データ保護と暗号化 - Amazon Simple Storage Service

データ保護と暗号化

S3 Express One Zone がデータを暗号化して保護する方法の詳細については、次のトピックを参照してください。

Amazon S3 マネージドキーを用いたサーバー側の暗号化 (SSE-S3)

デフォルトでは、ディレクトリバケットに保存されているすべてのオブジェクトは、Amazon S3 マネージドキー (SSE-S3) を使用したサーバー側の暗号化を使用して自動的に暗号化されます。ディレクトリバケットへの暗号化されていないアップロードは許可されていません。詳細については、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)および暗号化によるデータの保護を参照してください。

ディレクトリバケットは、AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS)、AWS Key Management Service (AWS KMS) キーによる二層式サーバー側の暗号化 (DSSE-C)、またはお客様が提供する暗号化キーによるサーバー側の暗号化 (SSE-C) はサポートされません。

転送中の暗号化

S3 Express One Zone には、HTTPS (TLS) 経由でのみアクセスできます。

S3 Express One Zone はリージョン API エンドポイントとゾーン API エンドポイントを使用します。使用する Amazon S3 API オペレーションに応じて、リージョンゾーンエンドポイントまたはゾーンエンドポイントのいずれかが必要です。ゲートウェイ仮想プライベートクラウド (VPC) エンドポイントを通じて、ゾーン API オペレーションとリージョン API オペレーションにアクセスできます。ゲートウェイエンドポイントは追加料金なしで使用できます。リージョン API エンドポイントとゾーン API エンドポイントの詳細については、「S3 Express One Zone のネットワーク」を参照してください。

追加のチェックサム

S3 Express One Zone では、アップロードまたはダウンロード中にデータを検証するために使用されるチェックサムアルゴリズムを選択するオプションが提供されます。CRC32、CRC32C、SHA-1、SHA-256 などのセキュアハッシュアルゴリズム (SHA) や巡回冗長検査 (CRC) データ整合性チェックアルゴリズムのいずれかを選択できます。MD5 ベースのチェックサムは S3 Express One Zone ストレージクラスではサポートされていません。

詳細については、「S3 の追加のチェックサムのベストプラクティス」を参照してください。

データの削除

Amazon S3 コンソール、AWS SDK、AWS Command Line Interface (AWS CLI)、または Amazon S3 REST API を使用して、S3 Express One Zone から単一または複数のオブジェクトを直接削除できます。ディレクトリバケット内のすべてのオブジェクトにはストレージ コストが発生するため、不要になったオブジェクトを削除することをお勧めします。

ディレクトリバケットに保存されているオブジェクトを削除すると、削除されるオブジェクト以外のオブジェクトが親ディレクトリに含まれていない場合、親ディレクトリも再帰的に削除されます。

注記

S3 Express One Zone では、多要素認証 (MFA) 削除と S3 バージョニングはサポートされていません。