翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 のファイルゲートウェイによって保存されているオブジェクトを暗号化する
S3 ファイルゲートウェイは、Amazon S3 に保存するデータのサーバー側の暗号化に次の方法をサポートしています。
-
SSE-S3 - デフォルトでは、Amazon S3 バケットにアップロードされるすべての新しいオブジェクトは、Amazon S3 マネージドキーを使用して、サーバー側の暗号化を使用します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化の使用」を参照してください。
-
SSE-KMS — AWS Key Management Service (AWS KMS) マネージドキーでサーバー側の暗号化を使用するようにファイル共有を設定できます。 AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けにスケーリングされたキー管理システムを提供するサービスです。詳細については、「 AWS Key Management Service デベロッパーガイド」のAWS 「 Key Management Service とは」を参照してください。
-
DSSE-KMS — AWS KMS キーによる二層式サーバー側の暗号化は、オブジェクトが Amazon S3 にアップロードされると 2 つの暗号化レイヤーをオブジェクトに適用します。これは、マルチレイヤー暗号化のコンプライアンス基準を満たすのに役立ちます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の AWS KMS 「キーによる二層式サーバー側の暗号化の使用」を参照してください。
注記
DSSE-KMS および AWS KMS キーの使用には追加料金がかかります。詳細については、「AWS KMS 料金表
」を参照してください。
Storage Gateway コンソールまたは Storage Gateway API を使用して、新しいファイル共有を作成するときに暗号化方法を指定できます。コンソールの手順については、「カスタム設定を使用して NFS ファイル共有を作成する」または「カスタム設定で SMB ファイル共有を作成する」を参照してください。対応する API コマンドの詳細については、AWS Storage Gateway API リファレンスの「CreateNFSFileShare」または「CreateSMBFileShare」を参照してください。
Storage Gateway コンソールまたは Storage Gateway API を使用して、既存のファイル共有の暗号化設定を更新することもできます。コンソールの手順については、「既存のファイル共有のサーバー側の暗号化方法を変更する」を参照してください。対応する API コマンドの詳細については、AWS Storage Gateway API リファレンスの「UpdateNFSFileShare」または「UpdateSMBFileShare」を参照してください。
注記
暗号化方法を更新すると、ゲートウェイは Amazon S3 で作成するすべての新しいオブジェクトと、今後更新または変更される保存済みオブジェクトに対して新しい方法を使用します。既存の Amazon S3 オブジェクトは、ゲートウェイによって更新または変更された場合にのみ、新しい暗号化方法を受け取ります。
重要
ファイル共有が、データを保存する Amazon S3 バケットと同じ暗号化タイプを使用していることを確認してください。
暗号化に SSE-KMS または DSSE-KMS を使用するようにファイルゲートウェイを設定する場合は、ファイル共有に関連付けられた IAM ロールに kms:Encrypt、kms:Decrypt、kms:ReEncrypt*、kms:GenerateDataKey、kms:DescribeKey のアクセス許可を手動で追加する必要があります。詳細については、「Storage Gateway でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。
