翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

保管時の暗号化は、EFS ファイルシステムに保存されているデータを暗号化します。これにより、コンプライアンス要件を満たし、機密データを不正アクセスから保護できます。組織では、特定の分類を満たす、または特定のアプリケーション、ワークロード、または環境に関連付けられているすべてのデータの暗号化が必要になる場合があります。

Amazon EFS コンソールを使用してファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。 AWS CLI、API、または SDKs を使用してファイルシステムを作成する場合は、明示的に暗号化を有効にする必要があります。

EFS ファイルシステムを作成した後は、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、ファイルシステムをレプリケートして、暗号化されていないファイルシステムから新しい暗号化されたファイルシステムにデータをコピーします。詳細については、「既存の EFS ファイルシステムの保管時の暗号化を有効にするにはどうすればよいですか？」を参照してください。

保存時の暗号化の方法

暗号化されたファイルシステムでは、データとメタデータはストレージに書き込まれる前にデフォルトで暗号化され、読み取り時に自動的に復号されます。これらのプロセスは Amazon EFS によって透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon EFS は、次のようにキー管理 AWS KMS に を使用します。

暗号化プロセス

ファイルシステムが作成または同じアカウントのファイルシステムに複製されると、Amazon EFS は転送アクセスセッション (FAS) を使用して発信者の認証情報を使用して KMS 呼び出しを行います。CloudTrail ログでは、kms:CreateGrant呼び出しはファイルシステムまたはレプリケーションを作成したのと同じユーザー ID によって行われたように見えます。CloudTrail で Amazon EFS サービスコールを識別するには、値 を持つ invokedByフィールドを探しますelasticfilesystem.amazonaws.com。KMS キーのリソースポリシーでは、FAS が を呼び出すための CreateGrantアクションを許可する必要があります。

カスタマーマネージド KMS キーを使用する場合、リソースポリシーは Amazon EFS サービスプリンシパルを許可し、特定のサービスエンドポイントへのアクセスを制限するkms:ViaService条件を含める必要があります。例:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS は、業界標準の AES-256 暗号化アルゴリズムを使用して、保管中のデータとメタデータを暗号化します。

Amazon EFS の KMS キーポリシーの詳細については、「」を参照してくださいAmazon EFS の AWS KMS キーの使用。

新しいファイルシステムの保管時の暗号化の強制

AWS Identity and Access Management (IAM) アイデンティティベースのポリシーで elasticfilesystem:Encrypted IAM 条件キーを使用して、ユーザーが EFS ファイルシステムを作成するときに保管時の作成を強制できます。条件キーの使用に関する詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください

また、 内でサービスコントロールポリシー (SCPs) を定義 AWS Organizations して、組織 AWS アカウント 内のすべての に Amazon EFS 暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、「 AWS Organizations ユーザーガイド」の「サービスコントロールポリシー」を参照してください。