暗号化による S3 テーブルデータの保護 - Amazon Simple Storage Service

暗号化による S3 テーブルデータの保護

データ保護とは、転送中 (Amazon S3 とのデータの送受信) と保管中 (Amazon S3 データセンター内のディスクへの保存) のデータを保護することを指します。S3 Tables は、HTTPS 経由で Transport Layer Security (1.2 以降) を使用して、転送中のデータを常に保護します。S3 テーブルバケットに保管中のデータを保護するには、以下のオプションを使用できます。

Amazon S3 マネージドキーを用いたサーバー側の暗号化 (SSE-S3)

すべての Amazon S3 テーブルバケットには、デフォルトで暗号化が設定されます。サーバー側の暗号化のデフォルトのオプションは、Amazon S3 マネージド キー (SSE-S3) を使用しています。この暗号化は、別の暗号化形式を指定しない限り、S3 テーブルバケット内のすべてのテーブルに無料で適用されます。一意のキーで各オブジェクトを暗号化します。追加の保護措置として、SSE-S3 は定期的にローテーションされるルートキーを使ってキーそのものを暗号化します。SSE-S3 は、利用可能な最強のブロック暗号の 1 つである 256 ビットの 高度暗号化規格 (AES-256) を使用して、データを暗号化します。

AWS KMS キーによるサーバー側の暗号化 (SSE-KMS)

AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用するようにテーブルバケットまたはテーブルを設定することもできます。AWS KMS のセキュリティ制御は、暗号化関連のコンプライアンス要件を満たすのに役立ちます。SSE-KMS では、以下の操作が可能であり、暗号化キーをより細かく制御できます。

  • KMS キーの作成、表示、編集、モニタリング、有効化または無効化、更新、削除のスケジュールを行う。

  • KMS キーの使用方法および使用者を制御するポリシーを定義する。

  • キーの使用状況を AWS CloudTrail で追跡して、KMS キーが適切に使用されていることを確認する。

S3 Tables は、SSE-KMS でのカスタマーマネージドキーを使用したテーブルの暗号化をサポートしています。AWS マネージドキーはサポートされていません。S3 テーブルとテーブルバケットで SSE-KMS を使用する方法の詳細については、「テーブルバケットでの AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) の使用」を参照してください。