汎用 NAS およびエクストリーム NAS は、いずれもサーバ側暗号化をサポートしています。データに高いセキュリティ要件またはコンプライアンス要件がある場合は、この機能を有効にしてください。有効化すると、NAS はファイルシステムへの書き込み時にデータを暗号化し、アクセス時に透過的に復号します。本トピックでは、サーバ側暗号化の仕組み、サポート対象リージョン、および関連操作について説明します。
制限事項
-
暗号化は、ファイルシステム作成時のみ有効化できます。
-
一度有効化したファイルシステムの暗号化を無効化することはできません。
暗号化オプション
NAS は、業界標準の AES-256 アルゴリズムを使用してサーバ側暗号化を実行し、保存中のデータを保護します。この機能は、不正アクセスを防止するためのエンベロープ暗号化メカニズムを採用しています。暗号鍵は Key Management Service (KMS) によって生成・管理され、KMS は鍵の機密性、整合性、および可用性を保証します。詳細については、「ローカルでのエンベロープ暗号化によるデータの暗号化と復号」をご参照ください。
NAS は、異なるユースケースに対応する以下の 2 種類のサーバ側暗号化オプションを提供しています。
NAS マネージドキーの利用は無料です。カスタマーマネージドキーの利用には、KMS 鍵使用料として若干の費用が発生します。詳細については、「KMS 1.0 課金」をご参照ください。
-
NAS マネージドキー
このオプションでは、各ファイルシステムが NAS が完全に管理する鍵で暗号化されます。NAS は Key Management Service (KMS) 上にこの鍵を作成・管理します。ユーザーは鍵を表示したりその使用状況を監査したりできますが、削除や無効化はできません。
-
カスタマーマネージドキー
このオプションでは、暗号鍵を完全に制御できます。KMS のカスタマーマネージドキーを使用してファイルシステムの暗号化および復号を行います。この鍵を無効化または削除すると、その鍵で暗号化されたファイルシステムにはアクセスできなくなります。カスタマーマネージドキーは、以下のいずれかの方法で取得できます。
-
KMS で鍵を作成する:KMS 上で直接カスタマーマスターキー (CMK) を作成できます。これにより、有効化、無効化、削除、キーのローテーションなど、鍵のライフサイクルを管理できます。
-
BYOK (Bring Your Own Key) を使用する:特定のセキュリティ要件およびコンプライアンス要件を満たすために、オンプレミス環境または他のソースから KMS に鍵をインポートし、CMK として使用できます。詳細については、「キーマテリアルのインポート」をご参照ください。
-
操作手順
NAS コンソールでファイルシステムを作成する際、ユースケースに応じて サービスキー暗号化 または カスタマーマネージドキー を [Encryption Type] パラメーターに設定します。詳細な手順については、「汎用型 NAS ファイルシステムの作成」および「エクストリーム NAS ファイルシステムの作成」をご参照ください。
サポート対象リージョン
-
汎用 NAS:すべてのリージョンで利用可能です。
-
エクストリーム NAS:中国東部 1 Finance を除くすべてのリージョンで利用可能です。
よくある質問
関連トピック
汎用 NAS は、クライアントとファイルシステム間でデータが移動する際の保護のために、転送中暗号化もサポートしています。ファイルシステムをマウントする際にこの機能を有効化することで、通信中の傍受や改ざんを防止できます。詳細については、「NFS ファイルシステムの転送中暗号化」または「SMB ファイルシステムの転送中暗号化」をご参照ください。