翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 保管中のデータの暗号化
保管中のデータの暗号化は、 AWS マネジメントコンソール、、または Amazon FSx API AWS CLIまたはいずれかの SDK を使用してプログラムでAmazon FSx for Lustreファイルシステムを作成すると、自動的に有効になります。 AWS SDKs 組織では、特定の分類に合致する、または特定のアプリケーション、ワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。永続的なファイルシステムを作成する場合は、データを暗号化する AWS KMS キーを指定できます。スクラッチファイルシステムを作成すると、データは Amazon FSx によって管理されるキーを使用して暗号化されます。コンソールを使用して保管中に暗号化されたファイルシステムを作成する方法の詳細については、「[Amazon FSx for Lustre ファイルシステムの作成](getting-started.md#getting-started-step1)」を参照してください。
**注記**
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。
FSx for Lustre の使用方法の詳細については AWS KMS、「」を参照してください[Amazon FSx for Lustre での の使用方法 AWS KMS](#FSXKMS)。
## 保存時の暗号化の方法
暗号化されたファイルシステムの場合、データとメタデータはファイルシステムに書き込まれる前に自動的に暗号化されます。同様に、データとメタデータが読み取られると、アプリケーションに提示される前に自動的に復号化されます。このプロセスは Amazon FSx for Lustre で透過的に処理されるため、アプリケーションを変更する必要はありません。
Amazon FSx for Lustre は、保管中のファイルシステムデータの暗号化に、業界スタンダードの AES-256 暗号化アルゴリズムを使用します。詳細については、「AWS Key Management Service デベロッパーガイド」の「[暗号化のベーシック](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)」を参照してください。
## Amazon FSx for Lustre での の使用方法 AWS KMS
Amazon FSx for Lustre はデータがファイルシステムに書き込まれる前にデータを自動的に暗号化し、読み取り時に自動的に復号化します。データは XTS-AES-256 ブロック暗号を使用して暗号化されます。すべてのスクラッチ FSx for Lustre ファイルシステムは、保管時に によって管理されるキーで暗号化されます AWS KMS。 はキー管理 AWS KMS のために とAmazon FSx for Lustre統合されています。保管時にスクラッチファイルシステムの暗号化に使用されるキーは、ファイルシステムごとに一意であり、ファイルシステムの削除後に破棄されます。永続ファイルシステムの場合、データの暗号化と復号化に使用される KMS キーを選択します。永続ファイルシステムを作成するときに使用するキーを指定します。この KMS キーの許可を有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。
+ **AWS マネージドキー for Amazon FSx** – これはデフォルトの KMS キーです。KMS キーの作成と保存には料金はかかりませんが、利用料金はかかります。詳細については、[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing/)を参照してください。
+ **カスタマー管理キー** - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。カスタマーマネージドキーの作成の詳細については、「 デベロッパーガイド」の[「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。* AWS Key Management Service *
ファイルデータ暗号化と復号化の KMS キーとして顧客管理キーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 はキーを 1 年に 1 回 AWS KMS 自動的にローテーションします。また、カスタマー管理キーでは、カスタマー管理キーへのアクセスを無効にしたり、再び有効化したり、削除したり、取り消すタイミングを随時選択することができます。
**重要**
Amazon FSx は、KMS の対称暗号化キーのみを受け入れます。Amazon FSx では、非対称 KMS キーを使用することはできません。
### の Amazon FSx キーポリシー AWS KMS
キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「[AWS KMSの キーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストで、Amazon FSx でサポートされる保管時のファイルシステムの暗号化 AWS KMSに関連するすべてのアクセス許可について説明します。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しい KMS キーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\*** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。権限の詳細については、「*AWS Key Management Service 開発者ガイド*」の「[権限の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** - (必須) 指定された KMS キーに関する詳細情報を提供します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可により KMS キーを選択するためのリストに入力されます。最高のユーザーエクスペリエンスを提供するには、この許可を使用することをお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。