Amazon S3 バケットのデフォルト暗号化を有効にする方法 - Amazon Simple Storage Service

Amazon S3 バケットのデフォルト暗号化を有効にする方法

Amazon S3 のデフォルトの暗号化により、Amazon S3 バケットのデフォルト暗号化の動作を設定できます。バケットにデフォルト暗号化を設定して、バケットに保存される際すべてのオブジェクトが暗号化されるようにします。オブジェクトは、Amazon S3 で管理されたキー (SSE-S3) または AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) のいずれかで、サーバー側の暗号化を使用して暗号化されます。

サーバー側の暗号化を使用すると、Amazon S3 はオブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときに復号します。サーバー側の暗号化および暗号化キーの管理を使用したデータ保護の詳細については、Amazon Simple Storage Service 開発者ガイド の「サーバー側の暗号化を使用したデータの保護」を参照してください。

デフォルト暗号化は、すべての既存および新規の Amazon S3 バケットに対して動作します。デフォルト暗号化を使用しない場合、バケットに保存されたすべてのオブジェクトを暗号化するには、すべてのオブジェクトストレージのリクエストに暗号化情報を含める必要があります。Amazon S3 バケットポリシーを設定して、暗号化情報が含まれていないストレージリクエストを拒否する必要もあります。

S3 バケットに対するデフォルト暗号化の使用に追加料金はかかりません。デフォルトの暗号化機能を設定するためのリクエストには、標準 Amazon S3 リクエスト料金がかかります。料金については、「Amazon S3 料金表」を参照してください。SSE-KMS CMK ストレージの場合は、AWS KMS の料金が適用され、「AWS KMS 料金表」に表示されます。

Amazon S3 バケットのデフォルト暗号化を有効にする

  1. AWS マネジメントコンソールにサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. [バケット名] リストで、目的のバケットの名前を選択します。

    
          バケット名が強調表示されたバケット名リストのスクリーンショット。
  3. [プロパティ] を選択します。

    
          [プロパティ] タブが選択されたページタブのスクリーンショット。
  4. [Default encryption (デフォルト暗号化)] を選択します。

    
          デフォルト暗号化オプションのスクリーンショット。
  5. Amazon S3 が管理するキーをデフォルトの暗号化に使用する場合は、[AES-256]、[保存] の順に選択します。

    Amazon S3 のサーバー側の暗号化を使用してデータを暗号化する方法の詳細については、Amazon Simple Storage Service 開発者ガイド の「Amazon S3 で管理された暗号化キーによるデータの保護」を参照してください。

    
              AES-256 が選択されたデフォルト暗号化の画面。
    重要

    デフォルト暗号化を有効にする際、バケットポリシーの更新が必要な場合があります。詳細については、Amazon Simple Storage Service 開発者ガイド にある「バケットポリシーの使用からデフォルト暗号化への暗号化実施の移行」を参照してください。

  6. AWS KMS に保存されている CMK をデフォルトの暗号化に使用する場合は、次の手順に従います。

    1. [AWS-KMS] を選択します。

    2. 自分が作成したカスタマー管理の AWS KMS CMK を選択するには、次のいずれかの方法を使用します。

      • 表示されるリストで、AWS KMS CMK を選択します。

      • 表示されるリストで [カスタム KMS ARN] を選択し、AWS KMS CMK の Amazon リソース名を入力します。

      重要

      Amazon S3 のサーバー側の暗号化に AWS KMS CMK を使用する場合は、対称キーを選択する必要があります。Amazon S3 では、対称 CMK のみサポートされており、非対称 CMK はサポートされていません。詳細については、AWS Key Management Service 開発者ガイドUsing Symmetric and Asymmetric Keys を参照してください。

      
               AWS KMS が選択されたデフォルト暗号化画面、および CMK 名を含むドロップダウンリスト。
    重要

    デフォルト暗号化設定に AWS KMS オプションを使用する場合、AWS KMS の RPS (1 秒あたりのリクエスト) 制限が適用されます。AWS KMS の制限と、制限の引き上げをリクエストする方法については、「AWS KMS の制限」を参照してください。

    AWS KMS CMK の作成の詳細については、AWS Key Management Service Developer Guide の「キーの作成」を参照してください。Amazon S3 での AWS KMS の使用について詳しくは、Amazon Simple Storage Service 開発者ガイド の「AWS KMS に保存されたキーによるデータの保護」を参照してください。

  7. [Save] を選択します。

詳細