翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中のデータの暗号化

保管時の暗号化は、EFS ファイルシステムに保存されているデータを暗号化します。これにより、コンプライアンス要件を満たし、機密データを不正アクセスから保護できます。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。

Amazon EFS コンソールを使用してファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。 AWS CLI、API、または SDKs を使用してファイルシステムを作成する場合は、明示的に暗号化を有効にする必要があります。

EFS ファイルシステムを作成した後、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、ファイルシステムをレプリケートして、暗号化されていないファイルシステムから新しい暗号化されたファイルシステムにデータをコピーします。詳細については、「既存の EFS ファイルシステムの保管時の暗号化を有効にするにはどうすればよいですか?」を参照してください。

保存時の暗号化の方法

暗号化されたファイルシステムでは、データとメタデータはストレージに書き込まれる前にデフォルトで暗号化され、読み取り時に自動的に復号されます。このプロセスは Amazon EFS で透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon EFS は、次のようにキー管理 AWS KMS に を使用します。

暗号化プロセス

ファイルシステムが作成されるか、同じアカウントのファイルシステムにレプリケートされると、Amazon EFS は転送アクセスセッション (FAS) で発信者の認証情報を使用して、KMS 呼び出しを行います。CloudTrail ログでは、kms:CreateGrant 呼び出しはファイルシステムまたはレプリケーションを作成したのと同じユーザー ID によって行われたように見えます。CloudTrail で Amazon EFS サービス呼び出しを識別するには、値 elasticfilesystem.amazonaws.com を持つ invokedBy フィールドを探します。KMS キーのリソースポリシーは、FAS が呼び出すための CreateGrant アクションを許可する必要があります。

カスタマーマネージド KMS キーを使用する場合、リソースポリシーは Amazon EFS サービスプリンシパルを許可し、特定のサービスエンドポイントへのアクセスを制限する kms:ViaService 条件を含める必要があります。例えば、次のようになります。

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS は保管時のデータおよびメタデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。

Amazon EFS の KMS キーポリシーの詳細については、「Amazon EFS の AWS KMS キーの使用」を参照してください。

新しいファイルシステムの保管時の暗号化の強制

AWS Identity and Access Management (IAM) アイデンティティベースのポリシーの elasticfilesystem:Encrypted IAM 条件キーを使用して、ユーザーが EFS ファイルシステムを作成する際に保管時の暗号化を強制することができます。条件キーの使用に関する詳細については、「例: 暗号化されたファイルシステムの作成を強制する」を参照してください

また、 内でサービスコントロールポリシー (SCPs) を定義 AWS Organizations して、組織 AWS アカウント 内のすべての に Amazon EFS 暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、「 AWS Organizations ユーザーガイド」の「サービスコントロールポリシー」を参照してください。