サーバー側の暗号化を使用したデータの保護 - Amazon Simple Storage Service

新しい Amazon S3 ユーザーガイドにようこそ! Amazon S3 ユーザーガイドは、使用中止された 3 つのガイド (Amazon S3 開発者ガイドAmazon S3 コンソールユーザーガイドAmazon S3 入門ガイド) の情報と手順をまとめたものです。

サーバー側の暗号化を使用したデータの保護

サーバー側の暗号化とは、データを受信するアプリケーションまたはサービスによって、送信先でデータを暗号化することです。Amazon S3 は、データセンターのディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、お客様がデータにアクセスするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。たとえば、署名付き URL を使用してオブジェクトを共有する場合、その署名付き URL は、オブジェクトが暗号化されているかどうかに関係なく同じように動作します。また、バケット内のオブジェクトを一覧表示すると、リスト API は、オブジェクトが暗号化されているかどうかに関係なく、すべてのオブジェクトのリストを返します。

注記

異なる種類のサーバー側暗号化を同時に同じオブジェクトに適用することはできません。

暗号化キーの管理方法の選択に応じて、相互に排他的な 3 つのオプションを使用できます。

Amazon S3 が管理するキーによるサーバー側の暗号化 (SSE-S3)

Amazon S3 が管理するキーによるサーバー側の暗号化 (SSE-S3) を使用すると、各オブジェクトは一意のキーで暗号化されます。さらにセキュリティを強化するために、キー自体が、定期的に更新されるマスターキーで暗号化されます。Amazon S3 のサーバー側の暗号化では、最強のブロック暗号の一つである、256 ビットの高度暗号化規格 (AES-256) を使用してデータを暗号化します。詳細については、「Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

AWS Key Management Service (SSE-KMS) に保存されたカスタマーマスターキー (CMK) によるサーバー側の暗号化。

AWS Key Management Service (SSE-KMS) に保存されているカスタマーマスターキー (CMK) によるサーバー側の暗号化は、SSE-S3 と似ていますが、このサービスを使用した場合はいくつかの追加の利点があり、追加の料金がかかります。Amazon S3 のオブジェクトへの不正アクセスに対する追加の保護を提供する CMK を使用するための個別のアクセス許可があります。SSE-KMS は、CMK がいつ誰によって使用されたかを示す監査証跡も提供します。さらに、カスタマー管理の CMK を作成および管理したり、ユーザー、サービス、およびリージョンに固有の AWS 管理の CMK を使用できます。詳細については、「AWS Key Management Service (SSE-KMS) に保存された CMK によるサーバー側の暗号化を使ったデータの保護」を参照してください。

お客様が指定したキーによるサーバー側の暗号化 (SSE-C)

お客様が指定したキーによるサーバー側の暗号化 (SSE-C) を使用する場合は、お客様が暗号化キーを管理します。Amazon S3 は、ディスクに書き込む際の暗号化とオブジェクトにアクセスする際の復号を管理します。詳細については、「お客様が用意した暗号化キーによるサーバー側の暗号化 (SSE-C) を使用したデータの保護」を参照してください。