翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
保管中のデータの暗号化
暗号化されたファイルシステムは AWS Management Console、、 AWS CLI、または Amazon EFSAPIまたは のいずれかを使用してプログラムで作成できます AWS SDKs。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。
EFS ファイルシステムを作成すると、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、暗号化されたファイルシステムを新たに作成する必要があります。
注記
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。インフラストラクチャは、米国国立標準技術研究所 (NIST) の 800-57 の推奨事項に準拠しています。
保管時に暗号化された Amazon EFS ファイルシステムの作成を強制する
AWS Identity and Access Management (IAM) アイデンティティベースのポリシーで elasticfilesystem:EncryptedIAM条件キーを使用して、ユーザーが保管時に暗号化された Amazon EFS ファイルシステムを作成できるかどうかを制御できます。条件キーの使用に関する詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください
内部で AWS Organizations サービスコントロールポリシー (SCPs) を定義して、組織 AWS アカウント内のすべての にEFS暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、「 ユーザーガイド」の「サービスコントロールポリシーAWS Organizations 」を参照してください。
コンソールを使用して保管時のファイルシステムを暗号化する
Amazon EFSコンソールを使用して新しいファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。次の手順では、新しいファイルシステムをコンソールから作成するときに暗号化を有効にする方法を説明します。
注記
、、APIおよび を使用して新しいファイルシステムを作成する場合 AWS CLI、保管時の暗号化はデフォルトでは有効になっていませんSDKs。詳細については、「ファイルシステムを作成する (AWS CLI)」を参照してください。
EFS コンソールを使用して新しいファイルシステムを暗号化するには
-
で Amazon Elastic File System コンソールを開きますhttps://console.aws.amazon.com/efs/
。 -
[Create file system (ファイルシステムの作成)] を選択して、ファイルシステム作成 ダイアログを開きます。
-
(オプション) ファイルシステムに [名前] を入力します。
-
Virtual Private Cloud (VPC) では、 を選択するかVPC、デフォルトの に設定したままにしますVPC。
-
[作成] を選択し、以下のサービス推奨設定を使用するファイルシステムを作成します。
Amazon EFS () のデフォルトを使用して、保管中のデータの暗号化が有効 AWS KMS key になります
aws/elasticfilesystem。自動バックアップを有効にする — 詳細については、「EFS ファイルシステムのバックアップ」を参照してください。
マウントターゲット – Amazon EFSは、以下の設定でマウントターゲットを作成します。
ファイルシステムが作成される の各アベイラビリティーゾーン AWS リージョン にあります。
VPC 選択した のデフォルトサブネットにあります。
のVPCデフォルトのセキュリティグループを使用します。ファイルシステムの作成後、セキュリティグループを管理できます。
詳細については、「マウントターゲットの管理」を参照してください。
汎用パフォーマンスモード — 詳細については、「パフォーマンスモード」を参照してください。
エラスティックスループットモード - 詳細については、「スループットモード」を参照してください。
30日間のポリシーでライフサイクル管理を有効にします。詳細については、「EFS ファイルシステムのストレージライフサイクルの管理」を参照してください。
-
ファイルシステム ページが表示され、作成したファイルシステムのステータスを示すバナーが上部に表示されます。ファイルシステムが使用可能になると、バナーにファイルシステムの詳細ページにアクセスするためのリンクが表示されます。
これで、新しい encrypted-at-rest ファイルシステムが作成されました。
保存時の暗号化の方法
暗号化されたファイルシステムの場合、データとメタデータはファイルシステムに書き込まれる前に自動的に暗号化されます。同様に、データとメタデータが読み取られると、アプリケーションに提示される前に自動的に復号化されます。これらのプロセスは Amazon によって透過的に処理されるためEFS、アプリケーションを変更する必要はありません。
Amazon EFSは、業界標準の AES-256 暗号化アルゴリズムを使用して、保管中のEFSデータとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。
Amazon が EFSを使用する方法 AWS KMS
Amazon は、キー管理のために AWS Key Management Service (AWS KMS) とEFS統合します。Amazon EFSは、カスタマーマネージドキーを使用して、次の方法でファイルシステムを暗号化します。
-
保管中のメタデータの暗号化 – Amazon EFSはEFS、Amazon
aws/elasticfilesystem、、 AWS マネージドキー の を使用して、ファイルシステムメタデータ (ファイル名、ディレクトリ名、ディレクトリコンテンツ) を暗号化および復号します。 -
保管中のデータの暗号化 – ファイルデータ (ファイルの内容) の暗号化と復号に使用するカスタマーマネージドキーを選択します。このカスタマーマネージドキーの許可を有効化、無効化、または削除することができます。このカスタマーマネージドキーは、以下の 2 つのタイプのいずれかになります。
-
AWS マネージドキー Amazon の EFS - これはデフォルトのカスタマーマネージドキー です
aws/elasticfilesystem。カスタマーマネージドキーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、「AWS Key Management Service 料金表」を参照してください。 -
カスタマーマネージドキー – これは、複数のユーザーまたはサービスに対してキーポリシーと許可を設定できるため、KMS最も柔軟なキーです。カスタマーマネージドキーの作成の詳細については、「 デベロッパーガイド」の「キー AWS Key Management Service の作成」を参照してください。
ファイルデータ暗号化と復号化のためにカスタマーマネージドキーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。詳細については、「暗号化されたファイルシステムへのアクセスの管理」を参照してください。
-
重要
Amazon は、対称カスタマーマネージドキーのみEFSを受け入れます。Amazon で非対称カスタマーマネージドキーを使用することはできませんEFS。
保管時のデータの暗号化と復号は透過的に処理されます。ただし、 AWS Amazon にIDs固有のアカウントEFSは、 AWS KMS アクションに関連する AWS CloudTrail ログに表示されます。詳細については、「ファイルシステムの Amazon EFS encrypted-at-restログファイルエントリ」を参照してください。
の Amazon EFSキーポリシー AWS KMS
キーポリシーはカスタマーマネージドキーへのアクセスを制御するための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSの キーポリシー」を参照してください。次のリストは、Amazon が保管時の暗号化ファイルシステムEFSに対して必要とする、またはサポートする、 AWS KMS関連するすべてのアクセス許可を示しています。
-
kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
-
kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:ReEncrypt – (オプション) クライアント側でデータのプレーンテキストを公開することなく、新しいカスタマーマネージドキーでサーバー側のデータを暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:GenerateDataKeyWithoutPlaintext – (必須) カスタマーマネージドキーで暗号化されたデータ暗号化キーを返します。このアクセス許可は、kms:GenerateDataKey* のデフォルトキーポリシーに含まれています。
-
kms:CreateGrant – (必須) キーを使用できるユーザーと条件を指定する権限をキーに追加します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:DescribeKey – (必須) 指定されたカスタマーマネージドキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:ListAliases – (オプション) アカウント内のすべてのキーエイリアスを一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可によってKMSキーの選択リストが入力されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。
AWS マネージドキー for Amazon EFSKMSポリシー
Amazon AWS マネージドキー の JSONのKMSポリシーEFSaws/elasticfilesystemは次のとおりです。
{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }
