翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
暗号化されたファイルシステムへのアクセスの管理
Amazon EFS を使用して、暗号化されたファイルシステムを作成することができます。Amazon EFS は、ファイルシステムの 2 つの暗号化形式、転送時の暗号化と保管時の暗号化をサポートします。実行する必要のあるキー管理は、保管時の暗号化にのみ関連します。Amazon EFS は、転送時の暗号化のキーを自動的に管理します。
保管時に暗号化を使用してファイルシステムを作成する場合、データとメタデータは保管時に暗号化されます。Amazon EFS はAWS Key Management Service(AWS KMS) でキー管理を行います。保管時の暗号化を使用してファイルシステムを作成する場合は、を指定しますAWS KMS key。KMS キーにはaws/elasticfilesystem (Amazon EFSAWS マネージドキー の)、お客様が管理するカスタマー管理キーを使用できます。
ファイルデータ(ファイルの内容)は、ファイルシステムの作成時に指定した KMS キーを使用して保管時に暗号化されます。メタデータ(ファイル名、ディレクトリ名、ディレクトリ名、ディレクトリの内容)は、Amazon EFS が管理するキーを使用して暗号化されます。
AWS マネージドキーファイルシステムの EFS は、ファイル名、ディレクトリ名、ディレクトリの内容など、ファイル名、ディレクトリ名、ディレクトリの内容など、ファイルシステムでメタデータを暗号化するための KMS キーとして使用されます。保管中のファイルデータ (ファイルの内容) の暗号化に使用されるカスタマー管理キーを所有しています。
KMS キーと暗号化されたファイルシステムのコンテンツにアクセスできるユーザーを管理します。このアクセスは、AWS Identity and Access Management (IAM) ポリシーと AWS KMS の両方によって制御されます。IAM ポリシーは、Amazon EFS API アクションへのユーザーのアクセスを制御します。 AWS KMSキーポリシーは、ファイルシステムの作成時に指定した KMS キーへのユーザーのアクセスを制御します。詳細については、次を参照してください。
-
IAM ユーザーガイド の「IAM ユーザー」
-
「AWS Key Management Service デベロッパーガイド」の「AWS KMS の主要ポリシーを使用する」
キー管理者として、外部キーをインポートできます。また、キーを有効化、無効化、または削除して変更することもできます。指定した KMS キーの状態 (保存時に暗号化したファイルシステムを作成したとき) は、その内容へのアクセスに影響します。KMS キーは、enabledencrypted-at-restそのキーを使用して暗号化されたファイルシステムのコンテンツにユーザーがアクセスできる状態である必要があります。
Amazon EFS KMS キーの管理アクションの実行
Amazon EFS ファイルシステムに関連付けられている KMS キーを有効化、無効化、削除する方法については、以下を参照してください。また、これらのアクションを実行するときにファイルシステムで予期される動作について、情報を入手することもできます。
ファイルシステムの KMS キーへのアクセスの無効化、削除、取り消し、ファイルシステムの KMS キーへのアクセスの無効化、削除、取り消し
カスタマー管理の KMS キーを無効化や削除、KMキーへの Amazon EFS アクセスを取り消すことができます。キーへの Amazon EFS のアクセスを無効化および取り消しは、元に戻せるアクションです。KMS キーを削除するときは十分に注意してください。KMS キーの削除は、元に戻せないアクションです。
マウントされたファイルシステムに使用されている KMS キーを無効化または削除する場合、次のことが当てはまります。
-
その KMSencrypted-at-rest キーを新しいファイルシステムのキーとして使用することはできません。
-
その KMSencrypted-at-rest キーを使用する既存のファイルシステムは、一定期間が経過すると機能しなくなります。
既存のマウントされたファイルシステムの許可に対する Amazon EFS アクセスを取り消すと、関連付けられた KMS キーを無効化または削除する場合と同じ動作になります。つまり、encrypted-at-restファイルシステムは引き続き機能しますが、一定期間が経過すると動作を停止します。
Amazon EFS へのアクセスを無効、削除、取り消した KMS キーを持つ、encrypted-at-restマウントされたファイルシステムへのアクセスを防ぐことができます。これを行うには、ファイルシステムをアンマウントし、Amazon EFS マウントターゲットを削除します。
をすぐに削除することはできませんがAWS KMS key、7 ~ 30 日後に削除するようにスケジュールできます。KMS キーは削除がスケジュールされている間は、対応する暗号化オペレーションには使用できません。KMS キーの予定削除をキャンセルすることもできます。
カスタマー管理の KMS キーを無効にしてから再度有効にする方法については、AWS Key Management Serviceデベロッパーガイドの「キーの有効化と無効化」を参照してください。カスタマーマネージド KMキーの削除をスケジュールする方法については、AWS Key Management Serviceデベロッパーガイドの「KMキーの削除」を参照してください。
関連トピック
-
Amazon EFS で保管時に暗号化されたデータとメタデータの詳細については、「Amazon EFS でのデータの暗号化」を参照してください。
-
キーポリシーの例は、「AWS KMS のAmazon EFS のキーポリシー」を参照してください。
-
暗号化されたファイルシステムに関連付けられている AWS CloudTrail ログエントリのリストについては、「保管時に暗号化されたファイルシステムの Amazon EFS ログファイルエントリ」を参照してください。
-
どのアカウントやサービスが KMキーにアクセスできるかを特定の詳細については、AWS Key Management ServiceデベロッパーガイドAWS KMS keyの「へのアクセスの特定」を参照してください。
