を使用したデータ暗号化 AWS KMS - AWS Storage Gateway

Amazon S3 File Gateway のドキュメントは、「What is Amazon S3 File Gateway?」に移動しました。

Amazon FSx File Gateway のドキュメントは、「What is Amazon FSx File Gateway?」に移動しました。

テープゲートウェイのドキュメントは、「What is Tape Gateway?」に移動しました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したデータ暗号化 AWS KMS

Storage Gateway は SSL/TLS (Secure Socket Layers/Transport Layer Security) を使用して、ゲートウェイアプライアンスと AWS ストレージ間で転送されるデータを暗号化します。デフォルトでは、Storage Gateway は Amazon S3 で管理される暗号化キー (SSE-S3) を使用して、Amazon S3 に格納されているすべてのデータをサーバー側で暗号化します。Storage Gateway API を使用して、 AWS Key Management Service (SSE-KMS) キーによるサーバー側の暗号化を使用してクラウドに保存されているデータを暗号化するようにゲートウェイを設定できます。

重要

サーバー側の暗号化に AWS KMS キーを使用する場合は、対称キーを選択する必要があります。Storage Gateway では、非対称キーはサポートされていません。詳細については、AWS Key Management Service デベロッパーガイド対称キーと非対称キーの使用を参照してください。

ファイル共有の暗号化

ファイル共有では、SSE-KMS を使用して AWS KMSマネージドキーでオブジェクトを暗号化するようにゲートウェイを設定できます。Storage Gateway API を使用してファイル共有に書き込まれるデータを暗号化する方法については、 AWS Storage Gateway API リファレンスの「CreateNFSFileShare」を参照してください。

ボリュームの暗号化

キャッシュ型ボリュームと保管型ボリュームの場合、Storage Gateway API を使用して、クラウドに保存されているボリュームデータを AWS KMSマネージドキーで暗号化するようにゲートウェイを設定できます。 Storage Gateway マネージドキーの 1 つを KMS キーとして指定することができます。ボリュームの暗号化に使用するキーは、ボリュームの作成後に変更することはできません。Storage Gateway API を使用してキャッシュ型ボリュームまたは保管型ボリュームに書き込まれるデータを暗号化する方法については、 AWS Storage Gateway API リファレンス「CreateCachediSCSIVolume」または「CreateStorediSCSIVolume」を参照してください。

テープの暗号化

仮想テープの場合、Storage Gateway API を使用して、クラウドに保存されているテープデータを AWS KMSマネージドキーで暗号化するようにゲートウェイを設定できます。 Storage Gateway マネージドキーの 1 つを KMS キーとして指定することができます。テープデータの暗号化に使用するキーは、テープの作成後に変更することはできません。Storage Gateway API を使用して仮想テープに書き込まれるデータを暗号化する方法については、 AWS Storage Gateway API リファレンスのCreateTapes「」を参照してください。

AWS KMS を使用してデータを暗号化する場合は次の点に注意してください。

  • データはクラウドでの保管時に暗号化されます。つまり、Amazon S3 内でデータが暗号化されます。

  • IAM ユーザーには、 AWS KMS API オペレーションを呼び出すために必要なアクセス許可が必要です。詳細については、「AWS Key Management Service 開発者ガイド」の「AWS KMSで IAM ポリシーを使用する」を参照してください。

  • AWS AWS KMS キーを削除または非アクティブ化したり、グラントトークンを取り消したりすると、ボリュームまたはテープのデータにアクセスできなくなります。詳細については、「AWS Key Management Service デベロッパーガイド」の「KMS keys を削除する」を参照してください。

  • KMS で暗号化されたボリュームからスナップショットを作成すると、スナップショットは暗号化されます。スナップショットは、ボリュームの KMS キーを継承します。

  • KMS で暗号化されたスナップショットから新しいボリュームを作成すると、ボリュームは暗号化されます。新しいボリュームに別の KMS キーを指定できます。

    注記

    Storage Gateway では、KMS で暗号化されたボリュームやスナップショットの復旧ポイントから暗号化されていないボリュームを作成することはできません。

の詳細については AWS KMS、「 とは」を参照してください AWS Key Management Service。