保管中のデータの暗号化 - ONTAP に関する FSx
Amazon が FSxを使用する方法 AWS KMSの Amazon FSxキーポリシー AWS KMS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

Amazon FSx for NetApp ONTAP ファイルシステムはすべて、 () を使用して AWS Key Management Service 管理されるキーで保管時に暗号化されますAWS KMS。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号化されます。これらのプロセスは Amazon によって透過的に処理されるためFSx、アプリケーションを変更する必要はありません。

Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon の保管中のFSxデータとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。

注記

AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。インフラストラクチャは、米国国立標準技術研究所 (NIST) の 800-57 の推奨事項に準拠しています。

Amazon が FSxを使用する方法 AWS KMS

Amazon はキー管理 AWS KMS のために とFSx統合します。Amazon FSxはKMSキーを使用してファイルシステムを暗号化します。ファイルシステムの暗号化と復号に使用されるKMSキー (データとメタデータの両方) を選択します。このKMSキーの許可を有効、無効に、または取り消すことができます。このKMSキーは、次の 2 つのタイプのいずれかになります。

  • AWSマネージドKMSキー – これはデフォルトのKMSキーであり、無料で使用できます。

  • カスタマーマネージドKMSキー – これは、複数のユーザーまたはサービスに対してキーポリシーと許可を設定できるため、KMS最も柔軟なキーです。KMS キーの作成の詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

重要

Amazon は対称暗号化KMSキーのみFSxを受け入れます。Amazon では非対称KMSキーを使用できませんFSx。

カスタマーマネージドKMSキーをファイルデータの暗号化と復号のKMSキーとして使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 AWS KMS は 1 年に 1 回キーを自動的にローテーションします。さらに、カスタマーマネージドKMSキーを使用すると、KMSキーへのアクセスをいつでも無効化、再有効化、削除、または取り消すタイミングを選択できます。詳細については、「AWS Key Management Service デベロッパーガイドの ローテーション AWS KMS keys」および「キーの有効化と無効化」を参照してください。

の Amazon FSxキーポリシー AWS KMS

キーポリシーは、KMSキーへのアクセスを制御する主な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSの キーポリシーの使用」を参照してください。次のリストは、Amazon が暗号化された保管時のファイルシステムFSxに対してサポートする AWS KMS関連のアクセス許可をすべて説明しています。

  • kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。

  • kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化されたプレーンテキストです。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ReEncrypt – (オプション) クライアント側でデータのプレーンテキストを公開することなく AWS KMS key、サーバー側のデータを新しい で暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:GenerateDataKeyWithoutPlaintext – (必須) キーで暗号化されたデータ暗号化KMSキーを返します。このアクセス許可は、kms:GenerateDataKey* のデフォルトキーポリシーに含まれています。

  • kms:CreateGrant – (必須) キーを使用できるユーザーと条件を指定する権限をキーに追加します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:DescribeKey – (必須) 指定されたKMSキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ListAliases – (オプション) アカウント内のすべてのキーエイリアスを一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可によってKMSキーのリストが入力されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。