を使用したデータ暗号化AWS KMS

Storage Gateway は、SSL/TLS（Secure Socket Layers/Transport Layer Security）を使用して、ゲートウェイアプライアンスとAWSストレージ。デフォルトでは、Storage Gateway は Amazon S3 で管理された暗号化キー (SSE-S3) を使用して、Amazon S3 に格納されているすべてのデータをサーバ側で暗号化します。Storage Gateway API を使用して、でサーバー側の暗号化を使用してクラウドに保存されているデータを暗号化するようにゲートウェイを設定することもできます。AWS Key Management Service(SSE-KMS) カスタマーマスターキー (CMK)。

重要

を使用したときAWS KMSCMK サーバー側の暗号化を行うには、対称 CMK を選択する必要があります。Storage Gateway では、非対称 CMK はサポートされていません。詳細については、AWS Key Management Service デベロッパーガイドの対称キーと非対称キーの使用を参照してください。

ファイル共有を暗号化する

ファイル共有の場合、オブジェクトを暗号化するようにゲートウェイを構成できます。AWS KMS— SSE-KMS を使用してキーを管理します。Storage Gateway API を使用してファイル共有に書き込むデータを暗号化するには、「」を参照してください。CreateNFSFileShareのAWS Storage GatewayAPI リファレンス。

ファイルシステムの暗号化

詳細については、「」を参照してください。Amazon FSx でのデータ暗号化のAmazon FSx for Windows File Server ユーザーガイド。

AWS KMS を使用してデータを暗号化する場合は、次のことに注意してください。

• データはクラウドでの保管時に暗号化されます。つまり、データは Amazon S3 で暗号化されます。

• IAM ユーザーは、を呼び出すには、必要なアクセス権限が必要です。AWS KMSAPI オペレーション。詳細については、「」を参照してください。での IAM ポリシーの使用AWS KMSのAWS Key Management Serviceデベロッパーガイド。

• CMK を削除または無効にするか、許可トークンを取り消した場合、ボリュームまたはテープ上のデータにアクセスすることはできません。詳細については、「」を参照してください。カスタマーマスターキーを削除するのAWS Key Management Serviceデベロッパーガイド。

• KMS で暗号化されたボリュームからスナップショットを作成すると、スナップショットは暗号化されます。スナップショットは、ボリュームの KMS キーを継承します。

• KMS で暗号化されたスナップショットから新しいボリュームを作成すると、ボリュームは暗号化されます。新しいボリュームに別の KMS キーを指定できます。

  注記

  Storage Gateway では、KMS で暗号化されたボリュームやスナップショットの復旧ポイントからの暗号化されていないボリュームの作成はサポートされていません。

AWS KMS の詳細については、「AWS Key Management Service とは」を参照してください。