翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon FSx for Windows File Server でのデータ保護
<a name="data-protection-encryption"></a>

「AWS [共有責任モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」「」は、Amazon FSx for Windows File Server のデータ保護に適用されます。このモデルで説明されているように、「AWS」 は、「AWS クラウド」 のすべてを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。

データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報は、タグ、または**名前**フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、またはAWS SDK を使用して FSx for Windows File Server またはその他のAWS のサービスを操作する場合が含まれます。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。



## FSx for Windows File Server でのデータ暗号化
<a name="data-encryption"></a>

Amazon FSx for Windows File Server は、保存データの暗号化と転送中のデータの暗号化をサポートしています。保管中のデータの暗号化は、Amazon FSx ファイルシステムの作成時に自動的に有効になります。転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートするコンピューティングインスタンスにマップされたファイル共有でサポートされます。Amazon FSx は、アプリケーションを変更することなくファイルシステムにアクセスする際に、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。

### 暗号化を使用するタイミング
<a name="whenencrypt"></a>

保存中のデータとメタデータの暗号化をリクエストする企業ポリシーまたは規制ポリシーの影響をユーザーの組織が受ける場合は、転送中のデータの暗号化を使用してファイルシステムをマウントする暗号化ファイルシステムを作成することをお勧めします。

ユーザーの組織が、保管中のデータとメタデータの暗号化が必要な企業または規制ポリシーの対象となる場合は、データは保管中に自動的に暗号化されます。また、転送中のデータの暗号化を使用してファイルシステムをマウントすることにより転送中のデータの暗号化を有効にすることも、推奨されています。

# 保管中のデータの暗号化
<a name="encryption-at-rest"></a>

すべての Amazon FSx ファイルシステムは、AWS Key Management Service (AWS KMS) を使用して管理されるキーを使用して保存時に暗号化されます。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号されます。このプロセスは Amazon FSx で透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、保存中の Amazon FSx データとメタデータを暗号化します。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[暗号化の基本](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)」を参照してください。

**注記**  
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 の推奨事項に一致しています。

## Amazon FSx が AWS KMS を使用する方法
<a name="EFSKMS"></a>

Amazon FSx は、AWS KMS キー管理のために統合されています。Amazon FSx は、AWS KMS key を使用してファイルシステムを暗号化します。ファイルシステム (データとメタデータの両方) の暗号化と復号化に使用する KMS キーを選択します。この KMS キーの許可は、有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。
+ **AWS マネージドキー** - これはデフォルトの KMS キーで、無料で使用できます。
+ **顧客管理キー** - これは、複数のユーザーまたはサービスに対してキーポリシーと付与を設定できるため、使用するのに最も柔軟な KMS キーです。カスタマーマネージドキーの作成の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。

ファイルデータ暗号化と復号化の KMS キーとして顧客管理キーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、AWS KMS は 1 年に 1 回キーを自動的にローテーションします。さらに、カスタマーマネージドキーを使用すると、いつでも KMS キーへのアクセスを無効化、再有効化、削除、または取り消すタイミングを選択できます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS keys のローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。

## AWS KMSの Amazon FSx キーポリシー
<a name="FSxKMSPolicy"></a>

キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS でのキーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストで、Amazon FSx でサポートされる保管時のファイルシステムの暗号化の、AWS KMS に関連するすべてのアクセス許可について説明します。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストにします。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しい KMS キーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\$1** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。権限の詳細については、「AWS Key Management Service開発者ガイド」の「[権限の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** - (必須) 指定された KMS キーに関する詳細情報を提供します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可が KMS キーのリストに追加されます。最高のユーザーエクスペリエンスを提供するためには、この許可の使用をお勧めします。この許可は、デフォルトのキーポリシーに含まれています。

