AWS DataSync 保管時の暗号化

AWS DataSync は転送サービスであるため、通常、保管中のストレージデータは管理されません。DataSync がサポートするストレージサービスとシステムは、その状態のデータを保護する役割を果たします。ただし、DataSync が保管中に管理するサービス関連データもあります。

暗号化されるもの

DataSync が保管時に処理する唯一のデータは、転送を完了するために必要な詳細に関連しています。DataSync は、以下のデータを完全に暗号化して Amazon DynamoDB に保管します。

• タスク設定 (転送に関係する場所についての詳細など)。

• DataSync エージェントが場所を使用して認証するためのユーザー認証情報。これらの認証情報は、エージェントのパブリックキーを使用して暗号化されます。エージェントは、必要に応じてプライベートキーを使ってこれらのキーを復号化できます。

詳細については、「Amazon DynamoDB デベロッパーガイド」の「DynamoDB の保管時の暗号化」を参照してください。

キー管理

DataSync がタスクの実行に関連する情報を DynamoDB に保管するために使用する暗号化キーを管理することはできません。この情報には、タスク設定や、エージェントがストレージ場所での認証に使用する認証情報が含まれます。

暗号化されないのは何ですか?

DataSync は保管中のストレージデータの暗号化方法を制御しませんが、それぞれの場所がサポートする最高レベルのセキュリティで場所を設定することを推奨します。たとえば、Amazon S3 マネージド暗号化キー (SSE-S3) または AWS Key Management Service （AWS KMS) キー (SSE-KMS) を使用してオブジェクトを暗号化できます。

AWS ストレージサービスが保管中のデータを暗号化する方法について説明します。

• Amazon S3

• Amazon EFS

• Amazon FSx for Windows File Server

• Amazon FSx for Lustre

• Amazon FSx for OpenZFS

• Amazon FSx for NetApp ONTAP