セキュリティ - Amazon EKS
セキュリティおよびコンプライアンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ

セキュリティおよびコンプライアンス

暗号化準拠のストレージに S3 と KMS を検討する

特に指定しない限り、すべての S3 バケットはデフォルトで SSE-S3 を使用して保管中のオブジェクトを暗号化します。ただし、代わりに AWS Key Management Service (AWS KMS) キー (SSE-KMS) によるサーバー側の暗号化を使用するようにバケットを設定することもできます。AWS KMS のセキュリティ制御は、暗号化関連のコンプライアンス要件を満たすのに役立ちます。これらの KMS キーを使用して、Amazon S3 バケットのデータを保護できます。S3 バケットで SSE-KMS 暗号化を使用する場合、AWS KMS キーはバケットと同じリージョンに存在する必要があります。

SSE-KMS に S3 バケットキーを使用するように汎用バケットを設定し、Amazon S3 から AWS KMS へのリクエストトラフィックを減らすことで、AWS KMS リクエストコストを最大 99% 削減します。S3 バケットキーは、ディレクトリバケット内の および オペレーションで常に有効になっており、無効にすることはできません。 GET PUT

Amazon S3 Express One Zone は、S3 ディレクトリバケットと呼ばれる特定のタイプのバケットを使用することに注意してください。ディレクトリバケットは S3 Express One Zone ストレージクラス専用であり、高性能で低レイテンシーのアクセスを可能にします。S3 ディレクトリバケットでデフォルトのバケット暗号化を設定するには、次の例のように、AWS CLI を使用し、エイリアスではなく KMS キー ID または ARN を指定します。

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

EKS ポッドの IAM ロールに、暗号化されたオブジェクトにアクセスするための KMS アクセス許可 ( などkms:Decrypt) があることを確認します。これをステージング環境でテストするには、サンプルモデルをバケットにアップロードし、ポッドにマウントし (Mountpoint S3 CSI ドライバー経由など)、ポッドが暗号化されたデータをエラーなしで読み取れることを確認します。AWS CloudTrail 経由でログを監査し、暗号化要件への準拠を確認します。セットアップの詳細とキー管理については、KMS ドキュメントを参照してください。