Amazon Simple Storage Service
コンソールユーザーガイド

S3 バケットのデフォルト暗号化を有効にする方法

Amazon S3 のデフォルトの暗号化により、S3 バケットのデフォルト暗号化の動作を設定できます。バケットにデフォルト暗号化を設定して、バケットに保存される際すべてのオブジェクトが暗号化されるようにします。オブジェクトは、Amazon S3 で管理されたキー (SSE-S3) または AWS KMS で管理されたキー (SSE-KMS) のいずれかで、サーバー側の暗号化を使用して暗号化されます。

サーバー側の暗号化を使用すると、Amazon S3 はオブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときに復号します。サーバー側の暗号化および暗号化キーの管理を使用したデータ保護の詳細については、Amazon Simple Storage Service 開発者ガイド の「サーバー側の暗号化を使用したデータの保護」を参照してください。

デフォルト暗号化は、すべての既存および新規の S3 バケットに対して動作します。デフォルト暗号化を使用しない場合、バケットに保存されたすべてのオブジェクトを暗号化するには、すべてのオブジェクトストレージのリクエストに暗号化情報を含める必要があります。S3 バケットポリシーを設定して、暗号化情報が含まれていないストレージリクエストを拒否する必要もあります。

S3 バケットに対するデフォルト暗号化の使用に追加料金はかかりません。デフォルトの暗号化機能を設定するためのリクエストには、標準 Amazon S3 リクエスト料金がかかります。料金については、「Amazon S3 料金表」を参照してください。SSE-KMS 暗号化キーストレージの場合は、AWS Key Management Service (AWS KMS) の料金が適用され、「AWS KMS 料金表」に表示されます。

S3 バケットのデフォルト暗号化を有効にする

  1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. [バケット名] リストで、目的のバケットの名前を選択します。

    
          バケット名が強調表示されたバケット名リストのスクリーンショット。
  3. [プロパティ] を選択します。

    
          [プロパティ] タブが選択されたページタブのスクリーンショット。
  4. [Default encryption (デフォルト暗号化)] を選択します。

    
          デフォルト暗号化オプションのスクリーンショット。
  5. [AES-256] または [AWS-KMS] を選択します。

    1. Amazon S3 によって管理されるキーをデフォルト暗号化に使用するには、[AES-256] を選択します。Amazon S3 のサーバー側の暗号化を使用してデータを暗号化する方法の詳細については、Amazon Simple Storage Service 開発者ガイド の「Amazon S3 で管理された暗号化キーによるデータの保護」を参照してください。

      
              AES-256 が選択されたデフォルト暗号化の画面。

      重要

      デフォルト暗号化を有効にする際、バケットポリシーの更新が必要な場合があります。詳細については、Amazon Simple Storage Service 開発者ガイド にある「バケットポリシーの使用からデフォルト暗号化への暗号化実施の移行」を参照してください。

    2. AWS KMS によって管理されているキーをデフォルト暗号化に使用するには、[AWS-KMS] を選択し、作成した AWS KMS マスターキーリストからマスターキーを選択します。使用する AWS KMS キーの Amazon リソースネーム (ARN) を入力します。AWS KMS キーの ARN は、IAM コンソールの [Encryption keys (暗号化キー)] の下にあります。または、ドロップダウンリストからキー名を選択します。

      
              AWS-KMS が選択されたデフォルト暗号化画面、およびキー名を含むドロップダウンリスト。

      重要

      デフォルト暗号化設定に AWS KMS オプションを使用する場合、AWS KMS の RPS (1 秒あたりのリクエスト) 制限が適用されます。AWS KMS の制限と、制限の引き上げをリクエストする方法については、「AWS KMS の制限」を参照してください。

      AWS KMS キーの作成の詳細については、AWS Key Management Service Developer Guide の「キーの作成」を参照してください。Amazon S3 での AWS KMS の使用について詳しくは、Amazon Simple Storage Service 開発者ガイド の「AWS KMS で管理されたキーによるデータの保護」を参照してください。

  6. [Save] を選択します。

詳細

このページの内容: