暗号化ファイルシステムの作成
暗号化ファイルシステムは、AWS マネジメントコンソール、AWS CLI、Amazon EFS API、または AWS SDK を使用して作成できます。ファイルシステムの暗号化を有効にできるのは、作成時のみです。
Amazon EFS はキー管理のために AWS KMS と統合され、CMK を使用してファイルシステムを暗号化します。ファイル名、ディレクトリ名、ディレクトリコンテンツなどのファイルシステムメタデータは、AWS 管理の CMK を使用して暗号化および復号化されます。
ファイルやファイルデータのコンテンツは、お客様が選択した CMK を使用して暗号化および復号化されます。CMK は次の 3 つのタイプのいずれかです。
-
Amazon EFS 用の AWS 管理の CMK
-
お客様の AWS アカウントからのカスタマー管理の CMK
-
別の AWS アカウントからのカスタマー管理の CMK
組織は、CMK のアクセス制御と使用ポリシーだけでなく、作成、ローテーション、削除に関して完全な制御を必要とする社内ポリシーや規制ポリシーの対象になる場合があります。対象になる場合は、カスタマー管理の CMK の使用をお勧めします。対象にならない場合は、AWS 管理の CMK を使用できます。
すべてのユーザーが Amazon EFS の AWS 管理型 CMK を保有しています。そのエイリアスは aws/elasticfilesystem です。この CMK のキーポリシーは AWS によって管理され、お客様は変更できません。AWS 管理の CMK の作成と保存にコストは発生しません。
カスタマー管理の CMK を使用してファイルシステムを暗号化する場合は、所有するカスタマー管理の CMK のキーエイリアスを選択します。または、別のアカウントが所有するカスタマー管理の CMK の Amazon リソースネーム (ARN) を入力することもできます。お客様が所有するカスタマー管理の CMK を使って、キーを使用できるユーザーとサービスをキーポリシーとキー付与によって制御できます。
また、キーへのアクセスを無効化、再有効化、削除、または取り消すタイミングを選択することで、これらのキーの有効期間とローテーションを制御することもできます。他の AWS アカウントのキーへのアクセスを管理する方法については、AWS KMS デベロッパーガイドの「キーポリシーの変更」を参照してください。
カスタマー管理の CMK を管理する方法の詳細は、AWS KMS デベロッパーガイドの「カスタマーマスターキー (CMK)」を参照してください。
次のセクションでは、AWS マネジメントコンソールと AWS CLI を使用して、暗号化ファイルシステムを作成する方法について説明します。
