翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 でのデータ暗号化
AWS Transfer Family は、Amazon S3 バケット用に設定したデフォルトの暗号化オプションを使用してデータを暗号化します。バケットで暗号化を有効にすると、バケットに保存されるすべてのオブジェクトが暗号化されます。オブジェクトは、Amazon S3 マネージドキー (SSE-S3) または AWS Key Management Service (AWS KMS) マネージドキー (SSE-) でサーバー側の暗号化を使用して暗号化されますKMS。サーバー側の暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの「サーバー側の暗号化を使用したデータの保護」を参照してください。
次の手順では、 でデータを暗号化する方法を示します AWS Transfer Family。
で暗号化を許可するには AWS Transfer Family
-
Amazon S3 バケットのデフォルト暗号化を有効にします。詳細については、Amazon Simple Storage Service ユーザーガイドの「S3 バケットの Amazon S3 デフォルト暗号化」を参照してください。
-
ユーザーに添付されている AWS Identity and Access Management (IAM) ロールポリシーを更新して、必要な AWS Key Management Service (AWS KMS) アクセス許可を付与します。
-
ユーザーのセッションポリシーを使用している場合、セッションポリシーは必要な AWS KMS アクセス許可を付与する必要があります。
次の例は、 AWS KMS 暗号化が有効になっている Amazon S3 バケット AWS Transfer Family で を使用する場合に必要な最小限のアクセス許可を付与するIAMポリシーを示しています。このポリシーの例を、ユーザーIAMロールポリシーとセッションポリシーの両方に含めます。
{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" }
注記
このポリシーで指定するKMSキー ID は、ステップ 1 でデフォルトの暗号化で指定されたキー ID と同じである必要があります。
ルート、またはユーザーに使用されるIAMロールは、キーポリシーで AWS KMS 許可する必要があります。 AWS KMS キーポリシーの詳細については、「 AWS Key Management Service デベロッパーガイド」の「 でキーポリシーを使用する AWS KMS」を参照してください。
