Grid Manager 中的金鑰管理伺服器 (KMS)

你"配置金鑰管理伺服器"對於StorageGRID站點和 "為裝置啟用節點加密"。然後，裝置節點連接到 KMS 以請求金鑰加密金鑰 (KEK)。此金鑰對每個磁碟區上的資料加密金鑰 (DEK) 進行加密和解密。

安裝期間啟用了*節點加密*的裝置節點。設備上的所有資料都受到保護，不會發生實體遺失或從資料中心移除。

注意：僅儲存節點和服務設備支援使用 KMS 管理加密金鑰。

StorageGRID裝置安裝程式中的磁碟機加密頁面

如果裝置包含支援硬體加密的驅動器，您可以在安裝期間設定驅動器密碼。當您設定磁碟機密碼時，任何人都不可能從已從系統中刪除的磁碟機中恢復有效數據，除非他們知道密碼。在開始安裝之前，請前往*設定硬體*>*磁碟機加密*來設定適用於節點中所有StorageGRID管理的自加密磁碟機的磁碟機密碼。

包含自加密磁碟機的裝置。安全驅動器上的所有資料都受到保護，不會發生實體遺失或從資料中心移除。

磁碟機加密不適用於SANtricity管理的磁碟機。如果您擁有具有自加密磁碟機和SANtricity控制器的儲存設備，則可以在SANtricity中啟用磁碟機安全性。

推動SANtricity System Manager 的安全性

如果您的StorageGRID裝置啟用了磁碟機安全功能，則可以使用 "SANtricity系統管理員"建立和管理安全密鑰。需要密鑰才能存取安全驅動器上的資料。

具有全碟加密 (FDE) 磁碟機或自加密磁碟機的儲存裝置。安全驅動器上的所有資料都受到保護，不會發生實體遺失或從資料中心移除。不能與某些儲存設備或任何服務設備一起使用。

儲存物件加密

您啟用"儲存物件加密"網格管理器中的選項。啟用後，任何未在儲存桶層級或物件層級加密的新物件都會在攝取期間加密。

新攝取的 S3 物件資料。

現有儲存的物件未加密。對像元資料和其他敏感資料未加密。

S3 儲存桶加密

您發出 PutBucketEncryption 請求來為儲存桶啟用加密。任何未在物件層級加密的新物件都會在攝取期間加密。

僅限新攝取的 S3 物件資料。

必須為儲存桶指定加密。現有的儲存桶物件未加密。對像元資料和其他敏感資料未加密。

"對 bucket 的操作"

S3 物件伺服器端加密 (SSE)

您發出一個 S3 請求來儲存一個物件並包括 `x-amz-server-side-encryption`請求標頭。

僅限新攝取的 S3 物件資料。

必須為物件指定加密。對像元資料和其他敏感資料未加密。

StorageGRID管理金鑰。

"使用伺服器端加密"

使用客戶提供的金鑰對 S3 物件進行伺服器端加密 (SSE-C)

您發出 S3 請求來儲存物件並包含三個請求標頭。

僅限新攝取的 S3 物件資料。

必須為物件指定加密。對像元資料和其他敏感資料未加密。

密鑰在StorageGRID之外進行管理。

"使用伺服器端加密"

外部磁碟區或資料儲存加密

如果您的部署平台支持，您可以使用StorageGRID以外的加密方法來加密整個磁碟區或資料儲存。

所有物件資料、元資料和系統配置資料（假設每個磁碟區或資料儲存都經過加密）。

外部加密方法可以對加密演算法和金鑰進行更嚴格的控制。可以與列出的其他方法結合使用。

StorageGRID以外的物件加密

您可以使用StorageGRID外部的加密方法在物件資料和元資料被匯入StorageGRID之前對其進行加密。

僅物件資料和元資料（系統配置資料未加密）。

外部加密方法可以對加密演算法和金鑰進行更嚴格的控制。可以與列出的其他方法結合使用。

"Amazon Simple Storage Service - 使用者指南：使用客戶端加密保護資料"