Amazon Simple Storage Service
開発者ガイド (API バージョン 2006-03-01)

サーバー側の暗号化を使用したデータの保護

サーバー側の暗号化は、保管時のデータ暗号化に関するものです。つまり、Amazon S3 は、データセンターのディスクに書き込む際にデータをオブジェクトレベルで暗号化し、データにアクセスするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。たとえば、署名付き URL を使用してオブジェクトを共有する場合、その署名付き URL は、オブジェクトが暗号化されているかどうかに関係なく同じように動作します。

注記

異なる種類のサーバー側暗号化を同時に同じオブジェクトに適用することはできません。

暗号化キーの管理をどのように選択するかによって、相互に排他的な 3 つのオプションがあります。

  • Amazon S3 で管理されたキーによるサーバー側の暗号化 (SSE-S3) の使用 – 各オブジェクトは、強力な多要素暗号化機能を備えた一意のキーで暗号化されます。追加の安全策として、キー自体を定期的にローテーションするマスターキーで暗号化します。Amazon S3 サーバー側の暗号化は、利用可能な最も強力なブロック暗号の 1 つである 256 ビットの Advanced Encryption Standard (AES-256) を使用してデータを暗号化します。詳細については、「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

  • AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) の使用 – SSE-S3 と似ていますが、いくつかの追加の利点があります。このサービスを使用した場合、追加の料金がかかります。S3 のオブジェクトへの不正アクセスに対する追加の保護を提供するエンベロープキー (つまり、データの暗号化キーを保護するキー) を使用するための個別のアクセス許可があります。SSE-KMS では、いつ、だれによってキーが使用されたかについての監査証跡も提供されます。また、暗号化キーを自分で作成して管理したり、ユーザーごと、使用しているサービスごと、および操作しているリージョンごとに一意のデフォルトキーを使用したりすることもできます。詳細については、「AWS KMS で管理されたキー (SSE-KMS) によるサーバー側の暗号化を使用してデータを保護する」を参照してください。

  • お客様が用意したキーによるサーバー側の暗号化 (SSE-C) を使用する – ユーザーが暗号化キーを管理します。Amazon S3 は、ディスクに書き込む際の暗号化と、オブジェクトにアクセスする際の復号を管理します。詳細については、「お客様が用意した暗号化キーによるサーバー側の暗号化 (SSE-C) を使用したデータの保護」を参照してください。

注記

バケット内のオブジェクトを一覧表示するときに、リスト API は、オブジェクトが暗号化されているかどうかに関係なく、すべてのオブジェクトのリストを返します。