汎用NASファイルシステムとExtreme NASファイルシステムの両方が、サーバー側の暗号化機能をサポートしています。 高度なセキュリティまたはコンプライアンスが必要な場合は、サーバー側の暗号化機能を有効にすることを推奨します。 この機能を有効にすると、NASはファイルシステムに保存されているデータを暗号化します。 ファイルシステムのデータにアクセスすると、NASは暗号化されたデータを自動的に復号化し、データを返します。 このトピックでは、サーバー側の暗号化機能、サポートされるリージョン、および関連する操作について説明します。
制限事項
ファイルシステムを作成する場合にのみ、データ暗号化機能を有効にできます。
ファイルシステムのデータ暗号化機能を無効にすることはできません。
暗号化方法
高度なセキュリティまたはコンプライアンスが必要な場合は、サーバー側の暗号化機能を有効にすることを推奨します。 サーバー側の暗号化では、業界標準のAES-256アルゴリズムを使用してキーを生成します。 これらのキーは、ファイルシステムの静的データを保護するために使用されます。 不正なデータアクセスを防ぐために、サーバー側の暗号化ではエンベロープ暗号化メカニズムを使用します。 サーバー側暗号化のキーは、Key Management Service (KMS) によって生成および管理されます。 KMSを使用すると、キーの機密性、整合性、可用性を確保できます。 詳細については、「エンベロープ暗号化を使用したローカルデータの暗号化と復号化」をご参照ください。
NASは、次の2つのシナリオ固有のサーバー側暗号化方法をサポートしています。
NASによってホストされているキーを無料で使用できます。 KMSによってホストされるカスタムキーを使用する場合、少額の料金が請求されます。 詳細については、「KMSの課金」をご参照ください。
NAS管理キー
NAS管理キーを使用してファイルシステムを暗号化できます。 NASはKMSコンソールでキーを作成および管理します。 キーを表示し、キーの権限を変更できます。 ただし、キーを削除または無効にすることはできません。
カスタムキー
KMSによってホストされているカスタムキーを使用して、ファイルシステムを暗号化および復号できます。 キーが無効または削除された場合、キーによって暗号化されたファイルシステムにアクセスできません。 カスタムキーは、次の2つの方法で生成されます。
KMSを使用して作成する: KMSコンソールでカスタマーマスターキー (CMK) を作成できます。 次に、これらのCMKを設定および管理できます。 CMKを有効、無効、削除、およびローテーションできます。
独自のキーの取得 (BYOK): セキュリティに関する特定の要件を満たすために、オンプレミスサービスまたはクラウドサービスによって生成されたBYOKキーをKMSにインポートできます。 これらのキーはCMKとして使用されます。 詳細については、「キーマテリアルのインポート」をご参照ください。
手順
NAS コンソールにログインします。 購入ページで、ビジネス要件に基づいて、暗号化タイプパラメーターをNAS管理キーまたはカスタムキー (KMS) に設定します。 詳細については、「NASコンソールでの汎用NASファイルシステムの作成」および「NASコンソールでのExtreme NASファイルシステムの作成」をご参照ください。
サポートされるリージョン
汎用NASファイルシステム: すべてのリージョン
Extreme NASファイルシステム: China East 1 Financeを除くすべてのリージョン
よくある質問
関連ドキュメント
汎用NASファイルシステムは、転送中の暗号化をサポートします。 ファイルシステムをマウントするときに、転送中の暗号化機能を有効にできます。 この機能により、送信中にデータが盗まれたり改ざんされたりしないようになります。 詳細については、「NFSファイルシステムの転送中の暗号化」または「SMBファイルシステムの転送中の暗号化」をご参照ください。