暗号化されたファイルシステムへのアクセスの管理

Amazon を使用するとEFS、暗号化されたファイルシステムを作成できます。Amazon EFS は、ファイルシステムの暗号化として、転送時の暗号化と保管時の暗号化の 2 つの形式をサポートしています。実行する必要のあるキー管理は、保管時の暗号化にのみ関連します。Amazon は、転送中の暗号化のキーEFSを自動的に管理します。

保管時に暗号化を使用してファイルシステムを作成する場合、データとメタデータは保管時に暗号化されます。Amazon EFS はキー管理に AWS Key Management Service （AWS KMS) を使用します。保管時に暗号化を使用してファイルシステムを作成する場合、 AWS KMS keyを指定します。KMS キーは aws/elasticfilesystem (Amazon AWS マネージドキー の EFS) でも、管理するカスタマーマネージドキーでもかまいません。

ファイルデータ、つまりファイルの内容は、ファイルシステムの作成時に指定したKMSキーを使用して保管時に暗号化されます。メタデータ — ファイル名、ディレクトリ名、ディレクトリコンテンツ — は、Amazon がEFS管理するキーを使用して暗号化されます。

EFS AWS マネージドキー ファイルシステムの は、ファイル名、ディレクトリ名、ディレクトリの内容など、ファイルシステムのメタデータを暗号化するためのKMSキーとして使用されます。ユーザーは、保管時にファイルデータ (ファイルの内容) を暗号化するために使用するカスタマーマネージドキーを所有します。

KMS キーにアクセスできるユーザーと暗号化されたファイルシステムの内容を管理します。このアクセスは、 AWS Identity and Access Management （IAM) ポリシーと の両方によって制御されます AWS KMS。IAM ポリシーは、Amazon EFS API actions. AWS KMS key へのユーザーのアクセスを制御します。 ポリシーは、ファイルシステムの作成時に指定したKMSキーへのユーザーのアクセスを制御します。詳細については、次を参照してください。

• IAM ユーザーガイドのIAMユーザー

• AWS Key Management Service デベロッパーガイドの「 のキーポリシー AWS KMS」

• デベロッパーガイドの AWS KMS「」の「」のAWS Key Management Service 「」

キー管理者として、外部キーをインポートできます。また、キーを有効化、無効化、または削除して変更することもできます。指定したKMSキーの状態 (保管時の暗号化を使用してファイルシステムを作成したとき) は、その内容へのアクセスに影響します。ユーザーがそのKMSキーを使用して暗号化された encrypted-at-rest ファイルシステムの内容にアクセスできるようにするには、キーが enabled状態である必要があります。