AWS マネジメントコンソールを使用した暗号化ファイルシステムの作成 - Amazon Elastic File System を使用したファイルデータの暗号化

AWS マネジメントコンソールを使用した暗号化ファイルシステムの作成

AWS マネジメントコンソールを使用して、暗号化された Amazon EFS ファイルシステムを作成するには、以下の手順に従います。

ステップ 1.ファイルシステムの設定

このステップでは、ライフサイクル管理、パフォーマンスモード、スループットモード、保管中のデータの暗号化など、ファイルシステムの全般的な設定を行います。

  1. AWS マネジメントコンソールにサインインし、Amazon EFS コンソールを開きます。

  2. [ファイルシステムの作成] をクリックして、[ファイルシステムの作成] ダイアログボックスを表示します。デフォルトで暗号化を有効にするなど、推奨設定を使用してファイルシステムを作成する方法の詳細は、「Amazon EFS ファイルシステムを作成する」を参照してください。

    Dialog box for creating an EFS file system with name input and VPC selection options.

    EFS ファイルシステムの作成

  3. (オプション) サービスの推奨設定を使用してファイルシステムを作成する代わりに、カスタマイズしたファイルシステムを作成するには、[カスタマイズ] を選択します。

    [ファイルシステムの設定] ページが表示されます。

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    EFS ファイルシステムの作成: 全般的な設定

  4. [全般] 設定で、以下の詳細を入力します。

    • (オプション) [名前] にファイルシステムの名前を入力します。

    • [自動バックアップ] は、デフォルトで有効になっています。チェックボックスをオフにすると、自動バックアップをオフにすることができます。詳細については、「Amazon EFS での AWS Backup の使用」を参照してください。

    • [ライフサイクル管理] で、ライフサイクル管理ポリシーを選択します。Amazon EFS のライフサイクル管理では、ファイルシステムに対して費用対効果の高いファイルストレージが自動的に管理されます。有効にすると、ライフサイクル管理により、設定された期間アクセスされなかったファイルは、低頻度アクセス (IA) ストレージクラスに移行されます。期間は、ライフサイクルポリシーを使用して定義します。ライフサイクル管理を有効にしない場合は、[なし] を選択します。詳細は、Amazon EFS ユーザーガイドの「EFS のライフサイクル管理」を参照してください。

    • [パフォーマンスモード] で、デフォルトの [汎用] モードか [最大 I/O] モードのいずれかを選択します。詳細は、Amazon EFS ユーザーガイドの「パフォーマンスモード」を参照してください。

    • [スループットモード] で、デフォルトの [バースト] モードか [プロビジョニング済み] モードのいずれかを選択します。

    • [プロビジョニング済み] を選択した場合は、[プロビジョニングされたスループット (MiB/s)] フィールドが表示されます。ファイルシステムにプロビジョニングするスループットの量を入力します。スループットを入力すると、フィールドの横に月額コストの推定額が表示されます。詳細は、Amazon EFS ユーザーガイドの「スループットモード」を参照してください。

    • [暗号化] について、保管中のデータの暗号化はデフォルトで有効になっています。デフォルトでは、AWS Key Management Service (AWS KMS) の EFS サービスキー (aws/elasticfilesystem) が使用されます。暗号化に別の KMS キーを使用するには、[暗号化設定のカスタマイズ] を展開して、リストからキーを選択します。または、使用する KMS キーの KMS キー ID または Amazon リソースネーム (ARN) を [KMS キー] に入力します。

      新しいキーを作成する必要がある場合は、[AWS KMS キーを作成] をクリックして AWS KMS コンソールを起動し、新しいキーを作成します。

  5. (オプション) [タグを追加] をクリックして、キーと値のペアをファイルシステムに追加します。

  6. [次へ] をクリックして、設定プロセスの [ネットワークアクセス] ステップに進みます。

ステップ 2.ネットワークアクセスの設定

このステップでは、Virtual Private Cloud (VPC) やマウントターゲットなど、ファイルシステムのネットワーク設定を構成します。マウントターゲットごとに、アベイラビリティーゾーン、サブネット、IP アドレス、セキュリティグループを設定します。

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

EFS ファイルシステムの作成: ネットワークアクセス

  1. [Virtual Private Cloud (VPC)] で、EC2 インスタンスとファイルシステムを接続する仮想プライベートクラウドを選択します。詳細は、Amazon EFS ユーザーガイドの「ファイルシステムネットワークのアクセシビリティの管理」を参照してください。

