翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EFS でのデータ保護
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon EFS でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon EFS AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
**Topics**
+ [Amazon EFS でのデータの暗号化](encryption.md)
+ [インターネットのプライバシー](internetwork-privacy.md)
# Amazon EFS でのデータの暗号化
Amazon EFS は、保管中および転送中のデータを保護するための包括的な暗号化機能を提供します。
+ **保管時の暗号化** – ファイルシステムに保存されているデータを暗号化します。
+ **転送中の暗号化** – クライアントとファイルシステム間で転送されるデータを暗号化します。
データとメタデータの暗号化が必要な企業または規制ポリシーの対象となる組織の場合は、保管時に暗号化されるファイルシステムを作成し、転送中のデータの暗号化を使用してファイルシステムをマウントすることをおすすめします。
**Topics**
+ [保管中のデータの暗号化](encryption-at-rest.md)
+ [Encrypting data in transit](encryption-in-transit.md)
+ [Amazon EFS の AWS KMS キーの使用](EFSKMS.md)
+ [暗号化のトラブルシューティング](troubleshooting-efs-encryption.md)
# 保管中のデータの暗号化
保管時の暗号化は、EFS ファイルシステムに保存されているデータを暗号化します。これにより、コンプライアンス要件を満たし、機密データを不正アクセスから保護できます。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。
**注記**
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-3 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。
Amazon EFS コンソールを使用してファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。 AWS CLI、API、または SDKs を使用してファイルシステムを作成する場合は、明示的に暗号化を有効にする必要があります。
EFS ファイルシステムを作成した後、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、[ファイルシステムをレプリケート](efs-replication.md)して、暗号化されていないファイルシステムから新しい暗号化されたファイルシステムにデータをコピーします。詳細については、「[既存の EFS ファイルシステムの保管時の暗号化を有効にするにはどうすればよいですか?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)」を参照してください。
## 保存時の暗号化の方法
暗号化されたファイルシステムでは、データとメタデータはストレージに書き込まれる前にデフォルトで暗号化され、読み取り時に自動的に復号されます。このプロセスは Amazon EFS で透過的に処理されるため、アプリケーションを変更する必要はありません。
Amazon EFS は、次のようにキー管理 AWS KMS に を使用します。
+ **ファイルデータの暗号化** – ファイルの内容は、指定した KMS キーを使用して暗号化されます。これは以下のいずれかになります。
+ AWS 所有のキー for Amazon EFS (`aws/elasticfilesystem`) – デフォルトのオプション。追加料金はかかりません。
+ ユーザーが作成し管理するカスタマーマネージドキー – 追加のコントロールおよび監査機能を提供します。
+ **メタデータ暗号化** - ファイル名、ディレクトリ名、ディレクトリの内容は、Amazon EFS が内部的に管理するキーによって暗号化されます。
### 暗号化プロセス
ファイルシステムが作成されるか、同じアカウントのファイルシステムにレプリケートされると、Amazon EFS は[転送アクセスセッション (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) で発信者の認証情報を使用して、KMS 呼び出しを行います。CloudTrail ログでは、`kms:CreateGrant` 呼び出しはファイルシステムまたはレプリケーションを作成したのと同じユーザー ID によって行われたように見えます。CloudTrail で Amazon EFS サービス呼び出しを識別するには、値 `elasticfilesystem.amazonaws.com` を持つ `invokedBy` フィールドを探します。KMS キーのリソースポリシーは、FAS が呼び出すための `CreateGrant` アクションを許可する必要があります。
**重要**
許可の制御はユーザーが管理し、いつでも取り消すことができます。許可を取り消すと、Amazon EFS は今後のオペレーションで KMS キーにアクセスできなくなります。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[許可の使用停止と取り消し](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html)」を参照してください。
カスタマーマネージド KMS キーを使用する場合、リソースポリシーは Amazon EFS サービスプリンシパルを許可し、特定のサービスエンドポイントへのアクセスを制限する `kms:ViaService` 条件を含める必要があります。例えば、次のようになります。
```
"kms:ViaService":
"elasticfilesystem.us-east-2.amazonaws.com"
```
Amazon EFS は保管時のデータおよびメタデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。
Amazon EFS の KMS キーポリシーの詳細については、「[Amazon EFS の AWS KMS キーの使用](EFSKMS.md)」を参照してください。
