翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 保管中のデータの暗号化
<a name="encryption-at-rest"></a>

保管時の暗号化は、EFS ファイルシステムに保存されているデータを暗号化します。これにより、コンプライアンス要件を満たし、機密データを不正アクセスから保護できます。組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。

**注記**  
 AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-3 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。

Amazon EFS コンソールを使用してファイルシステムを作成すると、保管時の暗号化がデフォルトで有効になります。 AWS CLI、API、または SDKs を使用してファイルシステムを作成する場合は、明示的に暗号化を有効にする必要があります。

EFS ファイルシステムを作成した後、暗号化設定を変更することはできません。つまり、暗号化されていないファイルシステムを暗号化するように変更することはできません。代わりに、[ファイルシステムをレプリケート](efs-replication.md)して、暗号化されていないファイルシステムから新しい暗号化されたファイルシステムにデータをコピーします。詳細については、「[既存の EFS ファイルシステムの保管時の暗号化を有効にするにはどうすればよいですか?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)」を参照してください。

## 保存時の暗号化の方法
<a name="howencrypt"></a>

暗号化されたファイルシステムでは、データとメタデータはストレージに書き込まれる前にデフォルトで暗号化され、読み取り時に自動的に復号されます。このプロセスは Amazon EFS で透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon EFS は、次のようにキー管理 AWS KMS に を使用します。
+ **ファイルデータの暗号化** – ファイルの内容は、指定した KMS キーを使用して暗号化されます。これは以下のいずれかになります。
  +  AWS 所有のキー for Amazon EFS (`aws/elasticfilesystem`) – デフォルトのオプション。追加料金はかかりません。
  + ユーザーが作成し管理するカスタマーマネージドキー – 追加のコントロールおよび監査機能を提供します。
+ **メタデータ暗号化** - ファイル名、ディレクトリ名、ディレクトリの内容は、Amazon EFS が内部的に管理するキーによって暗号化されます。

### 暗号化プロセス
<a name="encryption-atrest-process"></a>

ファイルシステムが作成されるか、同じアカウントのファイルシステムにレプリケートされると、Amazon EFS は[転送アクセスセッション (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) で発信者の認証情報を使用して、KMS 呼び出しを行います。CloudTrail ログでは、`kms:CreateGrant` 呼び出しはファイルシステムまたはレプリケーションを作成したのと同じユーザー ID によって行われたように見えます。CloudTrail で Amazon EFS サービス呼び出しを識別するには、値 `elasticfilesystem.amazonaws.com` を持つ `invokedBy` フィールドを探します。KMS キーのリソースポリシーは、FAS が呼び出すための `CreateGrant` アクションを許可する必要があります。

**重要**  
許可の制御はユーザーが管理し、いつでも取り消すことができます。許可を取り消すと、Amazon EFS は今後のオペレーションで KMS キーにアクセスできなくなります。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[許可の使用停止と取り消し](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html)」を参照してください。

カスタマーマネージド KMS キーを使用する場合、リソースポリシーは Amazon EFS サービスプリンシパルを許可し、特定のサービスエンドポイントへのアクセスを制限する `kms:ViaService` 条件を含める必要があります。例えば、次のようになります。

```
"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"
```

Amazon EFS は保管時のデータおよびメタデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。

Amazon EFS の KMS キーポリシーの詳細については、「[Amazon EFS の AWS KMS キーの使用](EFSKMS.md)」を参照してください。

## 新しいファイルシステムの保管時の暗号化の強制
<a name="enforce-encryption-at-rest"></a>

 AWS Identity and Access Management (IAM) アイデンティティベースのポリシーの `elasticfilesystem:Encrypted` IAM 条件キーを使用して、ユーザーが EFS ファイルシステムを作成する際に保管時の暗号化を強制することができます。条件キーの使用に関する詳細については、「[例: 暗号化されたファイルシステムの作成を強制する](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest)」を参照してください

また、 内でサービスコントロールポリシー (SCPs) を定義 AWS Organizations して、組織 AWS アカウント 内のすべての に Amazon EFS 暗号化を適用することもできます。のサービスコントロールポリシーの詳細については AWS Organizations、「 *AWS Organizations ユーザーガイド*」の[「サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)」を参照してください。