投稿日: Jun 13, 2023
Amazon S3 のオブジェクトにサーバー側暗号化の 2 つの独立した層を適用することができるようになりました。AWS Key Management Service (DSSE-KMS) に保存されているキーによる二層サーバー側暗号化は、FIPS 準拠に関する国家安全保障局 (FIPS) CNSSP 15 および 2 層の CNSA 暗号化に関する保管時のデータ機能パッケージ (DAR CP) バージョン 5.0 のガイダンスに適合するように設計されています。Amazon S3 は、ユーザーがオブジェクトレベルで 2 層の暗号化を適用し、両方の層で使用されるデータキーを制御できる唯一のクラウドオブジェクトストレージサービスです。DSSE-KMS などの S3 機能は精査され、最高機密のワークロードでの使用が認められているため、世界中のすべてのユーザーにメリットがあります。
DSSE-KMS は、クライアント側の暗号化に必要なインフラストラクチャに投資することなく、データに 2 層の暗号化を適用するプロセスを簡素化します。暗号化のレイヤーごとに、256 ビットの Advanced Encryption Standard with Galois Counter Mode (AES-GCM) の実装のアルゴリズムが異なります。DSSE-KMS は AWS Key Management Service (KMS) を使用してデータキーを生成するため、キーごとに権限を設定してキーローテーションスケジュールを指定することで、管理するキーを管理できます。DSSE-KMS を使用すると、Amazon Athena や Amazon SageMaker などの AWS サービスを使用して、二重暗号化データをクエリして分析できます。
DSSE-KMS は、追加料金を支払うことですべての AWS リージョンで利用できます。料金に関する情報については、Amazon S3 と AWS KMS の料金ページをご覧ください。Amazon S3 で利用できるすべての暗号化オプションの詳細については、S3 ユーザーガイドをご覧ください。DSSE-KMS の詳細については、AWS ニュースブログをご覧ください。