## 新しいファイルシステムの保管時の暗号化の強制
AWS Identity and Access Management (IAM) アイデンティティベースのポリシーの `elasticfilesystem:Encrypted` IAM 条件キーを使用して、ユーザーが EFS ファイルシステムを作成する際に保管時の暗号化を強制することができます。条件キーの使用に関する詳細については、「[例: 暗号化されたファイルシステムの作成を強制する](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest)」を参照してください
また、 内でサービスコントロールポリシー (SCPs) を定義 AWS Organizations して、組織 AWS アカウント 内のすべての に Amazon EFS 暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、「 *AWS Organizations ユーザーガイド*」の[「サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)」を参照してください。
# Encrypting data in transit
Amazon EFS は、Transport Layer Security (TLS) による転送中のデータの暗号化をサポートしています。転送中のデータの暗号化が EFS ファイルシステムのマウントオプションとして宣言されると、Amazon EFS はファイルシステムのマウント時に EFS ファイルシステムとの安全な TLS 接続を確立します。すべての NFS トラフィックは、この暗号化された接続を介してルーティングされます。
## 転送中の暗号化の動作
EFS マウントヘルパーを使用してファイルシステムをマウントすることをお勧めします。これは、NFS `mount` でマウントする場合と比べてマウントプロセスを簡略化できるためです。EFS マウントヘルパーは、efs-proxy (efs-utils バージョン 2.0.0 以降) または stunnel (efs-utils の以前のバージョン) を使用して EFS ファイルシステムとの安全な TLS 接続を確立することでプロセスを管理します。
マウントヘルパーを使用していない場合でも、転送中のデータの暗号化を有効にすることができます。これを行うには、以下の手順に従います。
**マウントヘルパーを使用せずに転送中のデータの暗号化を有効にするには**
1. `stunnel` をダウンロードしてインストールし、アプリケーションがリッスンするポートを書き留めます。詳細については、「[`stunnel` のアップグレード](upgrading-stunnel.md)」を参照してください。
1. `stunnel` を実行し、TLS を使用して、ポート 2049 で EFS ファイルシステムに接続します。
1. NFS クライアントを使用して、最初のステップで書き留めたポート `localhost:port` に、`port` をマウントします。
接続ごとに転送中のデータ暗号化が設定されているため、設定された各マウントにはインスタンスで実行される専用の `stunnel` プロセスがあります。デフォルトでは、マウントヘルパーが使用する stunnel プロセスは 20449 から 20049 の間のローカルポートをリッスンし、ポート 2049 で Amazon EFS に接続します。
**注記**
デフォルトでは、TLS と EFS マウントヘルパーを使用している場合、マウントヘルパーは、オンライン証明書ステータスプロトコル (OCSP) および証明書ホスト名チェックを使用します。EFS マウントヘルパーは、stunnel プログラムを使用して TLS 機能を提供します。Linux のバージョンによっては、これらの TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていない場合があります。このような Linux バージョンのいずれかを使用している場合は、TLS を使用した EFS ファイルシステムのマウントに失敗します。
amazon-efs-utils パッケージのインストール後に、システムの stunnel のバージョンをアップグレードするには、[`stunnel` のアップグレード](upgrading-stunnel.md) を参照してください。
暗号化の問題については、「[暗号化のトラブルシューティング](troubleshooting-efs-encryption.md)」を参照してください。
転送中のデータの暗号化を使用する場合、NFS クライアント設定が変更されます。アクティブにマウントされたファイルシステムを検査する場合、次の例に示すように、127.0.0.1 または `localhost` にマウントされたことが表示されます。
```
$ mount | column -t
127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```
TLS および EFS マウントヘルパーを使用してマウントする場合、ローカルポートにマウントするために NFS クライアントを再設定します。EFS マウントヘルパーは、このローカルポートをリッスンするクライアント `stunnel` プロセスを開始し、`stunnel` は TLS を使用して、EFS ファイルシステムへの暗号化された接続を開きます。EFS マウントヘルパーは、この暗号化された接続と関連する設定をセットアップして維持します。
ローカルマウントポイントに対応する Amazon EFS ファイルシステム ID を確認するために、次のコマンドを使用できます。*efs-mount-point* を、ファイルシステムをマウントしたローカルパスに置き換えることを忘れないでください。
```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```
転送中のデータの暗号化に EFS マウントヘルパーを使用する場合は、`amazon-efs-mount-watchdog` というプロセスも作成されます。このプロセスは、各マウントの stunnel プロセスが実行されているかどうか、EFS ファイルシステムがアンマウントされたときに stunnel が停止されたかどうかを確認します。何らかの理由で、stunnel プロセスが予期せず終了した場合、ウォッチドッグプロセスにより再開されます。
# Amazon EFS の AWS KMS キーの使用
Amazon EFS は、キー管理のために AWS Key Management Service (AWS KMS) と統合されています。Amazon EFS は、次のようにカスタマーマネージドキーを使用してファイルシステムを暗号化します。
+ **保存時のメタデータの暗号化** – Amazon EFS は Amazon EFS に AWS マネージドキー 、`aws/elasticfilesystem` を使用して、ファイルシステムメタデータ (つまり、ファイル名、ディレクトリ名、ディレクトリの内容) を暗号化および復号します。
