基本概念と用語 - Amazon Elastic File System を使用したファイルデータの暗号化

基本概念と用語

このセクションでは、このホワイトペーパーで参照されている概念と用語を定義します。

  • Amazon Elastic File System (Amazon EFS) — シンプルでスケーラブルな共有ファイルストレージをAWS クラウド内で提供する、可用性と耐久性に優れたサービスです。Amazon EFS には、標準のファイルシステムインターフェイスとファイルシステムセマンティクスが用意されています。複数のアベイラビリティーゾーンにある無数のストレージサーバー上で、データを実質無制限に保存できます。

  • AWS Identity and Access Management (IAM)AWS サービス API へのアクセスを安全かつきめ細かに制御できるサービスです。ポリシーが作成され、個々のユーザー、グループ、ロールのアクセスを制限するために使用されます。AWS KMS キーは IAM コンソールから管理できます。

  • AWS KMS データの暗号化に使用される暗号化キーであるカスタマーマスターキー (CMK) の作成と管理を容易にするマネージドサービスです。AWS KMS CMK は、中国 (北京) および中国 (寧夏) リージョンを除き、FIPS 140-2 暗号化モジュール検証プログラムによる検証済みのハードウェアセキュリティモジュール (HSM) で保護されています。AWS KMS は、データを暗号化する別の AWS のサービスと統合されています。また、AWS CloudTrail と完全に統合され、AWS KMS がお客様に代わって実行した API コールのログを提供します。これは、お客様の組織に適用されるコンプライアンスまたは規制要件を満たすのに役立ちます。

  • カスタマーマスターキー (CMK)キー階層の最上位を表します。これには、データの暗号化および復号化のためのキーマテリアルが含まれています。AWS KMS はこのキーマテリアルを生成できます。また、ユーザーが生成したものを AWS KMS にインポートすることもできます。CMK は AWS アカウントと AWS リージョンに固有で、カスタマー管理型または AWS 管理型を使用できます。

  • AWS 管理型 CMK — AWS がユーザーに代わって生成する CMK。AWS 管理の CMK は、統合された AWS のサービスのリソースの暗号化を有効にすると作成されます。AWS 管理型 CMK キーポリシーは AWS によって管理され、ユーザーは変更できません。AWS 管理型 CMK の作成や保存には料金がかかりません。

  • カスタマー管理型 CMK — AWS マネジメントコンソールか API、AWS CLI、または SDK を使用して作成する CMK。CMK をより細かく制御する必要がある場合は、カスタマー管理型 CMK を使用できます。

  • KMS キーポリシーカスタマー管理型 CMK へのアクセスを制御するリソースポリシー。キーポリシー、または IAM ポリシーとキーポリシーの組み合わせを使用して、これらのアクセス権限をお客様が定義します。詳細については、AWS KMS デベロッパーガイドの「アクセス管理の概要」を参照してください。

  • データキーAWS KMS の外部でデータを暗号化するために AWS KMS によって生成される暗号化キー。AWS KMS では、CMK で保護されたデータキーを、承認されたエンティティ (ユーザーまたはサービス) で取得可能です。

  • Transport Layer Security (TLS)Secure Sockets Layer (SSL) の後継である TLS は、ネットワーク上でやり取りされる情報の暗号化に不可欠な暗号化プロトコルです。

  • EFS マウントヘルパーEFS ファイルシステムのマウントを簡略化するために使用される Linux クライアントエージェント (amazon-efs-utils)。TLS トンネル経由のすべての NFS トラフィックを設定、保守、ルーティングするために使用できます。

基本的な概念と用語の詳細については、AWS KMS デベロッパーガイドの「AWS Key Management Service の概念」を参照してください。