AWS KMS - Amazon Elastic File System
AWS KMS のAmazon EFS のキーポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS

キー管理のために Amazon EFS は AWS Key Management Service (AWS KMS) と統合されます。Amazon EFS は、次のようにカスタマーマネージドキーを使用してファイルシステムを暗号化します。

  • 保存時のメタデータの暗号化 – Amazon EFS は Amazon EFS に AWS マネージドキー 、aws/elasticfilesystem を使用して、ファイルシステムメタデータ (つまり、ファイル名、ディレクトリ名、ディレクトリの内容) を暗号化および復号します。

  • 保管中のデータの暗号化 – ファイルデータ (ファイルの内容) の暗号化と復号に使用するカスタマーマネージドキーを選択します。このカスタマーマネージドキーの許可を有効化、無効化、または削除することができます。このカスタマーマネージドキーは、以下の 2 つのタイプのいずれかになります。

    • Amazon EFS 用の AWS マネージドキー – これはデフォルトのカスタマーマネージドキー、aws/elasticfilesystem です。カスタマーマネージドキーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、「AWS Key Management Service 料金表」を参照してください。

    • カスタマー管理キー - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。カスタマー管理キーの作成の詳細については、「AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

      ファイルデータ暗号化と復号化のためにカスタマーマネージドキーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、AWS KMS は 1 年に 1 回キーを自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。詳細については、「暗号化されたファイルシステムへのアクセスの管理」を参照してください。

重要

Amazon EFS では、対称カスタマーマネージドキーのみを使用できます。Amazon EFS では、非対称カスタマーマネージドキーを使用することはできません。

保管時のデータの暗号化と復号は透過的に処理されます。ただし、Amazon EFS に固有の AWS アカウント ID は AWS KMS アクションに関連する AWS CloudTrail ログに表示されます。詳細については、「encrypted-at-rest ファイルシステムの Amazon EFS ログファイルエントリ」を参照してください。

AWS KMS のAmazon EFS のキーポリシー

キーポリシーはカスタマーマネージドキーへのアクセスを制御するための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMS の キーポリシー」を参照してください。次のリストでは、暗号化された保管時のファイルシステムに対して Amazon EFS が必要とする、またはその他の方法でサポートする、AWS KMS に関連するすべてのアクセス許可について説明します。

  • kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。

  • kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ReEncrypt - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しいカスタマーマネージドキーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:GenerateDataKeyWithoutPlaintext - (必須) カスタマーマネージドキーで暗号化されたデータ暗号化キーを返します。この許可は、kms:GenerateDataKey* のデフォルトのキーポリシーに含まれています。

  • kms:CreateGrant - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:DescribeKey – (必須) 指定されたカスタマーマネージドキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms:ListAliases - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可により KMS マネージドキーの選択リストが設定されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。

Amazon EFS KMS ポリシー用 AWS マネージドキー

Amazon EFS の AWS マネージドキー、aws/elasticfilesystem の KMS ポリシー JSON は次のとおりです。

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}