+ **保管中のデータの暗号化** – ファイルデータ (ファイルの内容) の暗号化と復号に使用するカスタマーマネージドキーを選択します。このカスタマーマネージドキーの許可を有効化、無効化、または削除することができます。このカスタマーマネージドキーは、以下の 2 つのタイプのいずれかになります。
+ **AWS マネージドキー Amazon EFS の** - これはデフォルトのカスタマーマネージドキー です`aws/elasticfilesystem`。カスタマーマネージドキーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、「[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing/)」を参照してください。
+ **カスタマー管理キー** - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。カスタマーマネージドキーの作成の詳細については、「 デベロッパーガイド」の[「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。 *AWS Key Management Service *
ファイルデータ暗号化と復号化のためにカスタマーマネージドキーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。詳細については、「[Amazon EFS の AWS KMS キーの使用](#EFSKMS)」を参照してください。
**重要**
Amazon EFS では、対称カスタマーマネージドキーのみを使用できます。Amazon EFS では、非対称カスタマーマネージドキーを使用することはできません。
保管時のデータの暗号化と復号は透過的に処理されます。ただし、Amazon EFS に固有の AWS アカウント IDs、 AWS KMS アクションに関連する AWS CloudTrail ログに表示されます。詳細については、「[encrypted-at-rest ファイルシステムの Amazon EFS ログファイルエントリ](logging-using-cloudtrail.md#efs-encryption-cloudtrail)」を参照してください。
## の Amazon EFS キーポリシー AWS KMS
キーポリシーはカスタマーマネージドキーへのアクセスを制御するための主要な方法です。キーポリシーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMSの キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストでは、暗号化された保管時のファイルシステムに対して Amazon EFS が必要とする、またはその他の方法でサポートする、 AWS KMSに関連するすべてのアクセス許可について説明します。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しいカスタマーマネージドキーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) カスタマーマネージドキーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\$1** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。許可の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMSの許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** – (必須) 指定されたカスタマーマネージドキーに関する詳細情報を提供します。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可により **KMS マネージドキーの選択**リストが設定されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。
### AWS マネージドキー for Amazon EFS KMS ポリシー
Amazon EFS の AWS マネージドキー の KMS ポリシー JSON `aws/elasticfilesystem`は次のとおりです。
```
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
## キーの状態とその効果
KMS キーの状態は、暗号化されたファイルシステムへのアクセスに直接影響します。
有効
通常のオペレーション - ファイルシステムへの完全な読み取りおよび書き込みアクセス
Disabled
しばらくすると、ファイルシステムにアクセスできなくなります。再有効化できます。
削除保留中
ファイルシステムにアクセスできなくなります。削除は、待機期間中にキャンセルできます。
[Deleted] (削除済み)
ファイルシステムには完全にアクセスできません。このアクションは元に戻せません。
**警告**
ファイルシステムに使用される KMS キーを無効化または削除するか、キーへの Amazon EFS アクセスを取り消すと、ファイルシステムにアクセスできなくなります。これにより、バックアップがない場合、データが失われる可能性があります。暗号化キーを変更する前に、必ず適切なバックアップ手順が設定されていることを確認してください。
# 暗号化のトラブルシューティング
**Topics**
+ [転送中のデータの暗号化を行うマウントが失敗する](#mounting-tls-fails)
+ [転送中のデータの暗号化を行うマウントが中断する](#mounting-tls-interrupt)
+ [Encrypted-at-rest ファイルシステムを作成できない](#unable-to-encrypt)
+ [使用できない暗号化されたファイルシステム](#unusable-encrypt)
## 転送中のデータの暗号化を行うマウントが失敗する
デフォルトでは、Amazon EFS マウントヘルパーを Transport Layer Security (TLS) で使用するときに、ホスト名のチェックが強制されます。一部のシステム (Red Hat Enterprise Linux や CentOS など) では、この機能はサポートされません。このような場合は、TLS を使用した EFS ファイルシステムのマウントは失敗します。
**実行するアクション**
クライアントで stunnel のバージョンをアップグレードして、ホスト名のチェックに対応することをお勧めします。詳細については、「[`stunnel` のアップグレード](upgrading-stunnel.md)」を参照してください。
## 転送中のデータの暗号化を行うマウントが中断する
ごくまれに、Amazon EFS ファイルシステムへの暗号化された接続がハングしたり、クライアント側のイベントによって中断されることがあります。
