翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon MWAA での暗号化
<a name="encryption"></a>

以下のトピックでは、Amazon MWAA が保管中および転送中のデータを保護する方法について説明します。この情報を使用して、Amazon MWAA が と統合 AWS KMS して保管中のデータを暗号化する方法と、転送中の Transport Layer Security (TLS) プロトコルを使用してデータを暗号化する方法について説明します。

**Topics**
+ [保管中の暗号化](#encryption-at-rest)
+ [転送中の暗号化](#encryption-in-transit)

## 保管中の暗号化
<a name="encryption-at-rest"></a>

Amazon MWAA では、*保管中の* データとは、サービスが永続メディアに保存するデータです。

保管中のデータの暗号化には [AWS所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) を使用することも、環境の作成時にオプションで [カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) を提供して追加の暗号化を行うこともできます。カスタマーマネージド KMS キーを使用する場合は、環境で使用している他の AWS リソースやサービスと同じアカウントに存在する必要があります。

カスタマーマネージド KMS キーを使用するには、CloudWatch アクセスに必要なポリシーステートメントをキーポリシーに添付する必要があります。お客様の環境でカスタマーマネージド KMS キーを使用する場合、Amazon MWAA はお客様に代わって 4 つの [許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) をアタッチします。Amazon MWAA がカスタマーマネージド KMS キーに付与する許可の詳細については、[データ暗号化用のカスタマーマネージドキー](custom-keys-certs.md) を参照してください。

カスタマー管理の KMS キーを指定しない場合、Amazon MWAA はデフォルトで の AWS 所有の KMS キーを使用してデータを暗号化および復号します。Amazon MWAA でデータ暗号化を管理するには、 AWS 所有の KMS キーを使用することをお勧めします。

**注記**  
Amazon MWAA で AWS 所有またはカスタマー管理の KMS キーのストレージと使用に対して料金が発生します。詳細は、[AWS KMS 料金表](https://aws.amazon.com/kms/pricing/) を参照してください。

### 暗号化アーティファクト
<a name="encryption-at-rest-services"></a>

Amazon MWAA 環境を作成するときに、[AWS所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) または [カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) を指定して、保管時の暗号化に使用する暗号化アーティファクトを指定します。Amazon MWAA は、指定されたキーに必要な [許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) を追加します。

**[Amazon S3]** — Amazon S3 データは、サーバー側の暗号化 (SSE) を使用してオブジェクトレベルで暗号化されます。Amazon S3 の暗号化と復号化は、DAG コードとサポートファイルが保存される Amazon S3 バケットで行われます。オブジェクトは Amazon S3 にアップロードされるときに暗号化され、Amazon MWAA 環境にダウンロードされるときに復号化されます。デフォルトでは、カスタマー管理の KMS キーを使用している場合、Amazon MWAA はそのキーを使用して Amazon S3 バケットのデータを読み取り、復号化します。

**CloudWatch Logs** – AWS 所有の KMS キーを使用している場合、CloudWatch Logs に送信される Apache Airflow ログは、CloudWatch Logs AWS 所有の KMS キーで SSE を使用して暗号化されます。カスタマー管理の KMS キーを使用している場合は、CloudWatch Logs がキーを使用できるように、[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) を KMS キーに追加する必要があります。

**Amazon SQS** — Amazon MWAA は、お使いの環境用に 1 つの Amazon SQS キューを作成します。Amazon MWAA は、 AWS 所有の KMS キーまたは指定したカスタマー管理の KMS キーを使用して、SSE を使用してキューとの間で送受信されるデータの暗号化を処理します。 AWS 所有またはカスタマー管理の KMS キーを使用しているかどうかにかかわらず、実行ロールに Amazon SQS アクセス許可を追加する必要があります。

**Aurora PostgreSQL** — Amazon MWAA は、お使いの環境に合わせて 1 つの PostgreSQL クラスターを作成します。Aurora PostgreSQL は、SSE を使用して AWS 、所有またはカスタマー管理の KMS キーでコンテンツを暗号化します。カスタマーマネージドの KMS キーを使用している場合、Amazon RDS はキーに少なくとも 2 つの権限を追加します。1 つはクラスター用、もう 1 つはデータベースインスタンス用です。カスタマーマネージド KMS キーを複数の環境で使用することを選択した場合、Amazon RDS は追加の権限を作成することがあります。詳細については、[Amazon RDS におけるデータ保護](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html) を参照してください。

## 転送中の暗号化
<a name="encryption-in-transit"></a>

転送中のデータとは、ネットワークを移動する際に傍受される可能性があるデータと呼ばれます。

Transport Layer Security (TLS) は、環境の Apache Airflow コンポーネントと Amazon S3 などの Amazon MWAA と統合する他の AWS サービスの間で転送中の Amazon MWAA オブジェクトを暗号化します。Amazon S3 暗号化の使用の詳細については、[暗号化でデータを保護する](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) を参照してください。