翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
暗号化されたファイルシステムは AWS Management Console、、 AWS CLI、または Amazon EFS API またはいずれかの AWS SDKs を使用してプログラムで作成できます。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。
EFS ファイルシステムを作成した後、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、暗号化されたファイルシステムを新たに作成する必要があります。
注記
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。
保管時に暗号化される EFS ファイルシステムの作成
AWS Identity and Access Management (IAM) アイデンティティベースのポリシーにある elasticfilesystem:Encrypted IAM 条件キーを使用して、ユーザーが保管時に暗号化される Amazon EFS ファイルシステムを作成できるかどうか制御します。条件キーの使用に関する詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください
内部で AWS Organizations サービスコントロールポリシー (SCPs) を定義して、組織内のすべての に EFS AWS アカウント暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、AWS Organizations 「 ユーザーガイド」の「サービスコントロールポリシー」を参照してください。
コンソールを使用して保管時のファイルシステムを暗号化する
Amazon EFS コンソールを使用して新しいファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。
注記
AWS CLI、API、および SDK を使用して新しいファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になりません。詳細については、「ファイルシステムの作成 (AWS CLI)」を参照してください。
保存時の暗号化の方法
暗号化されたファイルシステムの場合、データとメタデータはファイルシステムに書き込まれる前に自動的に暗号化されます。同様に、データとメタデータが読み取られると、アプリケーションに提示される前に自動的に復号化されます。このプロセスは Amazon EFS で透過的に処理されるため、アプリケーションを変更する必要はありません。
Amazon EFS は保管時の EFS データおよびメタデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。
