允許來自已開啟加密之 SMBv3 用戶端的連線。允許 256 位元和 128 位元演算法。對於處理敏感資料的環境，建議使用此選項。它適用於 Microsoft Windows 上所有目前的 SMB 用戶端。

   • 強制簽署 – 如果您選擇此選項，S3 File Gateway 僅允許來自已開啟登入之 SMBv2 或 SMBv3 用戶端的連線。此選項適用於 Microsoft Windows 上所有目前的 SMB 用戶端。

   • 用戶端交涉 – 如果您選擇此選項，請求會根據用戶端交涉的內容建立。當您想要最大化環境中不同用戶端之間的相容性，建議使用此選項。

   注意

   對於在 2019 年 6 月 20 日之前啟用的閘道，預設的安全層級是 Client negotiated (交涉的用戶端)。

   對於在 2019 年 6 月 20 日 (含) 之後啟用的閘道，預設的安全層級是 Enforce encryption (強制加密)。

5. 選擇儲存。