暗号化を使用したデータの保護 - Amazon Simple Storage Service

暗号化を使用したデータの保護

重要

Amazon S3 では、Amazon S3 のすべてのバケットに対する基本レベルの暗号化として、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) が適用されるようになりました。2023 年 1 月 5 日以降、Amazon S3 にアップロードされるすべての新しいオブジェクトは、追加費用なしで、パフォーマンスに影響を与えずに自動的に暗号化されます。現在、S3 バケットのデフォルト暗号化設定と新しいオブジェクトのアップロードの自動暗号化ステータスは AWS CloudTrail ログで確認できます。今後数週間で、自動暗号化ステータスは Amazon S3 コンソール、S3 インベントリ、S3 ストレージレンズにも公開される予定です。また、AWS Command Line Interface および AWS SDK で追加の Amazon S3 API レスポンスヘッダーとしても公開される予定です。この更新がすべての AWS リージョン で完了したら、ドキュメントを更新します。詳細については、「デフォルトの暗号化のよくある質問」を参照してください。

データ保護には、転送時(Amazon S3 との間でデータを送受信するとき)のデータを保護するものと、保管時(Amazon S3 データセンター内のディスクに格納されているとき)のデータを保護するものがあります。Secure Socket Layer/Transport Layer Security (SSL/TLS) またはクライアント側の暗号化を使用して、転送中のデータを保護できます。Amazon S3 で保管時のデータを保護するには、次のようなオプションがあります。

  • サーバー側の暗号化を使用する – オブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときに復号するように Amazon S3 にリクエストします。

    サーバー側の暗号化を設定するには、AWS KMS (SSE−KMS) によるサーバー側の暗号化の指定 または Amazon S3 の暗号化の指定 を参照してください。

  • クライアント側の暗号化 – クライアント側でデータを暗号化し、暗号化したデータを Amazon S3 にアップロードします。この場合、暗号化プロセス、暗号化キー、関連ツールはお客様が管理してください。

    クライアント側の暗号化を設定するには、クライアント側の暗号化を使用したデータの保護 を参照してください。

ストレージバイトの何パーセントが暗号化されているかを確認するには、Amazon S3 ストレージレンズメトリクスを使用できます。S3 ストレージレンズは、オブジェクトストレージの使用状況とアクティビティを組織全体で可視化するために使用できるクラウドストレージ分析機能です。詳細については、「S3 Storage Lens を使用したストレージのアクティビティと使用状況の評価」を参照してください。メトリクスの完全なリストについては、「S3 ストレージレンズメトリクスに関する用語集」を参照してください。

サーバー側の暗号化とクライアント側の暗号化の詳細については、以下のトピックを参照してください。