AWS KMS - Amazon Elastic File System
の Amazon EFSキーポリシー AWS KMS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS

Amazon は、キー管理のために AWS Key Management Service (AWS KMS) とEFS統合します。Amazon EFSはカスタマーマネージドキーを使用して、次の方法でファイルシステムを暗号化します。

  • 保管中のメタデータの暗号化 – Amazon EFSは、Amazon EFS、aws/elasticfilesystem、 AWS マネージドキー の を使用して、ファイルシステムメタデータ (ファイル名、ディレクトリ名、ディレクトリコンテンツ) を暗号化および復号します。

  • 保管中のデータの暗号化 – ファイルデータ (ファイルの内容) の暗号化と復号に使用するカスタマーマネージドキーを選択します。このカスタマーマネージドキーの許可を有効化、無効化、または削除することができます。このカスタマーマネージドキーは、以下の 2 つのタイプのいずれかになります。

    • AWS マネージドキー for Amazon EFS – これはデフォルトのカスタマーマネージドキー ですaws/elasticfilesystem。カスタマーマネージドキーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、「AWS Key Management Service 料金表」を参照してください。

    • カスタマーマネージドキー – これは、複数のユーザーまたはサービスに対してキーポリシーと権限を設定できるため、最も柔軟なKMSキーです。カスタマーマネージドキーの作成の詳細については、「 デベロッパーガイド」の「キーの作成」を参照してください。 AWS Key Management Service

      ファイルデータ暗号化と復号化のためにカスタマーマネージドキーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。詳細については、「暗号化されたファイルシステムへのアクセスの管理」を参照してください。

重要

Amazon は、対称カスタマーマネージドキーのみEFSを受け入れます。Amazon で非対称カスタマーマネージドキーを使用することはできませんEFS。

保管時のデータの暗号化と復号は透過的に処理されます。ただし、Amazon にIDs固有の AWS アカウントEFSは、 AWS KMS アクションに関連する AWS CloudTrail ログに表示されます。詳細については、「ファイルシステムの Amazon EFS encrypted-at-restログファイルエントリ」を参照してください。

の Amazon EFSキーポリシー AWS KMS

キーポリシーはカスタマーマネージドキーへのアクセスを制御するための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSの キーポリシー」を参照してください。次のリストは、Amazon が保管時のファイルシステムの暗号化EFSに必要またはサポートする、 AWS KMS関連するすべてのアクセス許可を示しています。

  • kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。

  • kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ReEncrypt – (オプション) クライアント側のデータのプレーンテキストを公開することなく、新しいカスタマーマネージドキーを使用してサーバー側のデータを暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:GenerateDataKeyWithoutPlaintext – (必須) カスタマーマネージドキーで暗号化されたデータ暗号化キーを返します。このアクセス許可は、kms:GenerateDataKey* のデフォルトのキーポリシーに含まれています。

  • kms:CreateGrant – (必須) キーを使用できるユーザーと条件を指定する権限をキーに追加します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:DescribeKey – (必須) 指定されたカスタマーマネージドキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ListAliases – (オプション) アカウント内のすべてのキーエイリアスを一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可によって Select KMSキーリストが入力されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。

AWS マネージドキー for Amazon EFSKMSポリシー

AWS マネージドキー for Amazon JSONの のKMSポリシーEFSaws/elasticfilesystemは次のとおりです。

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}