    • [アベイラビリティーゾーン] – デフォルトでは、AWS リージョンの各アベイラビリティーゾーンにマウントターゲットが設定されます。特定のアベイラビリティーゾーンにマウントターゲットを作成しない場合は、[削除] をクリックしてそのアベイラビリティーゾーンのマウントターゲットを削除します。ファイルシステムへのアクセスの予定があるすべてのアベイラビリティーゾーンにマウントターゲットを作成してください。作成してもコストは発生しません。

    • [サブネット ID] – アベイラビリティーゾーンで使用可能なサブネットから選択します。デフォルトのサブネットはあらかじめ選択されています。ベストプラクティスとして、選択したサブネットをセキュリティ要件に基づいてパブリックまたはプライベートにしてください。

    • [IP アドレス] – デフォルトでは、Amazon EFS によって、サブネット内の使用可能な IP アドレスから自動で選択されます。または、サブネット内の特定の IP アドレスを入力することができます。マウントターゲットは、保有する IP アドレスは 1 つですが、冗長性があり、可用性の高いネットワークリソースです。

    • [セキュリティグループ] – マウントターゲット に 1 つ以上のセキュリティグループを指定できます。ベストプラクティスとして、セキュリティグループは EFS マウントの目的 (NFS ポート 2049) にのみ使用されるように、またインバウンドルールは、他の VPC CIDR ブロック範囲からはポート 2049 のみを許可するか、EFS にアクセスする必要があるリソースのソースとしてセキュリティグループを使用するようにしてください。詳細は、Amazon EFS ユーザーガイドの「Amazon EC2 インスタンスとマウントターゲットのセキュリティグループの使用」を参照してください。

      他のセキュリティグループを追加する、もしくはセキュリティグループを変更するには、[セキュリティグループの選択] を選んで、リストから他のセキュリティグループを追加します。デフォルトのセキュリティグループを使用しない場合は、削除してかまいません。詳細は、Amazon EFS ユーザーガイドの「セキュリティグループの作成」を参照してください。

  2. [マウントターゲットを追加] をクリックして、マウントターゲットがないアベイラビリティーゾーンにマウントターゲットを作成します。各アベイラビリティーゾーンにマウントターゲットが設定されている場合は、このボタンは使用できません。

  3. [次へ] をクリックして続行します。[ファイルシステムポリシー] ページが表示されます。

ステップ 3.ファイルシステムポリシーの作成

このステップでは、ファイルシステムへの NFS クライアントのアクセスを制御するファイルシステムポリシーを作成します。EFS のファイルシステムポリシーは、ファイルシステムへの NFS クライアントのアクセスを制御するために使用する IAM リソースポリシーです。詳細は、Amazon EFS ユーザーガイドの「IAM を使用した Amazon EFS への NFS アクセスのコントロール」を参照してください。

File system policy configuration interface with policy options and JSON editor.

EFS ファイルシステムの作成: ファイルシステムポリシー

  1. [ポリシーオプション] で、使用可能な事前構成済みポリシーオプションを以下から選択することをお勧めします。

    • [デフォルトでルートアクセスを禁止する]

    • [デフォルトで読み取り専用アクセスを強制する]

    • [すべてのクライアントに転送時の暗号化を強制する]

  2. [追加のアクセス許可を付与] を使用して、別の AWS アカウントを含む追加の IAM プリンシパルにファイルシステムのアクセス権限を付与します。[追加] をクリックして、アクセス権限を付与するエンティティのプリンシパル ARN を入力し、[アクセス許可] をクリックして付与します。

  3. 事前設定済みのポリシーのカスタマイズや、要件に基づく独自ポリシーの作成には、[ポリシーエディタ] を使用します。事前設定済みのポリシーのいずれかを選択すると、JSON のポリシー定義が [ポリシーエディタ] に表示されます。

  4. [次へ] をクリックして続行します。[確認して作成する] ページが表示されます。

ステップ 4.確認して作成する

このステップでは、ファイルシステムの設定を確認し、必要に応じて変更を加えて、ファイルシステムを作成します。

Review and create page showing file system settings, network access, and policy details.

EFS ファイルシステムの作成 : 確認して作成する

  1. それぞれのファイルシステム設定グループを確認します。[編集] をクリックすると、それぞれのグループに変更を加えることができます。

  2. [作成] をクリックしてファイルシステムを作成し、[ファイルシステム] ページに戻ります。

  3. [ファイルシステム] ページに、ファイルシステムとその設定の詳細が次のように表示されます。

    MyFS file system details showing general settings, performance mode, and metered size.

    ファイルシステム