翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 保管中のデータの暗号化
<a name="encryption-at-rest"></a>

すべての Amazon FSx ファイルシステムは、AWS Key Management Service (AWS KMS) を使用して管理されるキーを使用して保存時に暗号化されます。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号されます。このプロセスは Amazon FSx で透過的に処理されるため、アプリケーションを変更する必要はありません。

Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、保存中の Amazon FSx データとメタデータを暗号化します。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[暗号化の基本](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)」を参照してください。

**注記**  
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 の推奨事項に一致しています。

## Amazon FSx が AWS KMS を使用する方法
<a name="EFSKMS"></a>

Amazon FSx は、AWS KMS キー管理のために統合されています。Amazon FSx は、AWS KMS key を使用してファイルシステムを暗号化します。ファイルシステム (データとメタデータの両方) の暗号化と復号化に使用する KMS キーを選択します。この KMS キーの許可は、有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。
+ **AWS マネージドキー** - これはデフォルトの KMS キーで、無料で使用できます。
+ **顧客管理キー** - これは、複数のユーザーまたはサービスに対してキーポリシーと付与を設定できるため、使用するのに最も柔軟な KMS キーです。カスタマーマネージドキーの作成の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。

ファイルデータ暗号化と復号化の KMS キーとして顧客管理キーを使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、AWS KMS は 1 年に 1 回キーを自動的にローテーションします。さらに、カスタマーマネージドキーを使用すると、いつでも KMS キーへのアクセスを無効化、再有効化、削除、または取り消すタイミングを選択できます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS keys のローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。

## AWS KMSの Amazon FSx キーポリシー
<a name="FSxKMSPolicy"></a>

キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS でのキーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストで、Amazon FSx でサポートされる保管時のファイルシステムの暗号化の、AWS KMS に関連するすべてのアクセス許可について説明します。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストにします。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化された平文です。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** - (オプション) クライアント側にデータのプレーンテキストを公開することなく、サーバー側で新しい KMS キーを使用してデータを暗号化します。データは最初に復号化され、次に再暗号化されます。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\$1** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。権限の詳細については、「AWS Key Management Service開発者ガイド」の「[権限の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** - (必須) 指定された KMS キーに関する詳細情報を提供します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可が KMS キーのリストに追加されます。最高のユーザーエクスペリエンスを提供するためには、この許可の使用をお勧めします。この許可は、デフォルトのキーポリシーに含まれています。