/ /

配置 S3 加密

Atlas Data Federation可以查询和分析Amazon Web Services S3 存储桶中的未加密数据，而无需额外配置。但是，要使用 $out 读取加密数据或写入数据写入 S3 存储桶， Data Federation可能需要额外权限，具体取决于 S3 加密设置。

下表描述了联合数据库实例为每种类型的 Amazon Web Services S3 加密读取加密数据和使用 $out 将数据写入 S3 所需的配置。

AWS S3加密类型

所需的 Data Federation 配置

AES-256

默认情况下，Atlas Data Federation 支持读取和写入使用 AES-256 AWS 托管密钥在 S3 存储桶中加密的数据。无需额外配置。

使用 Amazon S3 托管的 SSE

默认情况下，Atlas Data Federation 支持读取和写入使用 SSE 和 Amazon S3 托管密钥在 S3 存储桶中加密的数据。无需额外配置。

客户托管的对称客户主密钥

默认情况下，Atlas Data Federation 无法访问使用 SSE 客户托管对称客户主密钥在S3存储桶中加密的数据。对于读取和写入，您必须将类似于以下内容的权限添加到分配给您的 IAM 角色的策略中：

{
   "Effect": "Allow",
   "Action": [
      "kms:GenerateDataKey",
      "kms:decrypt"
   ],
   "Resource": [
      "arn:aws:kms:<aws-region>:<role-ID>:key/<master-key>"
   ]
 }

要修改AWS IAM 角色信任策略，请执行以下操作：

登录到Amazon Web Services管理控制台并导航到Identity and Access Management (IAM)服务页面。
从左侧导航中选择Roles ，然后单击要修改的 IAM 角色。
选择 Trust Relationships 标签页。
单击Edit trust relationship按钮并编辑Policy Document 。

后退

文件路径语法

来年

AWS S3 限制