Amazon Elastic Compute Cloud

Amazon EC2 は、スケーラブルでユーザー設定可能なコンピューティングサービスで、保管中のデータを暗号化するための複数の方法をサポートしています。例えば、お客様は、Amazon EC2 インスタンスでホストされているアプリケーションまたはデータベースプラットフォーム内で処理される PHI のアプリケーションレベルまたはフィールドレベルの暗号化を実行することを選択できます。アプローチには、Java や .NET などのアプリケーションフレームワークの標準ライブラリを使用したデータの暗号化、Microsoft SQL や Oracle の透過的なデータ暗号化機能の利用、他のサードパーティーや Software as a Service (SaaS) ベースのソリューションをアプリケーションに統合することが含まれます。

お客様は、Amazon EC2 で実行されているアプリケーションを AWS KMS SDKsと統合することを選択できるため、キーの管理とストレージのプロセスが簡素化されます。また、 AWS Marketplace パートナーのサードパーティーソフトウェアやネイティブファイルシステム暗号化ツール (dm-crypt、LUKS など) を使用して、ファイルレベルまたはフルディスク暗号化 (FDE) を使用して保管中のデータの暗号化を実装することもできます。

PHI を含むネットワークトラフィックは、転送中のデータを暗号化する必要があります。外部ソース (インターネットや従来の IT 環境など) と Amazon EC2 間のトラフィックについては、 ガイダンスに従って、Transport Layer Security (TLS) や IPsec 仮想プライベートネットワーク (VPNsなどのオープンスタンダードトランスポート暗号化メカニズムを使用する必要があります。Amazon EC2 インスタンス間のデータ移動のために Amazon Amazon Virtual Private Cloud (VPC) 内部で、PHI を含むネットワークトラフィックも暗号化する必要があります。ほとんどのアプリケーションは、 ガイダンスと一致するように設定できる TLS またはその他の転送中の暗号化プロトコルをサポートしています。暗号化をサポートしていないアプリケーションやプロトコルの場合、PHI を送信するセッションは、IPsec またはインスタンス間の同様の実装を使用して、暗号化されたトンネルを介して送信できます。