本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon S3 中加密文件网关存储的对象
<a name="encrypt-objects-stored-by-file-gateway-in-amazon-s3"></a>

S3 文件网关支持对其存储在 Amazon S3 中的数据使用以下服务器端加密方法：
+ **SSE-S3**：默认情况下，上传到 Amazon S3 存储桶的所有新对象都使用 Amazon S3 托管密钥进行服务器端加密。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 托管密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
+ **SSE-KMS** — 您可以将文件共享配置为使用 AWS Key Management Service (AWS KMS) 托管密钥的服务器端加密。 AWS KMS 是一项结合了安全、高度可用的硬件和软件的服务，可提供可扩展到云端的密钥管理系统。有关更多信息，请参阅[什么是 AWS 密钥管理服务？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS Key Management Service 开发人员指南》*中。
+ **DSSE-KMS** — 带 AWS KMS 密钥的双层服务器端加密在对象上传到 Amazon S3 时会对对象进行两层加密。这有助于满足多层加密的合规性标准。有关更多信息，请参阅 A *mazon 简单存储服务用户*指南中的[使用带 AWS KMS 密钥的双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)。
**注意**  
使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息，请参阅[AWS KMS 定价](https://aws.amazon.com/kms/pricing/)。

创建新文件共享时，您可以使用 Storage Gateway 控制台或 Storage Gateway API 来指定加密方法。有关控制台操作步骤，请参阅[使用自定义配置创建 NFS 文件共享](CreatingAnNFSFileShare.md)或[使用自定义配置创建 SMB 文件共享](CreatingAnSMBFileShare.md)。有关相应的 API 命令的信息，请参阅 *AWS Storage Gateway API 参考*中的[创建NFSFileSMBFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateNFSFileShare.html)[或创建共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html)。



您还可以使用 Storage Gateway 控制台或 Storage Gateway API 更新现有文件共享的加密设置。有关控制台操作步骤，请参阅[更改现有文件共享的服务器端加密方法](edit-file-share-encryption.md)。有关相应的 API 命令的信息，请参阅 *AWS Storage Gateway API 参考*中的[更新NFSFileSMBFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateNFSFileShare.html)[或更新共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBFileShare.html)。

**注意**  
更新加密方法后，网关将使用新方法来处理其在 Amazon S3 中创建的所有新对象以及将来更新或修改的任何存储对象。现有 Amazon S3 对象仅在通过网关更新或修改时才会采用新的加密方法。

**重要**  
确保您的文件共享使用的加密类型，与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。  
如果您将文件网关配置为使用 SSE-KMS 或 DSSE-KMS 进行加密，则必须手动向与文件共享关联的 IAM 角色添加 `kms:Encrypt`、`kms:Decrypt`、`kms:ReEncrypt*`、`kms:GenerateDataKey` 和 `kms:DescribeKey` 权限。有关更多信息，请参阅[为 Storage Gateway 使用基于身份的策略（IAM 策略）](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html)。