翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
転送時の暗号化
転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートするコンピューティングインスタンスにマッピングされているファイル共有でサポートされています。これには、Windows Server 2012 および Windows 8 以降のすべての Windows バージョンと、Samba クライアントバージョン 4.2 以降を搭載したすべての Linux クライアントが含まれます。Amazon FSx for Windows File Server は、アプリケーションを変更することなくファイルシステムにアクセスするときに、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。
SMB 暗号化は、暗号化アルゴリズムとして AES-128-GCM または AES-128-CCM (クライアントが SMB 3.1.1 をサポートしている場合は GCM バリアントが選択されます) を使用し、SMB Kerberos セッションキーを使用した署名によるデータ整合性も提供します。AES-128-GCM を使用すると、パフォーマンスが向上します。例えば、暗号化された SMB 接続を介して大きなファイルをコピーする場合のパフォーマンスが最大 2 倍向上します。
常に を暗号化するためのコンプライアンス要件を満たすために data-in-transit、SMB 暗号化をサポートするクライアントへのアクセスのみを許可するようにファイルシステムアクセスを制限できます。ファイル共有ごと、またはファイルシステム全体への転送中の暗号化を有効または無効にすることもできます。これにより、同じファイルシステム上で暗号化されたファイル共有と暗号化されていないファイル共有を混在させることができます。
転送時の暗号化の管理
一連のカスタム PowerShell コマンドを使用して、FSx for Windows File Server ファイルシステムとクライアント間で転送中のデータの暗号化を制御できます。が常に暗号化されるように、ファイルシステムへのアクセス data-in-transit は SMB 暗号化をサポートするクライアントのみに制限できます。の暗号化の適用が有効になっている場合 data-in-transit、SMB 3.0 暗号化をサポートしていないクライアントからファイルシステムにアクセスするユーザーは、暗号化が有効になっているファイル共有にアクセスできません。
ファイルサーバーレベルではなく data-in-transit 、ファイル共有レベルで の暗号化を制御することもできます。機密データを含む一部のファイル共有に対して転送中の暗号化を強制し、すべてのユーザーが他のファイル共有にアクセスできるようにする場合は、ファイル共有レベルの暗号化コントロールを使用して、暗号化されているファイル共有と暗号化されていないファイル共有を同じファイルシステム上に混在させることができます。サーバー全体の暗号化は、共有レベルの暗号化よりも優先されます。グローバル暗号化が有効になっている場合、特定の共有の暗号化を選択的に無効にすることはできません。
でのリモート管理に Amazon FSx CLI を使用して、ファイルシステムで転送中のユーザーの暗号化を管理できます PowerShell。この CLI を使用する方法については、「での Amazon FSx CLI の使用 PowerShell」を参照してください。
ファイルシステム上でユーザーの転送中の暗号化を管理するために使用できるコマンドは次のとおりです。
| 転送コマンドの暗号化 | 説明 |
|---|---|
|
Get-FSxSmbServerConfiguration |
サーバーメッセージブロック (SMB) サーバー設定を取得します。システムレスポンスでは、 |
|
Set-FSxSmbServerConfiguration |
このコマンドには、転送時の暗号化を設定するための 2 つのオプションがあります。
|
各コマンドのオンラインヘルプには、すべてのコマンドオプションのリファレンスが記載されています。このヘルプにアクセスするには、-? (例えば、Get-FSxSmbServerConfiguration -?) コマンドを実行します。