**実行するアクション**
転送時のデータ暗号化を使用した Amazon EFS ファイルシステムへの接続が中断される場合、次の手順を実行します。
1. クライアントで stunnel サービスが実行されていることを確認します。
1. ウォッチドッグアプリケーション `amazon-efs-mount-watchdog` が、クライアントで実行されていることを確認します。このアプリケーションが実行されているかどうかを確認するには、次のコマンドを使用します。
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. サポートログを確認します。詳細については、「[サポートログの取得](mount-helper-logs.md)」を参照してください。
1. 必要に応じて、stunnel ログを有効にしてそれらの情報を確認することもできます。`/etc/amazon/efs/efs-utils.conf` でログの設定を変更して、stunnel ログを有効にできます。ただし、変更を有効にするためには、マウントヘルパーでファイルシステムをアンマウントしてから再マウントする必要があります。
**重要**
stunnel ログを有効にすると、ファイルシステムのいくらかの容量が使用されます。
中断が続く場合は、 AWS サポートにお問い合わせください。
## Encrypted-at-rest ファイルシステムを作成できない
保管時に暗号化されるファイルシステムを新しく作成しようとしましたが、ただし、 AWS KMS が使用できないというエラーメッセージが表示されます。
**実行するアクション**
このエラーは、 で一時的に使用 AWS KMS できなくなったまれなケースで発生する可能性があります AWS リージョン。この場合、 が完全な可用性 AWS KMS に戻るまで待ってから、ファイルシステムの作成を再試行してください。
## 使用できない暗号化されたファイルシステム
暗号化されたファイルシステムが一貫して NFS サーバーエラーを返します。これらのエラーは、次のいずれか AWS KMS の理由で EFS が からマスターキーを取得できない場合に発生する可能性があります。
+ キーが無効になっています。
+ キーが削除されました。
+ Amazon EFS がキーを使用するためのアクセス許可が失効しました。
+ AWS KMS は一時的に利用できません。
**実行するアクション**
まず、 AWS KMS キーが有効になっていることを確認します。コンソールでキーを表示することで確認できます。詳細については、*AWS Key Management Service デベロッパーガイド*の「[キーの表示](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html)」を参照してください。
キーが有効になっていない場合は、有効化します。詳細については、*AWS Key Management Service デベロッパーガイド*の[「キーの有効化と無効化」](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)を参照してください。
キーの削除が保留中の場合、このステータスによってキーが無効になります。削除をキャンセルして、キーを再度有効にできます。詳細については、*AWS Key Management Service デベロッパーガイド*の「[キーの削除をスケジュールし、キャンセルする](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion)」を参照してください。
キーが有効で、まだ問題が発生している場合、またはキーの再有効化に問題がある場合は、 AWS サポートにお問い合わせください。
# インターネットのプライバシー
このトピックでは、Amazon EFS でサービスから他のロケーションまでの接続を保護する方法について説明します。
## サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック
プライベートネットワークと の間には 2 つの接続オプションがあります AWS。
+ AWS Site-to-Site VPN 接続。詳細については、[「 とは」を参照してください AWS Site-to-Site VPN。](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Direct Connect 接続。詳細については、[「 とは」を参照してください Direct Connect。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
ネットワーク経由で Amazon EFS にアクセスするには、 AWS 公開APIs を使用します。クライアントは Transport Layer 1.2 以降をサポートしている必要があります。TLS 1.3 以降をお勧めします。クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を備えた暗号スイートもサポートする必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。また、リクエストには、IAM プリンシパルに関連付けられたアクセスキー ID およびシークレットアクセスキーによる署名が必要です。または、リクエストへの署名のために一時的にセキュリティ認証情報を生成する [AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/) を使用することもできます。
## VPC と Amazon EFS API 間のトラフィック
仮想プライベートクラウド (VPC) と Amazon EFS API の間にプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成できます。この接続を使用して、インターネット経由でトラフィックを送信せずに VPC から Amazon EFS API を呼び出します。このエンドポイントは、インターネットゲートウェイ、NAT インスタンス、または仮想プライベートネットワーク (VPN) 接続を必要とせずに、Amazon EFS API への安全な接続を提供します。詳細については、「[Amazon EFS でのインターフェイス VPC エンドポイントの使用](efs-vpc-endpoints.md)」を参照してください。
## 同じリージョン内の AWS リソース間のトラフィック
Amazon EFS の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントは、Amazon EFS への接続のみを許可する VPC 内の論理エンティティです。Amazon VPC はリクエストを Amazon EFS にルーティングし、レスポンスを VPC にルーティングします。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)」を参照してください。