翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# MemoryDB に保存時の暗号化
<a name="at-rest-encryption"></a>

データを安全に保つために、MemoryDB と Amazon S3 は、クラスター内のデータへのアクセスを制限するさまざまな方法を用意しています。詳細については、「[MemoryDB と Amazon VPC](vpcs.md)」および「[MemoryDB でのアイデンティティとアクセス権の管理](iam.md)」を参照してください。

MemoryDB の保管時の暗号化は常に有効になっており、永続データを暗号化することでデータのセキュリティを強化します。以下の項目を暗号化します。
+ トランザクションログ内のデータ 
+ 同期、スナップショット、およびスワップオペレーション中のディスク 
+ Amazon S3 に保存されたバックアップ 

 MemoryDB は、保管時のデフォルト (サービス管理) の暗号化だけでなく、[‬‭AWS Key Management Service (KMS)‬](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) で独自の対称カスタマー管理カスタマールートキーを使用する機能を提供します。

データ階層化が有効なクラスター内の SSD (ソリッドステートドライブ) に保存されたデータは、デフォルトで常時暗号化されます。

転送時の暗号化については、「[MemoryDBの転送時の暗号化 (TLS)](in-transit-encryption.md)」を参照してください。

**Topics**
+ [AWS KMS のカスタマー管理のキーの使用](#using-customer-managed-keys-for-memorydb-security)
+ [以下の資料も参照してください。](#at-rest-encryption-see-also)

## AWS KMS のカスタマー管理のキーの使用
<a name="using-customer-managed-keys-for-memorydb-security"></a>

MemoryDB は、保管時の暗号化用の対称カスタマー管理の KMS キー (KMS キー) をサポートしています。カスタマー管理の KMS キーは、AWS アカウントで作成、所有、管理される暗号化キーです。詳細については、「AWS‬Key Management Service デベロッパーガイド‭‬‬」‭の「‭[‬カスタマールートキー‭](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#root_keys)」を参照してください。キーは、MemoryDB で使用する前に AWS KMS で作成する必要があります。

AWS KMS ルートキーを作成する方法の詳細については、*AWS Key Management Service デベロッパーガイド*の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。

MemoryDB を使用すると、AWS KMS と統合できます。詳細については、*AWS Key Management Service デベロッパーガイド*の「[付与の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。MemoryDB と AWS KMS の統合を有効にするために、お客様の作業は必要ありません。

`kms:ViaService` 条件キーは、‭AWS KMS キーの使用を、指定された AWS サービスからのリクエストに制限します。MemoryDB で ‭`kms:ViaService`‬ を使用するには、両方のViaService 名を条件キーの値 ‭`memorydb.amazon_region.amazonaws.com` に‬含めます。‬‬‬ 詳細については、「[kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)」を参照してください。

[AWSCloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) を使用して、MemoryDB によってお客様に代わって AWS Key Management Service に送信されるリクエストを追跡できます。カスタマー管理のキーに関連する AWS Key Management Service へのすべての API コールには、対応する CloudTrail ログがあります。[ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) KMS API コールを行うことで、MemoryDB によって作成される許可を表示することもできます。

カスタマー管理のキーを使用してクラスターが暗号化されると、クラスターのすべてのスナップショットは以下のように暗号化されます。
+ 毎日の自動スナップショットは、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。
+ クラスターが削除されたときに作成される最終スナップショットも、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。
+ 手動で作成されたスナップショットは、デフォルトで、クラスターに関連付けられた KMS キーを使用して暗号化されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。
+ スナップショットをコピーするとき、デフォルトでは、ソーススナップショットに関連付けられたカスタマー管理のキーが使用されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

**注記**  
選択した Amazon S3 バケットにスナップショットをエクスポートするとき、カスタマー管理のキーは使用できません。ただし、Amazon S3 にエクスポートされたすべてのスナップショットは、‭[‬サーバー側の暗号化‭](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)‬を使用して暗号化されます。‬‬‬‬‬‬ スナップショットファイルを新しい S3 オブジェクトにコピーし、カスタマー管理の KMS キーを使用して暗号化するか、KMS キーを使用してデフォルトの暗号化が設定された別の S3 バケットにコピーするか、ファイル自体の暗号化オプションを変更するかを選択できます。
カスタマー管理のキーを使用して、暗号化にカスタマー管理のキーを使用しない手動で作成されたスナップショットを暗号化することもできます。このオプションを使用すると、データが元のクラスターで暗号化されていない場合でも、Amazon S3 に保存されているスナップショットファイルは KMS キーを使用して暗号化されます。
スナップショットから復元するときは、新しいクラスターの作成時に使用できる暗号化オプションと同様に、使用可能な暗号化オプションから選択できます。
+ キーを削除するか、キーを‭[無効化‭](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)して‬、クラスターの暗号化に使用したキーの‭[‬許可を取り消す‭](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)と、クラスターは回復不可能になります。‬‬‬‬‬‬‬‬‬‬‬‬ つまり、ハードウェア障害の後に変更も回復もできなくなります。AWSルートキーは 7 日間以上の待機期間後にのみ KMS によって削除されます。キーが削除された後、別のカスタマー管理のキーを使用して、アーカイブ目的のスナップショットを作成できます。
+ 自動キー更新は AWS KMS ルートキーのプロパティを保持するため、お客様が MemoryDB データにアクセスできるかどうかには影響しません。暗号化された MemoryDB クラスターは、新しいルートキーの作成と古いキーへの参照の更新を伴う手動キーローテーションをサポートしません。詳細については、「AWS‬ Key Management Service デベロッパーガイド」の「[ Rotating Customer root Keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。
+ KMS キーを使用して MemoryDB クラスターを暗号化するには、クラスターごとに 1 つの許可が必要です。この許可はクラスターの有効期間を通じて使用されます。さらに、スナップショットの作成時には、スナップショットごとに 1 つの権限が使用されます。この許可はスナップショットの作成後に無効になります。
+ AWS KMS の付与と制限の詳細については、「AWS Key Management Service デベロッパーガイド‭‬」の「‭[‬クォータ‭](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html)」を参照してください。

## 以下の資料も参照してください。
<a name="at-rest-encryption-see-also"></a>
+ [MemoryDBの転送時の暗号化 (TLS)](in-transit-encryption.md)
+ [MemoryDB と Amazon VPC](vpcs.md)
+ [MemoryDB でのアイデンティティとアクセス権の管理](iam.md)