保管中のデータの暗号化 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

暗号化されたファイルシステムは AWS Management Console、、 AWS CLI、または Amazon EFSAPIまたは のいずれかを使用してプログラムで作成できます AWS SDKs。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。

EFS ファイルシステムを作成すると、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、暗号化されたファイルシステムを新たに作成する必要があります。

注記

AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。インフラストラクチャは、米国国立標準技術研究所 (NIST) の 800-57 の推奨事項に準拠しています。

保管時に暗号化されたEFSファイルシステムの作成の強制

AWS Identity and Access Management (IAM) ID ベースのポリシーでelasticfilesystem:EncryptedIAM条件キーを使用して、ユーザーが保管時に暗号化された Amazon EFS ファイルシステムを作成できるかどうかを制御できます。条件キーの使用に関する詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください

内部で AWS Organizations サービスコントロールポリシー (SCPs) を定義して、組織 AWS アカウント内のすべての にEFS暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、「 ユーザーガイド」の「サービスコントロールポリシー」を参照してください。 AWS Organizations

コンソールを使用して保管時のファイルシステムを暗号化する

Amazon EFSコンソールを使用して新しいファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。

注記

AWS CLI、、および を使用して新しいファイルシステムを作成する場合API、保管時の暗号化はデフォルトでは有効になっていませんSDKs。詳細については、「ファイルシステムを作成する (AWS CLI)」を参照してください。

保存時の暗号化の方法

暗号化されたファイルシステムの場合、データとメタデータはファイルシステムに書き込まれる前に自動的に暗号化されます。同様に、データとメタデータが読み取られると、アプリケーションに提示される前に自動的に復号化されます。これらのプロセスは Amazon によって透過的に処理されるためEFS、アプリケーションを変更する必要はありません。

Amazon EFSは、業界標準の AES-256 暗号化アルゴリズムを使用して、保管中のEFSデータとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。