投稿日: Aug 8, 2022
新しい Amazon S3 条件キーがあれば、顧客提供のキーによるサーバー側の暗号化 (SSE-C) の使用を制御するのに役立つポリシーを記述することができます。Amazon S3 条件キーを使用することにより、バケットまたは IAM ポリシーのオプションとなる「Condition」要素でアクセス許可を付与する際に、条件を指定できます。そのような条件の 1 つとして、任意の暗号化方法を使用するサーバー側の暗号化 (SSE) を要求することが挙げられます。
SSE-C を使用する場合、ユーザーが暗号化キーを提供および管理し、S3 がオブジェクトデータの暗号化および復号を実装します。お客様の大半は、S3 に組み込まれた暗号化キーに関するサポートを、S3 が管理するキー (SSE-S3) または AWS Key Management Service (KMS) キー (SSE-KMS) のいずれかを使用して活用しています。ただし、S3 に保存されている機密データ向けの制御レイヤーを追加するために、またはコンプライアンス規制を満たすために、SSE-C を選択しているお客様もいらっしゃいます。そのような場合、すべてのバケットへのアップロードで SSE-C を使用したいと感じるかもしれません。そうでなければ、ユーザーとその顧客が暗号化キーを保管しなくてもよいように、SSE-C を使用したオブジェクトのアップロードができないようにしたいと感じるかもしれません。新しい条件キーを使用すれば、SSE-C の使用を要求するか制限するかを選択することができます。
SSE-C で暗号化されたオブジェクトに対する S3 条件キーは、AWS GovCloud (米国) リージョン、Sinnet が運営する AWS 中国 (北京) リージョン、NWCD が運営する AWS 中国 (寧夏) リージョンを含む、すべての商用 AWS リージョンで追加費用なしで利用できます。新しい条件キーの使用開始方法については、顧客提供の暗号化キーによるサーバー側の暗号化を使用したデータ保護に関するドキュメントをご覧ください。S3 条件キーの詳細については、S3 ユーザーガイドをご覧ください。