保管中のデータの暗号化 - FSx for ONTAP
Amazon FSx の使用方法 AWS KMSの Amazon FSx キーポリシー AWS KMS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

Amazon FSx for NetApp ONTAP ファイルシステムはすべて、 AWS Key Management Service ()AWS KMSを使用して管理されたキーを使用して保存時に暗号化されます。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号化されます。このプロセスは Amazon FSx で透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、保存中の Amazon FSx データとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。

注記

AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 が承認した暗号アルゴリズムを使用しています。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。

Amazon FSx の使用方法 AWS KMS

Amazon FSx AWS KMS はキー管理のためにと統合されています。Amazon FSx は KMS キーを使用してファイルシステムを暗号化します。ファイルシステム (データとメタデータの両方) の暗号化と復号化に使用する KMS キーを選択します。この KMS キーの許可は、有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。

  • AWSマネージド KMS キー - これはデフォルトの KMS キーで、自由に使用できます。

  • カスタマーマネージド CMK - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。KMS キーの作成の詳細については、『開発者ガイド』の「キーの作成」を参照してください。 AWS Key Management Service

重要

Amazon FSx は、KMS の対称暗号化キーのみを受け入れます。Amazon FSx では、非対称 KMS キーを使用することはできません。

顧客が管理する KMS キーをファイルデータ暗号化と復号化の KMS キーとして使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 AWS KMS は、1 年に 1 回、キーを自動的にローテーションします。また、カスタマーマネージド KMS キーでは、KMS キーへのアクセスの無効化、再有効化、削除、取り消しのタイミングを随時選択できます。詳細については、「AWS Key Management Service デベロッパーガイドの ローテーション AWS KMS keys」および「キーの有効化と無効化」を参照してください。

の Amazon FSx キーポリシー AWS KMS

キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSの キーポリシーの使用」を参照してください。以下のリストは、Amazon FSx がサポートする、 AWS KMS暗号化された保存時ファイルシステムに関連するすべてのアクセス権限を示しています。

  • kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。

  • kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化されたプレーンテキストです。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms: ReEncrypt — (オプション) クライアント側に平文のデータを公開せずに AWS KMS key、サーバー側のデータを新しいデータで暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms: GenerateDataKeyWithoutPlaintext — (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この権限は kms: * のデフォルトキーポリシーに含まれています。GenerateDataKey

  • kms: CreateGrant — (必須) キーに権限を追加して、そのキーを誰がどのような条件で使用できるかを指定します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms: DescribeKey — (必須) 指定した KMS キーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。

  • kms: ListAliases — (オプション) アカウント内のすべてのキーエイリアスを一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可が KMS キーのリストに追加されます。最高のユーザーエクスペリエンスを提供するためには、この許可の使用をお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。