Amazon Keyspaces の保管データ暗号化

Amazon Keyspaces (Apache Cassandra 向け) の保管データ暗号化では、AWS Key Management Service (AWS KMS) に保存されている暗号化キーを使用して保管中のすべてのデータを暗号化することで、セキュリティを強化します。この機能は、機密データの保護における負担と複雑な作業を減らすのに役立ちます。保管されているデータを暗号化することで、データ保護に関する厳格なコンプライアンスと規制要件を満たしたセキュリティ重視のアプリケーションを構築できます。

Amazon Keyspaces の保管データ暗号化では、256 ビット高度暗号化基準 (AES-256) を使用してデータを暗号化します。この機能は、ストレージへの不正アクセスからデータを保護するのに役立ちます。

Amazon Keyspaces では、ユーザーに意識させることなくテーブルデータの暗号化と復号化が行われます。Amazon Keyspaces では、データ暗号化にエンベロープ暗号化とキー階層が使用されます。ルート暗号化キーの保存と管理のために AWS KMS に統合されます。暗号化キー階層の詳細については、「保管データ暗号化: Amazon Keyspaces での動作」を参照してください。エンベロープ暗号化などの AWS KMS 概念の詳細については、『AWS Key Management Service デベロッパーガイド』の「AWS KMS management service concepts ( キー管理サービスの概念)」を参照してください。

新しいテーブルを作成するとき、以下のいずれかの AWS KMSキー (KMS キー) を選択できます。

• AWS 所有のキー – これはデフォルトの暗号化型です。キーは Amazon Keyspaces により所有されます (追加料金なし)。

• カスタマーマネージドキー – このキーはアカウントに保存され、ユーザーによって作成、所有、管理されます。ユーザーは、カスタマー管理キーに対する完全なコントロール権限を持ちます (AWS KMS の料金が適用されます)。

AWS 所有のキー とカスタマーマネージドキーはいつでも切り替えることができます。新しいテーブルを作成するときや、コンソールの使用またはプログラムによる CQL ステートメントの使用により、既存のテーブルの KMS キーを変更するときに、カスタマーマネージドポリシーを指定することができます。この方法の詳細は、「保管データ暗号化: カスタマーマネージドキーを使用して Amazon Keyspaces のテーブルを暗号化する方法」を参照してください。

AWS 所有のキー のデフォルトオプションを使用した保管データ暗号化に追加料金はかかりません。ただし、カスタマーマネージドキーには AWS KMS の料金がかかります。料金の詳細については、「AWS KMS の料金」を参照してください。

Amazon Keyspaces の保管データ暗号化は、AWS 中国 (北京) リージョンと AWS 中国 (寧夏) リージョンを含むすべての AWS リージョン で使用できます。詳細については、「保管データ暗号化: Amazon Keyspaces での動作」を参照してください。

トピック

• 保管データ暗号化: Amazon Keyspaces での動作
• 保管データ暗号化: カスタマーマネージドキーを使用して Amazon Keyspaces のテーブルを暗号化する方法