翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EFS の AWS KMS キーの使用
<a name="EFSKMS"></a>

Amazon EFS は、キー管理のために AWS Key Management Service (AWS KMS) と統合されています。Amazon EFS は、次のようにカスタマーマネージドキーを使用してファイルシステムを暗号化します。
+ **保存時のメタデータの暗号化** – Amazon EFS は Amazon EFS に AWS マネージドキー 、`aws/elasticfilesystem` を使用して、ファイルシステムメタデータ (つまり、ファイル名、ディレクトリ名、ディレクトリの内容) を暗号化および復号します。
+ **保管中のデータの暗号化** – ファイルデータ (ファイルの内容) の暗号化と復号に使用するカスタマーマネージドキーを選択します。このカスタマーマネージドキーの許可を有効化、無効化、または削除することができます。このカスタマーマネージドキーは、以下の 2 つのタイプのいずれかになります。
  + **AWS マネージドキー Amazon EFS の** - これはデフォルトのカスタマーマネージドキー です`aws/elasticfilesystem`。カスタマーマネージドキーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、「[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing/)」を参照してください。
  + **カスタマー管理キー** - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。カスタマーマネージドキーの作成の詳細については、「 デベロッパーガイド」の[「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。 *AWS Key Management Service *

    ファイルデータ暗号化と復号化のためにカスタマーマネージドキーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。詳細については、「[Amazon EFS の AWS KMS キーの使用](#EFSKMS)」を参照してください。

**重要**  
Amazon EFS では、対称カスタマーマネージドキーのみを使用できます。Amazon EFS では、非対称カスタマーマネージドキーを使用することはできません。

保管時のデータの暗号化と復号は透過的に処理されます。ただし、Amazon EFS に固有の AWS アカウント IDs、 AWS KMS アクションに関連する AWS CloudTrail ログに表示されます。詳細については、「[encrypted-at-rest ファイルシステムの Amazon EFS ログファイルエントリ](logging-using-cloudtrail.md#efs-encryption-cloudtrail)」を参照してください。

## の Amazon EFS キーポリシー AWS KMS
<a name="EFSKMSPolicy"></a>

キーポリシーはカスタマーマネージドキーへのアクセスを制御するための主要な方法です。キーポリシーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMSの キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストでは、暗号化された保管時のファイルシステムに対して Amazon EFS が必要とする、またはその他の方法でサポートする、 AWS KMSに関連するすべてのアクセス許可について説明します。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しいカスタマーマネージドキーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) カスタマーマネージドキーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\*** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMSの許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** – (必須) 指定されたカスタマーマネージドキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可により **KMS マネージドキーの選択**リストが設定されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。

### AWS マネージドキー for Amazon EFS KMS ポリシー
<a name="efs-aws-managed-key-policy"></a>

Amazon EFS の AWS マネージドキー の KMS ポリシー JSON `aws/elasticfilesystem`は次のとおりです。

```
{
    "Version": "2012-10-17",		 	 	 
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}
```

## キーの状態とその効果
<a name="key-states-effects"></a>

KMS キーの状態は、暗号化されたファイルシステムへのアクセスに直接影響します。

有効  
通常のオペレーション - ファイルシステムへの完全な読み取りおよび書き込みアクセス

Disabled  
しばらくすると、ファイルシステムにアクセスできなくなります。再有効化できます。

削除保留中  
ファイルシステムにアクセスできなくなります。削除は、待機期間中にキャンセルできます。

[Deleted] (削除済み)  
ファイルシステムには完全にアクセスできません。このアクションは元に戻せません。

**警告**  
ファイルシステムに使用される KMS キーを無効化または削除するか、キーへの Amazon EFS アクセスを取り消すと、ファイルシステムにアクセスできなくなります。これにより、バックアップがない場合、データが失われる可能性があります。暗号化キーを変更する前に、必ず適切なバックアップ手順が設定されていることを確認してください。