メニュー
Amazon Simple Storage Service
開発者ガイド (API Version 2006-03-01)

サーバー側の暗号化を使用したデータの保護

サーバー側の暗号化は、保管時のデータ暗号化に関するものです。つまり、Amazon S3 は、データセンターのディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、お客様がデータにアクセスするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。たとえば、署名付き URL を使用してオブジェクトを共有する場合、その署名付き URL は、オブジェクトが暗号化されているかどうかに関係なく同じように動作します。

注記

異なる種類のサーバー側暗号化を同時に同じオブジェクトに適用することはできません。

暗号化キーの管理をどのように選択するかによって、相互に排他的な 3 つのオプションがあります。

  • Amazon S3 で管理されたキーによるサーバー側の暗号化 (SSE-S3) の使用 – 各オブジェクトは、強力な多要素暗号化機能を備えた一意のキーで暗号化されます。さらにセキュリティを強化するために、キー自体が、定期的に更新されるマスターキーで暗号化されます。Amazon S3 のサーバー側の暗号化では、最強のブロック暗号の一つである、256 ビットの高度暗号化規格 (AES-256) を使用してデータを暗号化します。詳細については、「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

  • AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) の使用 – SSE-S3 と同様ですが、いくつかの追加の利点があります。このサービスを使用した場合、追加の料金がかかります。S3 のオブジェクトへの不正アクセスに対する追加の保護を提供するエンベロープキー(つまり、データの暗号化キーを保護するキー)を使用するための個別のアクセス権限があります。SSE-KMS では、いつ、だれによってキーが使用されたかについての監査証跡も提供されます。また、暗号化キーを自分で作成して管理したり、ユーザーごと、使用しているサービスごと、および操作しているリージョンごとに一意のデフォルトキーを使用したりすることもできます。詳細については、「AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) を使用したデータの保護」を参照してください。

  • お客様が用意したキーによるサーバー側の暗号化 (SSE-C) を使用する – 暗号化キーと Amazon S3 が暗号化によって、ディスクに書き込む際の暗号化と、オブジェクトにアクセスする際の復号が管理されます。詳細については、「お客様が用意した暗号化キーによるサーバー側の暗号化(SSE-C)を使用したデータの保護」を参照してください。

注記

バケット内のオブジェクトを一覧表示するときに、リスト API は、オブジェクトが暗号化されているかどうかに関係なく、すべてのオブジェクトのリストを返します。