AWS KMS

フォーカスモード

AWS KMS - Amazon Elastic File System

Amazon EFS は、キー管理のために AWS Key Management Service （AWS KMS) と統合されています。Amazon EFS は、次のようにカスタマーマネージドキーを使用してファイルシステムを暗号化します。

保存時のメタデータの暗号化 – Amazon EFS は Amazon EFS に AWS マネージドキー、aws/elasticfilesystem を使用して、ファイルシステムメタデータ (つまり、ファイル名、ディレクトリ名、ディレクトリの内容) を暗号化および復号します。
保管中のデータの暗号化 – ファイルデータ (ファイルの内容) の暗号化と復号に使用するカスタマーマネージドキーを選択します。このカスタマーマネージドキーの許可を有効化、無効化、または削除することができます。このカスタマーマネージドキーは、以下の 2 つのタイプのいずれかになります。
- AWS マネージドキー Amazon EFS の - これはデフォルトのカスタマーマネージドキーですaws/elasticfilesystem。カスタマーマネージドキーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、「AWS Key Management Service 料金表」を参照してください。
- カスタマー管理キー - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。カスタマーマネージドキーの作成の詳細については、「デベロッパーガイド」の「キーの作成」を参照してください。 AWS Key Management Service
  
  ファイルデータ暗号化と復号化のためにカスタマーマネージドキーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。詳細については、「暗号化されたファイルシステムへのアクセスの管理」を参照してください。

重要

Amazon EFS では、対称カスタマーマネージドキーのみを使用できます。Amazon EFS では、非対称カスタマーマネージドキーを使用することはできません。

保管時のデータの暗号化と復号は透過的に処理されます。ただし、Amazon EFS に固有の AWS アカウント IDs、 AWS KMS アクションに関連する AWS CloudTrail ログに表示されます。詳細については、「encrypted-at-rest ファイルシステムの Amazon EFS ログファイルエントリ」を参照してください。

の Amazon EFS キーポリシー AWS KMS

キーポリシーはカスタマーマネージドキーへのアクセスを制御するための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSのキーポリシー」を参照してください。次のリストでは、暗号化された保管時のファイルシステムに対して Amazon EFS が必要とする、またはその他の方法でサポートする、 AWS KMSに関連するすべてのアクセス許可について説明します。

kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。
kms:ReEncrypt - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しいカスタマーマネージドキーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。
kms:GenerateDataKeyWithoutPlaintext - (必須) カスタマーマネージドキーで暗号化されたデータ暗号化キーを返します。この許可は、kms:GenerateDataKey* のデフォルトのキーポリシーに含まれています。
kms:CreateGrant - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。
kms:DescribeKey – (必須) 指定されたカスタマーマネージドキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。
kms:ListAliases - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可により KMS マネージドキーの選択リストが設定されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。

AWS マネージドキー for Amazon EFS KMS ポリシー

Amazon EFS の AWS マネージドキーの KMS ポリシー JSON aws/elasticfilesystemは次のとおりです。


{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}