Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrar objetos almacenados por la puerta de enlace de archivo en Amazon S3
La puerta de enlace de archivo de S3 admite los siguientes métodos de cifrado del servidor para los datos que almacena en Amazon S3:
-
SSE-S3: de forma predeterminada, todos los objetos nuevos que se cargan en los buckets de Amazon S3 utilizan el cifrado del servidor con claves administradas por Amazon S3. Para obtener más información, consulte Uso del cifrado del servidor con claves administradas por Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
-
SSE-KMS: puede configurar su recurso compartido de archivos para que utilice el cifrado del lado del servidor con claves administradas (). AWS Key Management Service AWS KMS AWS KMS es un servicio que combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Para obtener más información, consulte ¿Qué es el servicio de administración de AWS claves? en la Guía para AWS Key Management Service desarrolladores.
-
DSSE-KMS: el cifrado de doble capa del lado del servidor con AWS KMS claves aplica dos capas de cifrado a los objetos cuando se cargan en Amazon S3. Esto ayuda a cumplir con los estándares de cumplimiento para el cifrado multicapa. Para obtener más información, consulte Uso del cifrado de doble capa del lado del servidor con AWS KMS claves en la Guía del usuario de Amazon Simple Storage Service.
nota
El uso del DSSE-KMS y las claves conlleva cargos adicionales. AWS KMS Para más información, consulte Precios de AWS KMS
.
Puede especificar un método de cifrado al crear un nuevo recurso compartido de archivos mediante la consola de Storage Gateway o la API de Storage Gateway. Para conocer los procedimientos de la consola, consulte Crear un recurso compartido de archivos NFS con una configuración personalizada oCrear un recurso compartido de archivos SMB con una configuración personalizada. Para obtener información sobre los comandos de API correspondientes, consulte Create NFSFile Share o Create SMBFile Share en la referencia de la API AWS de Storage Gateway.
También puede actualizar la configuración de cifrado de un recurso compartido de archivos existentes mediante la consola de Storage Gateway o la API de Storage Gateway. Para conocer el procedimiento de la consola, consulte Cambiar el método de cifrado del servidor para un recurso compartido de archivos existente. Para obtener información sobre los comandos de API correspondientes, consulte Update NFSFile Share o Update SMBFile Share en la referencia de la API AWS de Storage Gateway.
nota
Tras actualizar el método de cifrado, la puerta de enlace utilizará el nuevo método para todos los objetos nuevos que cree en Amazon S3 y para cualquier objeto almacenado que actualice o modifique en el futuro. Los objetos de Amazon S3 existentes solo recibirán el nuevo método de cifrado si la puerta de enlace los actualiza o modifica.
importante
Asegúrese de que el recurso compartido de archivos utilice el mismo tipo de cifrado que el bucket de Amazon S3 en el que almacena los datos.
Si configura la puerta de enlace de archivo para utilizar SSE-KMS o DSSE-KMS para el cifrado, debe agregar manualmente los permisos kms:Encrypt, kms:Decrypt, kms:ReEncrypt*, kms:GenerateDataKey y kms:DescribeKey al rol de IAM asociado al recurso compartido de archivos. Para obtener más información, consulte Uso de políticas basadas en identidad (políticas de IAM) para Storage Gateway.
