翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EFS を使用して、暗号化されたファイルシステムを作成することができます。Amazon EFS は、ファイルシステムの 2 つの暗号化形式、転送時の暗号化と保管時の暗号化をサポートします。実行する必要のあるキー管理は、保管時の暗号化にのみ関連します。Amazon EFS は、転送時の暗号化のキーを自動的に管理します。
保管時に暗号化を使用してファイルシステムを作成する場合、データとメタデータは保管時に暗号化されます。Amazon EFS はキー管理に AWS Key Management Service (AWS KMS) を使用します。保管時に暗号化を使用してファイルシステムを作成する場合、 AWS KMS keyを指定します。KMS キーは aws/elasticfilesystem (Amazon EFS AWS マネージドキー の ) にすることも、管理するカスタマーマネージドキーにすることもできます。
ファイルの内容などのファイルデータは、ファイルシステムを作成したときに指定した KMS キーを使用して保管時に暗号化されます。メタデータ (ファイル名、ディレクトリ名、ディレクトリの内容) は、Amazon EFS が管理するキーの使用によって暗号化されます。
ファイルシステムの EFS AWS マネージドキー は、ファイル名、ディレクトリ名、ディレクトリの内容など、ファイルシステムのメタデータを暗号化するための KMS キーとして使用されます。ユーザーは、保管時にファイルデータ (ファイルの内容) を暗号化するために使用するカスタマーマネージドキーを所有します。
KMS キーにアクセスできるユーザーと暗号化されたファイルシステムの内容を管理します。このアクセスは、 AWS Identity and Access Management (IAM) ポリシーと の両方によって制御されます AWS KMS。IAM ポリシーは、Amazon EFS API アクションへのユーザーのアクセスを制御します。 AWS KMS キーポリシーは、ファイルシステムの作成時に指定した KMS キーへのユーザーのアクセスを制御します。詳細については次を参照してください:
-
IAM ユーザーガイド の「IAM ユーザー」
-
「AWS Key Management Service 開発者ガイド」の「AWS KMSのキーポリシー」
-
「AWS Key Management Service デベロッパーガイド」の「AWS KMSでのグラント」
キー管理者として、外部キーをインポートできます。また、キーを有効化、無効化、または削除して変更することもできます。指定した KMS キーの状態 (保管時の暗号化を使用してファイルシステムを作成した場合) は、そのコンテンツへのアクセスに影響します。KMS キーは、そのキーを使って暗号化されたファイルシステムのコンテンツにユーザーがアクセスできるように enabled の状態である必要があります。
