翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
保管時の暗号化
すべての Amazon FSx ファイルシステムは、 () を使用して AWS Key Management Service 管理されたキーで保管時に暗号化されますAWS KMS。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号化されます。これらのプロセスは Amazon によって透過的に処理されるためFSx、アプリケーションを変更する必要はありません。
Amazon FSxは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon の保管中のFSxデータとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化のベーシック」を参照してください。
注記
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。インフラストラクチャは、米国国立標準技術研究所 (NIST) の 800-57 の推奨事項に準拠しています。
Amazon が FSxを使用する方法 AWS KMS
Amazon はキー管理 AWS KMS のために とFSx統合されています。Amazon FSxは AWS KMS key を使用してファイルシステムを暗号化します。ファイルシステムの暗号化と復号に使用されるKMSキー (データとメタデータの両方) を選択します。このKMSキーの許可を有効、無効に、または取り消すことができます。このKMSキーは、次の 2 つのタイプのいずれかになります。
-
AWS マネージドキー – これはデフォルトのKMSキーであり、自由に使用できます。
-
カスタマーマネージドキー – これはKMS、複数のユーザーまたはサービスに対してキーポリシーと許可を設定できるため、最も柔軟なキーです。カスタマーマネージドキーの作成の詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。
カスタマーマネージドキーをファイルデータの暗号化と復号化のKMSキーとして使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 AWS KMS は 1 年に 1 回キーを自動的にローテーションします。さらに、カスタマーマネージドキーを使用すると、KMSいつでもキーへのアクセスを無効化、再有効化、削除、または取り消すタイミングを選択できます。詳細については、「 デベロッパーガイド」の「ロー AWS KMS keysテーション」を参照してください。 AWS Key Management Service
保管中のファイルシステムの暗号化と復号は透過的に処理されます。ただし、 AWS アカウント IDsAmazon に固有の は、 AWS KMS アクションに関連する AWS CloudTrail ログFSxに表示されます。
の Amazon FSx キーポリシー AWS KMS
キーポリシーは、KMSキーへのアクセスを制御する主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSの キーポリシーの使用」を参照してください。次のリストは、Amazon が保管時の暗号化ファイルシステムFSxに対してサポートするすべての AWS KMS関連アクセス許可を示しています。
-
kms:Encrypt - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
-
kms:Decrypt - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:ReEncrypt – (オプション) クライアント側でデータのプレーンテキストを公開することなく、サーバー側のデータを新しいKMSキーで暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:GenerateDataKeyWithoutPlaintext – (必須) キーで暗号化されたデータ暗号化KMSキーを返します。このアクセス許可は、kms:GenerateDataKey* のデフォルトキーポリシーに含まれています。
-
kms:CreateGrant - (必須) キーを使用できるユーザーと条件を指定する権限をキーに追加します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:DescribeKey – (必須) 指定されたKMSキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。
-
kms:ListAliases – (オプション) アカウント内のすべてのキーエイリアスを一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可によってKMSキーのリストが入力されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。この許可は、デフォルトのキーポリシーに含まれています。