翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 でのデータ暗号化
AWS Transfer Family は、Amazon S3 バケットに設定したデフォルトの暗号化オプションを使用してデータを暗号化します。バケットで暗号化を有効にすると、バケットに保存されるすべてのオブジェクトが暗号化されます。オブジェクトは、Amazon S3 マネージドキー (SSE-S3) または AWS Key Management Service () マネージドキー (SSE-KMS AWS KMS) によるサーバー側の暗号化を使用して暗号化されます。サーバー側の暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの「サーバー側の暗号化を使用したデータの保護」を参照してください。
次の手順は、 でデータを暗号化する方法を示しています AWS Transfer Family。
で暗号化を許可するには AWS Transfer Family
-
Amazon S3 バケットのデフォルト暗号化を有効にします。詳細については、Amazon Simple Storage Service ユーザーガイドの「S3 バケットの Amazon S3 デフォルト暗号化」を参照してください。
-
ユーザーにアタッチされている AWS Identity and Access Management (IAM) ロールポリシーを更新して、必要な AWS Key Management Service (AWS KMS) アクセス許可を付与します。
-
ユーザーのセッションポリシーを使用している場合、セッションポリシーは必要な AWS KMS アクセス許可を付与する必要があります。
次の例は、 AWS KMS 暗号化が有効になっている Amazon S3 バケット AWS Transfer Family で を使用する場合に必要な最小限のアクセス許可を付与する IAM ポリシーを示しています。 Amazon S3 このポリシー例は、IAM ロールポリシーおよびセッションポリシー (使用している場合) の両方に含めます。
{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" }
注記
このポリシーで指定する KMS キー ID は、ステップ 1 でデフォルト暗号化のために指定したものと同じである必要があります。
root、またはユーザーに使用される IAM ロールは、 AWS KMS キーポリシーで許可される必要があります。 AWS KMS キーポリシーの詳細については、「 デベロッパーガイド」の AWS 「KMS でのキーポリシーの使用」を参照してください。 AWS Key Management Service
