暗号化されたファイルシステムへのアクセスの管理

Amazon を使用するとEFS、暗号化されたファイルシステムを作成できます。Amazon EFSは、ファイルシステムの暗号化の 2 つの形式をサポートしています。転送中の暗号化と保管中の暗号化です。実行する必要のあるキー管理は、保管時の暗号化にのみ関連します。Amazon は、転送中の暗号化のキーEFSを自動的に管理します。

保管時に暗号化を使用してファイルシステムを作成する場合、データとメタデータは保管時に暗号化されます。Amazon EFSはキー管理に AWS Key Management Service （AWS KMS) を使用します。保管時に暗号化を使用してファイルシステムを作成する場合、 AWS KMS keyを指定します。KMS キーは aws/elasticfilesystem (Amazon AWS マネージドキー の の場合EFS) でも、管理するカスタマーマネージドキーでもかまいません。

ファイルデータ - ファイルの内容 - は、ファイルシステムの作成時に指定したKMSキーを使用して保管時に暗号化されます。メタデータ — ファイル名、ディレクトリ名、ディレクトリコンテンツ — は、Amazon がEFS管理するキーを使用して暗号化されます。

EFS AWS マネージドキー ファイルシステムの は、ファイル名、ディレクトリ名、ディレクトリの内容など、ファイルシステムのメタデータを暗号化するためのKMSキーとして使用されます。ユーザーは、保管時にファイルデータ (ファイルの内容) を暗号化するために使用するカスタマーマネージドキーを所有します。

KMS キーにアクセスできるユーザーと暗号化されたファイルシステムの内容を管理します。このアクセスは、 AWS Identity and Access Management （IAM) ポリシーと の両方によって制御されます AWS KMS。IAM ポリシーは、Amazon EFS API actions へのユーザーのアクセスを制御します。 AWS KMS キーポリシーは、ファイルシステムの作成時に指定したKMSキーへのユーザーのアクセスを制御します。詳細については、次を参照してください。

キー管理者として、外部キーをインポートできます。また、キーを有効化、無効化、または削除して変更することもできます。指定したKMSキーの状態 (保管時の暗号化でファイルシステムを作成した場合) は、その内容へのアクセスに影響します。ユーザーがそのKMSキーを使用して暗号化された encrypted-at-rest ファイルシステムの内容にアクセスできるようにするには、キーが enabled状態である必要があります。