Grid Manager 中的密钥管理服务器 (KMS)

你"配置密钥管理服务器"对于StorageGRID站点和 "为设备启用节点加密"。然后，设备节点连接到 KMS 以请求密钥加密密钥 (KEK)。此密钥对每个卷上的数据加密密钥 (DEK) 进行加密和解密。

安装期间启用了*节点加密*的设备节点。设备上的所有数据都受到保护，不会发生物理丢失或从数据中心移除。

注意：仅存储节点和服务设备支持使用 KMS 管理加密密钥。

StorageGRID设备安装程序中的驱动器加密页面

如果设备包含支持硬件加密的驱动器，您可以在安装期间设置驱动器密码。当您设置驱动器密码时，任何人都不可能从已从系统中删除的驱动器中恢复有效数据，除非他们知道密码。在开始安装之前，请转到*配置硬件*>*驱动器加密*来设置适用于节点中所有StorageGRID管理的自加密驱动器的驱动器密码。

包含自加密驱动器的设备。安全驱动器上的所有数据都受到保护，不会发生物理丢失或从数据中心移除。

驱动器加密不适用于SANtricity管理的驱动器。如果您拥有带有自加密驱动器和SANtricity控制器的存储设备，则可以在SANtricity中启用驱动器安全。

推动SANtricity System Manager 的安全性

如果您的StorageGRID设备启用了驱动器安全功能，则可以使用 "SANtricity系统管理器"创建和管理安全密钥。需要密钥才能访问安全驱动器上的数据。

具有全盘加密 (FDE) 驱动器或自加密驱动器的存储设备。安全驱动器上的所有数据都受到保护，不会发生物理丢失或从数据中心移除。不能与某些存储设备或任何服务设备一起使用。

存储对象加密

您启用"存储对象加密"网格管理器中的选项。启用后，任何未在存储桶级别或对象级别加密的新对象都会在摄取期间加密。

新摄取的 S3 对象数据。

现有存储的对象未加密。对象元数据和其他敏感数据未加密。

S3 存储桶加密

您发出 PutBucketEncryption 请求来为存储桶启用加密。任何未在对象级别加密的新对象都会在摄取期间加密。

仅限新摄取的 S3 对象数据。

必须为存储桶指定加密。现有的存储桶对象未加密。对象元数据和其他敏感数据未加密。

"对 bucket 的操作"

S3 对象服务器端加密 (SSE)

您发出一个 S3 请求来存储一个对象并包括 `x-amz-server-side-encryption`请求标头。

仅限新摄取的 S3 对象数据。

必须为对象指定加密。对象元数据和其他敏感数据未加密。

StorageGRID管理密钥。

"使用服务器端加密"

使用客户提供的密钥对 S3 对象进行服务器端加密 (SSE-C)

您发出 S3 请求来存储对象并包含三个请求标头。

仅限新摄取的 S3 对象数据。

必须为对象指定加密。对象元数据和其他敏感数据未加密。

密钥在StorageGRID之外进行管理。

"使用服务器端加密"

外部卷或数据存储加密

如果您的部署平台支持，您可以使用StorageGRID之外的加密方法来加密整个卷或数据存储。

所有对象数据、元数据和系统配置数据（假设每个卷或数据存储都经过加密）。

外部加密方法可以对加密算法和密钥进行更严格的控制。可以与列出的其他方法结合使用。

StorageGRID之外的对象加密

您可以使用StorageGRID外部的加密方法在对象数据和元数据被导入StorageGRID之前对其进行加密。

仅对象数据和元数据（系统配置数据未加密）。

外部加密方法可以对加密算法和密钥进行更严格的控制。可以与列出的其他方法结合使用。

"Amazon Simple Storage Service - 用户指南：使用客户端加密保护数据"