MemoryDB に保存時の暗号化 - Amazon MemoryDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

MemoryDB に保存時の暗号化

データの安全性を維持するために、MemoryDB と Amazon S3 では、クラスター内のデータへのアクセスを制限するさまざまな方法が用意されています。詳細については、「MemoryDB と Amazon VPC」および「MemoryDB での ID とアクセスの管理」を参照してください。

MemoryDB の保管時の暗号化は常に有効になっており、永続データを暗号化することでデータのセキュリティを強化します。以下の項目を暗号化します。

  • トランザクションログ内のデータ

  • 同期、スナップショット、およびスワップオペレーション中のディスク

  • Amazon S3 に保存されたバックアップ

MemoryDB は、保管中のデフォルトの (サービスマネージド) 暗号化を提供するだけでなく、AWS キー管理サービス (KMS) で独自の対称カスタマーマネージドカスタマールートキーを使用することもできます。

データ階層化が有効なクラスターに保存されたデータ SSDs (ソリッドステートドライブ) は、デフォルトで常に暗号化されます。

転送時の暗号化については、「MemoryDB の転送中の暗号化 (TLS)」を参照してください。

からのカスタマーマネージドキーの使用 AWS KMS

MemoryDB は、保管時の暗号化用に対称カスタマーマネージドルートキー (KMS キー) をサポートしています。カスタマーマネージドKMSキーは、 AWS アカウントで作成、所有、管理する暗号化キーです。詳細については、「AWS ‬Key Management Service デベロッパーガイド‭‬‬」‭の「‭‬カスタマールートキー‭」を参照してください。MemoryDB で使用する前に、 で AWS KMSキーを作成する必要があります。

ルートキーを作成する AWS KMS方法については、「 Key AWS Management Service デベロッパーガイド」の「キーの作成」を参照してください。

MemoryDB では、 と統合できます AWS KMS。詳細については、AWS Key Management Service デベロッパーガイドの「付与の使用」を参照してください。MemoryDB と の統合を有効にするためのカスタマーアクションは必要ありません AWS KMS。

kms:ViaService 条件キーは、 AWS KMSキーの使用を指定された AWS サービスからのリクエストに制限します。MemoryDB kms:ViaServiceで使用するには、条件キー値 に両方の ViaService 名前を含めますmemorydb.amazon_region.amazonaws.com。詳細については、「kms:ViaService」を参照してください。

AWS CloudTrail を使用して、MemoryDB がユーザーに代わって送信 AWS Key Management Service するリクエストを追跡できます。カスタマーマネージドキー AWS Key Management Service に関連する へのすべてのAPI呼び出しには、対応する CloudTrail ログがあります。MemoryDB が作成する許可は、ListGrantsKMSAPI呼び出しによっても確認できます。

カスタマー管理のキーを使用してクラスターが暗号化されると、クラスターのすべてのスナップショットは以下のように暗号化されます。

  • 毎日の自動スナップショットは、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。

  • クラスターが削除されたときに作成される最終スナップショットも、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。

  • 手動作成されたスナップショットは、クラスターに関連付けられたKMSキーを使用するようにデフォルトで暗号化されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

  • スナップショットをコピーするとき、デフォルトでは、ソーススナップショットに関連付けられたカスタマー管理のキーが使用されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

注記
  • 選択した Amazon S3 バケットにスナップショットをエクスポートするとき、カスタマー管理のキーは使用できません。ただし、Amazon S3 にエクスポートされたすべてのスナップショットは、‭‬サーバー側の暗号化‭‬を使用して暗号化されます。‬‬‬‬‬‬ スナップショットファイルを新しい S3 オブジェクトにコピーし、カスタマーマネージドKMSキーを使用して暗号化するか、KMSキーを使用してデフォルトの暗号化で設定された別の S3 バケットにファイルをコピーするか、ファイル自体の暗号化オプションを変更することができます。

  • カスタマー管理のキーを使用して、暗号化にカスタマー管理のキーを使用しない手動で作成されたスナップショットを暗号化することもできます。このオプションでは、Amazon S3 に保存されているスナップショットファイルは、データが元のクラスターで暗号化されていなくても、KMSキーを使用して暗号化されます。

スナップショットから復元するときは、新しいクラスターの作成時に使用できる暗号化オプションと同様に、使用可能な暗号化オプションから選択できます。

  • キーを削除するか、キーを‭無効化‭して‬、クラスターの暗号化に使用したキーの‭‬許可を取り消す‭と、クラスターは回復不可能になります。‬‬‬‬‬‬‬‬‬‬‬‬ つまり、ハードウェア障害後に変更または復元することはできません。 AWS KMS は、少なくとも 7 日間の待機期間後にのみルートキーを削除します。キーが削除された後、別のカスタマー管理のキーを使用して、アーカイブ目的のスナップショットを作成できます。

  • 自動キーローテーションはルートキーの AWS KMSプロパティを保持するため、MemoryDB データにアクセスする機能には影響しません。暗号化された MemoryDB クラスターは、新しいルートキーの作成と古いキーへの参照の更新を伴う手動キーローテーションをサポートしません。詳細については、「AWS ‬ Key Management Service デベロッパーガイド」の「 Rotating Customer root Keys」を参照してください。

  • KMS キーを使用して MemoryDB クラスターを暗号化するには、クラスターごとに 1 つの許可が必要です。この許可はクラスターの有効期間を通じて使用されます。さらに、スナップショットの作成時には、スナップショットごとに 1 つの権限が使用されます。この許可はスナップショットの作成後に無効になります。

  • 権限と制限の詳細については AWS KMS、AWS 「 Key Management Service デベロッパーガイド」の「クォータ」を参照してください。

以下の資料も参照してください。