サーバー側の暗号化を使用したデータの保護 - Amazon Simple Storage Service

サーバー側の暗号化を使用したデータの保護

サーバー側の暗号化とは、データを受信するアプリケーションまたはサービスによって、送信先でデータを暗号化することです。Amazon S3 は、データセンターのディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、お客様がデータにアクセスするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。たとえば、署名付き URL を使用してオブジェクトを共有する場合、その署名付き URL は、オブジェクトが暗号化されているかどうかに関係なく同じように動作します。また、バケット内のオブジェクトを一覧表示すると、リスト API は、オブジェクトが暗号化されているかどうかに関係なく、すべてのオブジェクトのリストを返します。

注記

異なる種類のサーバー側暗号化を同時に同じオブジェクトに適用することはできません。

暗号化キーの管理方法の選択に応じて、相互に排他的な 3 つのオプションを使用できます。

Amazon S3 が管理するキーによるサーバー側の暗号化 (SSE-S3)

Amazon S3 が管理するキーによるサーバー側の暗号化 (SSE-S3) を使用すると、各オブジェクトは一意のキーで暗号化されます。追加の保護措置として、定期的にローテーションされるルートキーを使ってキーそのものを暗号化します。Amazon S3 のサーバー側の暗号化では、最強のブロック暗号の一つである、256 ビットの高度暗号化規格 (AES-256) を使用してデータを暗号化します。詳細については、「Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

AWS Key Management Service に保存されている KMS キーによるサーバー側の暗号化 (SSE-KMS)

AWS KMS keys (SSE-KMS) によるサーバー側の暗号化は、SSE-S3 と似ていますが、このサービスを使用した場合はいくつかの追加の利点があり、追加の料金がかかります。Amazon S3 のオブジェクトへの不正アクセスに対する追加の保護を提供する KMS キーを使用するための個別の許可があります。また、SSE-KMS は、KMS キーがいつ誰によって使用されたかを示す監査証跡も提供します。さらに、カスタマーマネージドキーを作成および管理したり、ユーザー、サービス、およびリージョンに固有の AWS マネージドキーを使用できます。詳細については、「AWS Key Management Service (SSE-KMS) に保存されている KMS キーでサーバー側の暗号化を使用してデータを保護する」を参照してください。

お客様が指定したキーによるサーバー側の暗号化 (SSE-C)

お客様が指定したキーによるサーバー側の暗号化 (SSE-C) を使用する場合は、お客様が暗号化キーを管理します。Amazon S3 は、ディスクに書き込む際の暗号化とオブジェクトにアクセスする際の復号を管理します。詳細については、「お客様が用意した暗号化キーによるサーバー側の暗号化 (SSE-C) を使用したデータの保護」を参照してください。