翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
暗号化されたファイルシステムへのアクセスの管理
Amazon EFS を使用して、暗号化されたファイルシステムを作成することができます。Amazon EFS は、ファイルシステムの 2 つの暗号化形式、転送時の暗号化と保管時の暗号化をサポートします。実行する必要のあるキー管理は、保管時の暗号化にのみ関連します。Amazon EFS は、転送時の暗号化のキーを自動的に管理します。
保管時に暗号化を使用してファイルシステムを作成する場合、データとメタデータは保管時に暗号化されます。Amazon EFS はキー管理に AWS Key Management Service (AWS KMS) を使用します。保管時に暗号化を使用してファイルシステムを作成する場合、 AWS KMS keyを指定します。KMS キーは、 aws/elasticfilesystem (Amazon EFS AWS マネージドキー の ) でも、お客様が管理するカスタマーマネージドキーでもかまいません。 EFS
ファイルの内容などのファイルデータは、ファイルシステムを作成したときに指定した KMS キーを使用して保管時に暗号化されます。メタデータ (ファイル名、ディレクトリ名、ディレクトリの内容) は、Amazon EFS が管理するキーの使用によって暗号化されます。
ファイルシステムの EFS AWS マネージドキー は、ファイル名、ディレクトリ名、ディレクトリの内容など、ファイルシステム内のメタデータを暗号化するための KMS キーとして使用されます。ユーザーは、保管時にファイルデータ (ファイルの内容) を暗号化するために使用するカスタマーマネージドキーを所有します。
KMS キーにアクセスできるユーザーと暗号化されたファイルシステムの内容を管理します。このアクセスは、 AWS Identity and Access Management (IAM) ポリシーと の両方によって制御されます AWS KMS。IAM ポリシーは、Amazon EFS API アクションへのユーザーのアクセスを制御します。 AWS KMS キーポリシーは、ファイルシステムの作成時に指定した KMS キーへのユーザーのアクセスを制御します。詳細については、次を参照してください。
-
IAM ユーザーガイド の「IAM ユーザー」
-
「AWS Key Management Service デベロッパーガイド」の「AWS KMSの主要ポリシーを使用する」
-
「AWS Key Management Service デベロッパーガイド」の「許可の使用」
キー管理者として、外部キーをインポートできます。また、キーを有効化、無効化、または削除して変更することもできます。指定した KMS キーの状態 (保管時の暗号化を使用してファイルシステムを作成した場合) は、そのコンテンツへのアクセスに影響します。KMS キーは、ユーザーがそのキーを使用して暗号化された encrypted-at-rest ファイルシステムのコンテンツにアクセスできるようにするために、 enabled状態である必要があります。
Amazon EFS KMS キーの管理アクションの実行
Amazon EFS ファイルシステムに関連付けられている KMS キーを有効化、無効化、削除する方法については、以下を参照してください。また、これらのアクションを実行するときにファイルシステムで予期される動作について、情報を入手することもできます。
ファイルシステムの KMS キーへのアクセスの無効化、削除、取り消し
カスタマー管理の KMS キーを無効化や削除、KMS キーへの Amazon EFS のアクセス権の取り消しを行うことができます。キーへの Amazon EFS のアクセスを無効化および取り消しは、元に戻せるアクションです。KMS キーを削除するときは注意が必要です。KMS キーの削除は元に戻すことができないアクションです。
マウントされたファイルシステムに使用された KMS キーを無効化または削除する場合は、次の点に注意してください。
-
その KMS キーを新しい encrypted-at-rest ファイルシステムのキーとして使用することはできません。
-
その KMS キーを使用する既存の encrypted-at-rest ファイルシステムは、一定期間後に動作しなくなります。
既存のマウントされたファイルシステムの許可に対する Amazon EFS アクセスを取り消すと、関連付けられた KMS キーを無効化または削除する場合と同じ動作になります。つまり、 encrypted-at-rest ファイルシステムは引き続き機能しますが、しばらくすると動作しなくなります。
Amazon EFS アクセスを無効化、削除、または取り消した KMS キーを持つマウントされた encrypted-at-rest ファイルシステムへのアクセスを防ぐことができます。これを行うには、ファイルシステムをアンマウントし、Amazon EFS マウントターゲットを削除します。
をすぐに削除することはできませんが AWS KMS key、7 ~ 30 日以内に削除するようにスケジュールすることはできます。KMS キーの削除が予定されている間は、暗号化オペレーションに CMK を使用することはできません。KMS キーの予定された削除をキャンセルすることもできます。
カスタマー マネージド KMS キーを無効にしてから再度有効にする方法については、 AWS Key Management Service デベロッパーガイドの「キーの有効化と無効化」を参照してください。カスタマー マネージド KMS キーの削除をスケジュールする方法については、「 AWS Key Management Service デベロッパーガイド」の「KMS キーの削除」を参照してください。
関連トピック
-
Amazon EFS で保管時に暗号化されたデータとメタデータの詳細については、「Amazon EFS でのデータの暗号化」を参照してください。
-
キーポリシーの例は、「の Amazon EFS キーポリシー AWS KMS」を参照してください。
-
暗号化されたファイルシステムに関連付けられている AWS CloudTrail ログエントリのリストについては、「」を参照してくださいファイルシステムの Amazon EFS encrypted-at-rest ログファイルエントリ。
-
どのアカウントやサービスが KMS キーにアクセスできるかを特定の詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMS keyのアクセスの特定」を参照してください。
