S3の暗号化について

 

 

S3の暗号化について

サーバーサイド暗号化

サーバーサイド暗号化を使用すると、Amazon S3 はオブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときにS3側で自動で復号します。

S3 バケットに対して暗号化キーによるサーバーサイド暗号化 を有効化すると、各アクセスログファイルは、S3 バケットに保存される前に自動的に暗号化され、アクセス時に復号されます。

ログも自動で暗号化されるため、S3バケットの暗号化と別に設定する必要はありません。

 

S3のデフォルト暗号化

S3のデフォルト暗号化を有効化する際に、SSE-S3SSE-KMSのどちらかの暗号化方式を選択することが出来ます。

SSE-S3

SSE-S3はAES-256を利用しています。

SSE-S3はS3の暗号化と復号を自動で実施してくれますが、その分、利用状況の監査証跡が取れないことがデメリットになります。

また、SSE-S3は追加料金が発生せず、APIコールの制限を考慮する必要もないのがメリットです。

SSE-KMS

一方でSSE-KMSは、暗号化キーの管理機能をマネージドサービスで提供してくれます。そのため、CloudTrailによりアクティビティの証跡ログが取得可能であり、証跡が必要な場合はSSE-KMSを利用します

 

バケットポリシー(バケットの暗号化)

Amazon S3 によってバケットポリシーが評価され適用された後、バケットの暗号化が適用されます。

バケット暗号化設定を有効にしていても、暗号化情報なしの PUT リクエストを拒否するバケットポリシーがある場合、該当PUT リクエストは拒否されてしまうため、S3への暗号化したデータ登録に失敗してしまいます。

 

デフォルト暗号化を実施すると指定されたバケット全体で登録されるオブジェクトが暗号化されます。バケット内においてデフォルト暗号化で範囲を指定することはできません。

 

SSE-KMSの暗号化キーの指定を失敗すると、暗号化自体の設定が有効化されません。

 

 

 

おすすめの記事