保管中のデータの暗号化 - FSx Lustre 用
保存時の暗号化の方法AWS KMS キー管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

保管中のデータの暗号化は、、 AWS Management Console、または Amazon FSxAPIまたは のいずれかを介してプログラムで Amazon FSx for Lustre ファイルシステムを作成すると AWS CLI、自動的に有効になります AWS SDKs。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。永続ファイルシステムを作成する場合は、データを暗号化する AWS KMS キーを指定できます。スクラッチファイルシステムを作成すると、データは Amazon が管理するキーを使用して暗号化されますFSx。コンソールを使用して保管時に暗号化されたファイルシステムの作成の詳細については、「Amazon FSx for Lustre ファイルシステムの作成」を参照してください。

注記

AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。インフラストラクチャは、米国国立標準技術研究所 (NIST) の 800-57 の推奨事項に準拠しています。

FSx for Lustre が を使用する方法の詳細については AWS KMS、「」を参照してくださいAmazon FSx for Lustre が を使用する方法 AWS KMS

保存時の暗号化の方法

暗号化されたファイルシステムの場合、データとメタデータはファイルシステムに書き込まれる前に自動的に暗号化されます。同様に、データとメタデータが読み取られると、アプリケーションに提示される前に自動的に復号化されます。これらのプロセスは Amazon FSx for Lustre によって透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon FSx for Lustre は、業界標準の AES-256 暗号化アルゴリズムを使用して、保管中のファイルシステムデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。

Amazon FSx for Lustre が を使用する方法 AWS KMS

Amazon FSx for Lustre は、ファイルシステムに書き込まれる前にデータを自動的に暗号化し、読み取り時にデータを自動的に復号します。データは XTS--AES256 ブロック暗号を使用して暗号化されます。FSx Lustre ファイルシステムのすべてのスクラッチは、 によって管理されるキーで保管時に暗号化されます AWS KMS。Amazon FSx for Lustre は、キー管理 AWS KMS のために と統合されています。保管時にスクラッチファイルシステムの暗号化に使用されるキーは、ファイルシステムごとに一意であり、ファイルシステムの削除後に破棄されます。永続ファイルシステムの場合は、データの暗号化と復号に使用されるKMSキーを選択します。永続ファイルシステムを作成するときに使用するキーを指定します。このKMSキーの許可を有効、無効に、または取り消すことができます。このKMSキーは、次の 2 つのタイプのいずれかになります。

  • AWS マネージドキー Amazon の FSx - これはデフォルトKMSキーです。KMS キーの作成と保存には課金されませんが、使用料はかかります。詳細については、AWS Key Management Service の料金を参照してください。

  • カスタマーマネージドキー – これは、複数のユーザーまたはサービスに対してKMSキーポリシーと許可を設定できるため、最も柔軟なキーです。カスタマーマネージドキーの作成の詳細については、「 デベロッパーガイド」の「キー AWS Key Management Service の作成」を参照してください。

カスタマーマネージドキーをファイルデータの暗号化と復号のKMSキーとして使用している場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。

重要

Amazon は対称暗号化KMSキーのみFSxを受け入れます。Amazon では非対称KMSキーを使用できませんFSx。

の Amazon FSxキーポリシー AWS KMS

キーポリシーは、KMSキーへのアクセスを制御する主な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSの キーポリシーの使用」を参照してください。次のリストは、Amazon が暗号化された保管時のファイルシステムFSxに対してサポートする AWS KMS、 に関連するすべてのアクセス許可を示しています。

  • kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。

  • kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ReEncrypt – (オプション) クライアント側でデータのプレーンテキストを公開することなく、サーバー側のデータを新しいKMSキーで暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:GenerateDataKeyWithoutPlaintext – (必須) キーで暗号化されたデータ暗号化KMSキーを返します。このアクセス許可は、kms:GenerateDataKey* のデフォルトキーポリシーに含まれています。

  • kms:CreateGrant – (必須) キーを使用できるユーザーと条件を指定する権限をキーに追加します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:DescribeKey – (必須) 指定されたKMSキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ListAliases – (オプション) アカウント内のすべてのキーエイリアスを一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可によってリストに入力され、KMSキーが選択されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。