# 転送中のデータの暗号化
<a name="encryption-in-transit"></a>

転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートするコンピューティングインスタンスにマップされたファイル共有でサポートされます。これには、Windows Server 2012 および Windows 8 以降のすべての Windows バージョンと、Samba クライアントバージョン 4.2 以降を搭載したすべての Linux クライアントが含まれます。Amazon FSx for Windows File Server は、アプリケーションを変更することなくファイルシステムにアクセスするときに、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。

SMB 暗号化は、暗号化アルゴリズムとして AES-128-GCM または AES-128-CCM (クライアントが SMB 3.1.1 をサポートしている場合は GCM バリアントが選択されます) を使用し、SMB Kerberos セッションキーを使用した署名によるデータ整合性も提供します。AES-128-GCM を使用すると、パフォーマンスが向上します。例えば、暗号化された SMB 接続を介して大きなファイルをコピーする場合のパフォーマンスが最大 2 倍向上します。

転送中のデータを常に暗号化するためのコンプライアンス要件を満たすために、ファイルシステムへのアクセスを制限して、SMB 暗号化をサポートするクライアントへのアクセスのみを許可することができます。ファイル共有ごと、またはファイルシステム全体への転送中の暗号化を有効または無効にすることもできます。これにより、同じファイルシステム上で暗号化されたファイル共有と暗号化されていないファイル共有を混在させることができます。

## 転送時の暗号化の管理
<a name="manage-encrypt-in-transit"></a>

一連のカスタム PowerShell コマンドを使用して、 FSx for Windows File Server ファイルシステムおよびクライアント間の転送中のデータの暗号化をコントロールできます。SMB 暗号化をサポートするクライアントのみにファイルシステムアクセスを制限して、送信中のデータが常に暗号化されるようにできます。転送中のデータの暗号化の強制を有効にすると、SMB 3.0 暗号化をサポートしていないクライアントからファイルシステムにアクセスするユーザーは、暗号化が有効になっているファイル共有にアクセスできなくなります。

また、ファイルサーバーレベルの代わりに、ファイル共有レベルで転送中のデータの暗号化をコントロールすることもできます。機密データを含む一部のファイル共有に対して転送中の暗号化を強制し、すべてのユーザーが他のファイル共有にアクセスできるようにする場合は、ファイル共有レベルの暗号化コントロールを使用して、暗号化されているファイル共有と暗号化されていないファイル共有を同じファイルシステム上に混在させることができます。サーバー全体の暗号化は、共有レベルの暗号化よりも優先されます。グローバル暗号化が有効になっている場合、特定の共有の暗号化を選択的に無効にすることはできません。

PowerShell でのリモート管理に Amazon FSx CLI を使用して、ファイルシステムの転送中の暗号化を管理できます。この CLI を使用する方法については、「[PowerShell での Amazon FSx CLI の使用](administering-file-systems.md#remote-pwrshell)」を参照してください。

ファイルシステム上でユーザーの転送中の暗号化を管理するために使用できるコマンドは次のとおりです。


| 転送コマンドの暗号化 | 説明 | 
| --- | --- | 
|  **Get-FSxSmbServerConfiguration**  |  サーバーメッセージブロック (SMB) サーバー設定を取得します。システムレスポンスでは、`EncryptData` および `RejectUnencryptedAccess` プロパティの値に基づいて、ファイルシステムの転送時の暗号化設定を決定できます。  | 
|  **Set-FSxSmbServerConfiguration**  |  このコマンドには、ファイルシステム上で転送中の暗号化を全体的に設定するための 2 つのオプションがあります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/encryption-in-transit.html)  | 
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | – このパラメータを `True` に設定して、共有の転送中のデータ暗号化をオンにします。このパラメータを `False` に設定して、共有の転送中データ暗号化をオフにします。 | 

各コマンドのオンラインヘルプには、すべてのコマンドオプションのリファレンスが記載されています。このヘルプにアクセスするには、**-?** (例えば、 **Get-FSxSmbServerConfiguration -?**) のコマンドを実行します。