翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 の File Gateway によって保存されているオブジェクトを暗号化する
S3 File Gateway は、Amazon S3 に保存するデータに対して、以下のサーバー側の暗号化方法をサポートしています。
-
SSE-S3 — デフォルトでは、Amazon S3 バケットにアップロードされたすべての新しいオブジェクトは、Amazon S3 マネージドキーによるサーバー側の暗号化を使用します。詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 マネージドキーによるサーバー側の暗号化の使用」を参照してください。
-
SSE-KMS — AWS Key Management Service (AWS KMS) マネージドキーでサーバー側の暗号化を使用するようにファイル共有を設定できます。 AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けにスケーリングされたキー管理システムを提供するサービスです。詳細については、「 AWS Key Management Service デベロッパーガイド」のAWS 「 Key Management Service とは」を参照してください。
-
DSSE-KMS — AWS KMS キーを使用した二層式サーバー側の暗号化は、オブジェクトが Amazon S3 にアップロードされると 2 つの暗号化レイヤーをオブジェクトに適用します。これにより、多層暗号化のコンプライアンス基準を満たすことができます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の AWS KMS 「キーによる二層式サーバー側の暗号化の使用」を参照してください。
注記
DSSE-KMS および AWS KMS キーの使用には追加料金がかかります。詳細については、「AWS KMS 料金表
」を参照してください。
Storage Gateway コンソールまたは Storage Gateway API を使用して、新しいファイル共有を作成するときに暗号化方法を指定できます。コンソールの手順については、カスタム設定で NFS ファイル共有を作成する「」または「」を参照してくださいカスタム設定で SMB ファイル共有を作成する。対応する API コマンドの詳細については、AWS Storage Gateway API リファレンスのCreateNFSFileShare」またはCreateSMBFileShare」を参照してください。
Storage Gateway コンソールまたは Storage Gateway API を使用して、既存のファイル共有の暗号化設定を更新することもできます。コンソールの手順については、「」を参照してください既存のファイル共有のサーバー側の暗号化方法を変更する。対応する API コマンドの詳細については、AWS Storage Gateway API リファレンスのUpdateNFSFileShare」またはUpdateSMBFileShare」を参照してください。
注記
暗号化メソッドを更新すると、ゲートウェイは Amazon S3 で作成するすべての新しいオブジェクトと、今後更新または変更する保存済みオブジェクトに対して新しいメソッドを使用します。既存の Amazon S3 オブジェクトは、ゲートウェイによって更新または変更された場合にのみ、新しい暗号化メソッドを受け取ります。
重要
ファイル共有が、データを保存する Amazon S3 バケットと同じ暗号化タイプを使用していることを確認します。
暗号化に SSE-KMS または DSSE-KMS を使用するようにファイルゲートウェイを設定する場合は、ファイル共有に関連付けられた IAM ロールに kms:Encrypt、kms:GenerateDataKey、、kms:Decryptkms:ReEncrypt*、および アクセスkms:DescribeKey許可を手動で追加する必要があります。詳細については、Storage Gateway でのアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。
