ウォークスルー: Amazon EFS ファイルシステムでの保管時の暗号化の強制 - Amazon Elastic File System
保管時の暗号化を強制する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウォークスルー: Amazon EFS ファイルシステムでの保管時の暗号化の強制

次に、Amazon CloudWatch とAWS CloudTrailを使用して保管時の暗号化を強制する方法の詳細を説明します。このチュートリアルは、AWS ホワイトペーパー「Amazon EFS 暗号化されたファイルシステムで保管中のデータを暗号化する」に基づいています。

注記

このウォークスルーで説明している保管時に暗号化された Amazon EFS ファイルシステムの作成を強制する方法は、非推奨です。保管時に暗号化されるファイルシステムの作成を強制する推奨される方法は、AWS Identity and Access Managementアイデンティティベースのポリシーのelasticfilesystem:Encrypted条件キーを使用することです。詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください。このウォークスルーを使用して CloudWatch アラームを作成し、IAM ポリシーが暗号化されていないファイルシステムの作成を防いでいることを検証できます。

保管時の暗号化を強制する

組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべての保管中のデータを暗号化する必要が生じる場合があります。発見的統制を使用することで、Amazon EFS ファイルシステムのデータ暗号化に関するポリシーを強制的に実施できます。これらのコントロールは、ファイルシステムの作成を検出し、保管時の暗号化が有効になっているかどうかを確認します。

保管時の暗号化が設定されていないファイルシステムが検出された場合、さまざまな方法で応答できます。これらには、ファイルシステムおよびマウントターゲットの削除から管理者への通知までが含まれます。

保管時に暗号化されていないファイルシステムを削除してデータを保持する場合は、まず新しい保管時に暗号化されるファイルシステムを作成します。次に、保管時に暗号化される新しいファイルシステムにデータをコピーします。データがコピーされた後で、保管時に暗号化されないファイルシステムを削除できます。

保管時に暗号化されないファイルシステムの検出

CloudWatch アラームを作成して、CloudTrail ログで CreateFileSystem イベントを監視できます。作成されたファイルシステムが保管時に暗号化されていない場合、アラームをトリガーして管理者に通知できます。

メトリックフィルタの作成

暗号化されていない Amazon EFS ファイルシステムの作成時に起動される CloudWatch アラームを作成するには、次の手順を実行します。

開始する前に、CloudTrail ログを CloudWatch Logs のロググループに送信する既存の証跡を作成する必要があります。詳細については、AWS CloudTrailユーザーガイドの「CloudWatch Logs にイベントを送信する」を参照してください。

メトリックスフィルタを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで [ログ] を選択します。

  3. ロググループのリストで、CloudTrail ログイベントのために作成したロググループを選択します。

  4. [Create Metric Filter] を選択します。

  5. [ログメトリクスフィルタの定義] 画面で [フィルタパターン] を選択し、次の内容を入力します。

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }

  6. [Assign Metric] を選択します。

  7. [Filter Name] に「UnencryptedFileSystemCreated」と入力します。

  8. [メトリクス名前空間] に「CloudTrailMetrics」と入力します。

  9. [メトリクス名] に「UnencryptedFileSystemCreatedEventCount」と入力します。

  10. [Show advanced metric settings] を選択します。

  11. [Metric Value] に「1」と入力します。

  12. [フィルタの作成 ]を選択します。

アラームの作成

メトリックスフィルタを作成後に、次の手順を実行してアラームを作成します。

アラームを作成するには

  1. [Log_Group_Name] ページの [フィルタ] で、[UnencryptedFileSystemCreated] ファイル名の横の [アラームの作成] を選択します。

  2. [アラームの作成] ページで、次のパラメータを設定します。

    • [名前] に「Unencrypted File System Created」を入力します。

    • [次の時に通知を受け取る:] で、以下を実行します。

      • [は:] を > = 1 に設定します。

      • [を:] を 1 [回連続した場合] に設定します。

    • [欠落データの処理方法] で、[適正 (しきい値を超えていない)] を選択します。

    • [操作] で、以下の作業を行います。

      • [アラームが次の時] で [状態: 警告] を選択します。

      • [通知の送信先:] で、[NotifyMe] を選択し、[新しいリスト] を選択してから、このリストの一意のトピック名を入力します。

      • [メールリスト:] に、通知の送信先の E メールアドレスを入力します。このアドレスで E メールを受信し、このアラームを作成したことを確認します。

    • [アラームのプレビュー] で、以下の作業を行います。

      • [期間] で、[1 分] を選択します。

      • [統計] で、[スタンダード] および [合計] を選択します。

  3. [Create Alarm] を選択します。

暗号化されていないファイルシステムの作成アラームをテストする

保管時に暗号化されないファイルシステムを作成して、アラームをテストすることができます。手順は以下のとおりです。

保管時に暗号化されないファイルシステムを作成してアラームをテストするには

  1. AWS Management Console にサインインして Amazon EFS コンソール ( https://console.aws.amazon.com/efs/) を開きます。

  2. ファイルシステムの作成ダイアログボックスを表示するにはファイルシステムの作成を選択します。

  3. 保存時に暗号化されていないファイルシステムを作成するには、カスタマイズを選択してファイルシステム設定ページを表示します。

  4. 全般設定で、次のように入力します。

    1. (オプション) ファイルシステムに[Name (名前)] を入力します。

    2. ライフサイクル管理パフォーマンスモード、およびスループットモードの設定はデフォルト値のままにしておきます。

    3. 保管時のデータの暗号化を有効にするをクリアすることで暗号化をオフにします。

  5. [] を選択してネットワークアクセス設定プロセスのステップを実行します。

  6. デフォルトのVirtual Private Cloud (VPC)を選択します。

  7. マウントターゲットで、それぞれのマウントターゲットにデフォルトのセキュリティグループを選択します。

  8. [] を選択してファイルシステムポリシーページを表示します。

  9. [] を選択して確認と作成ページに進みます。

  10. ファイルシステムを確認し、[作成] を選択して、ファイルシステムを作成してから、ファイルシステムページに戻ります。

証跡は CreateFileSystem オペレーションのログを記録し、CloudWatch Logs ロググループにイベントを配信します。イベントによってメトリクスアラームと CloudWatch Logs がトリガーされ、変更に関する通知が送信されます。