サポート終了通知: 2026 年 10 月 7 日、 AWS はサポートを終了します AWS IoT Greengrass Version 1。2026 年 10 月 7 日以降、 AWS IoT Greengrass V1 リソースにアクセスできなくなります。詳細については、[「 からの移行 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# データ暗号化
AWS IoT Greengrass は暗号化を使用して、転送中 (インターネットまたはローカルネットワーク経由) および保管中 ( に保存) のデータを保護します AWS クラウド。
AWS IoT Greengrass 環境内のデバイスは、多くの場合、さらなる処理のために AWS サービスに送信されるデータを収集します。他の AWS サービスのデータ暗号化の詳細については、そのサービスのセキュリティドキュメントを参照してください。
**Topics**
+ [転送中の暗号化](encryption-in-transit.md)
+ [保管中の暗号化](encryption-at-rest.md)
+ [Greengrass Core Device のキー管理](key-management.md)
# 転送中の暗号化
AWS IoT Greengrass には、データが転送される 3 つの通信モードがあります。
+ [インターネット経由で転送中のデータ](#data-in-transit-internet)。 Greengrass コアとインターネット AWS IoT Greengrass 経由の通信は暗号化されます。
+ [ローカルネットワーク経由で転送中のデータ](#data-in-transit-local-network)。ローカルネットワークを介した Greengrass Core とクライアントデバイス間の通信は暗号化されます。
+ [コアデバイス上のデータ](#data-in-transit-locally): Greengrass コアデバイス上のコンポーネント間の通信は暗号化されません。
## インターネット経由で転送中のデータ
AWS IoT Greengrass は Transport Layer Security (TLS) を使用して、インターネット経由のすべての通信を暗号化します。に送信されるすべてのデータは、MQTT または HTTPS プロトコルを使用して TLS 接続を介して送信されるため、デフォルトでは安全です。 AWS クラウド は AWS IoT トランスポートセキュリティモデル AWS IoT Greengrass を使用します。詳細については、*[AWS IoT Core Developer Guide]* (デベロッパーガイド) の[[Transport security]](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html) (トランスポートセキュリティ) を参照してください。
## ローカルネットワーク経由で転送中のデータ
AWS IoT Greengrass は TLS を使用して、Greengrass コアデバイスとクライアントデバイス間のローカルネットワーク経由のすべての通信を暗号化します。詳細については、「[ローカルネットワーク通信でサポートされる暗号スイート](gg-sec.md#gg-cipher-suites)」を参照してください。
ローカルネットワークとプライベートキーを保護するのはお客様の責任となります。
Greengrass コアデバイスに関するお客様の責任は次のとおりです。
+ 最新のセキュリティパッチでカーネルを最新の状態に保ちます。
+ 最新のセキュリティパッチでシステムライブラリを最新の状態に保ちます。
+ プライベートキーを保護します。詳細については、「[Greengrass Core Device のキー管理](key-management.md)」を参照してください。
クライアントデバイスに関するお客様の責任は次のとおりです。
+ TLS スタックを最新の状態に保ちます。
+ プライベートキーを保護します。
## コアデバイス上のデータ
AWS IoT Greengrass は、Greengrass コアデバイスでローカルに交換されたデータを暗号化しません。これは、データがデバイスから離れないためです。これには、ユーザー定義の Lambda 関数、コネクタ、 AWS IoT Greengrass Core SDK、ストリームマネージャーなどのシステムコンポーネント間の通信が含まれます。
# 保管中の暗号化
AWS IoT Greengrass はデータを保存します。
+ [の保管中のデータ AWS クラウド](#data-at-rest-cloud). このデータは暗号化されます。
+ [Greengrass コアに保管されているデータ](#data-at-rest-device). このデータは暗号化されません (シークレットのローカルコピーを除きます)。
## の保管中のデータ AWS クラウド
AWS IoT Greengrass は、 に保存されている顧客データを暗号化します AWS クラウド。このデータは、 によって管理される AWS KMS キーを使用して保護されます AWS IoT Greengrass。
## Greengrass コアに保管されているデータ
AWS IoT Greengrass は、Unix ファイルのアクセス許可とフルディスク暗号化 (有効になっている場合) を使用して、コア上の保管中のデータを保護します。ファイルシステムとデバイスを保護するのはお客様の責任となります。
ただし、 AWS IoT Greengrass は取得元のシークレットのローカルコピーを暗号化します AWS Secrets Manager。詳細については、「[シークレットの暗号化](secrets.md#secrets-encryption)」を参照してください。
# Greengrass Core Device のキー管理
Greengrass Core Device の暗号化 (パブリックおよびプライベート) キーを安全に保管するのは、お客様の責任です。 AWS IoT Greengrass は次のシナリオでパブリックキーおよびプライベートキーを使用します。
+ IoT クライアントキーは IoT 証明書とともに使用され、Greengrass Core が AWS IoT Coreに接続すると Transport Layer Security (TLS) ハンドシェイクを認証します。詳細については、「[AWS IoT Greengrassのデバイス認証と認可](device-auth.md)」を参照してください。
**注記**
キーおよび証明書は、コアプライベートキーおよびコアデバイス証明書とも呼ばれます。
+ MQTT サーバーキーは MQTT サーバー証明書を使用して、コアデバイスとクライアントデバイス間の TLS 接続を認証します。詳細については、「[AWS IoT Greengrassのデバイス認証と認可](device-auth.md)」を参照してください。
+ ローカルの Secrets Manager は、IoT クライアントキーを使用してローカルのシークレットの暗号化に使用されるデータキーを保護しますが、独自のプライベートキーを提供することもできます。詳細については、「[シークレットの暗号化](secrets.md#secrets-encryption)」を参照してください。
Greengrass Core は、ファイルシステムのアクセス許可、[ハードウェアセキュリティモジュール](hardware-security.md)、またはその両方を使用して、プライベートキーストレージをサポートします。ファイルシステムベースのプライベートキーを使用する場合は、お客様がコアデバイス上の安全な保管の責任を負います。
Greengrass Core では、プライベートキーの場所は `config.json` ファイルの `crypto` セクションに指定されています。MQTT サーバー証明書にお客様が提供するキーを使用するようにコアを設定する場合、キーを回転するのはお客様の責任です。詳細については、「[AWS IoT Greengrass コアセキュリティプリンシパル](gg-sec.md#gg-principals)」を参照してください。
クライアントデバイスの場合、TLS スタックを最新の状態に保ち、プライベートキーを保護するのはお客様の責任です。プライベートキーは、 AWS IoT Greengrass サービスとの TLS 接続を認証するためにデバイス証明書とともに使用されます。