翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

AWS Management Console、AWS CLI、またはプログラムを使用して、Amazon EFS API またはいずれかの AWS SDK から、暗号化されたファイルシステムを作成することができます。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。

EFS ファイルシステムを作成した後、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、暗号化されたファイルシステムを新たに作成する必要があります。

保管時に暗号化される EFS ファイルシステムの作成

AWS Identity and Access Management (IAM) アイデンティティベースのポリシーにある elasticfilesystem:Encrypted IAM 条件キーを使用して、ユーザーが保管時に暗号化される Amazon EFS ファイルシステムを作成できるかどうか制御します。条件キーの使用に関する詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください

組織内のすべての AWS アカウント に EFS 暗号化を強制するには、内部でサービスコントロールポリシー (SCP) を定義することもできます。AWS Organizations でのサービスコントロールポリシーの詳細については、AWS Organizationsユーザーガイド の「サービスコントロールポリシー」をご覧ください。

コンソールを使用して保管時のファイルシステムを暗号化する

Amazon EFS コンソールを使用して新しいファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。

保存時の暗号化の方法

暗号化されたファイルシステムの場合、データとメタデータはファイルシステムに書き込まれる前に自動的に暗号化されます。同様に、データとメタデータが読み取られると、アプリケーションに提示される前に自動的に復号化されます。このプロセスは Amazon EFS で透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon EFS は保管時の EFS データおよびメタデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。