Amazon S3 Express One Zone が AWS-KMS でのカスタマーマネージドキーの使用をサポート開始
Amazon S3 Express One Zone では、カスタマーマネージドキーを使用した AWS Key Management Service によるサーバー側暗号化 (SSE-KMS) がサポートされるようになりました。デフォルトでは、S3 Express One Zone はサーバー側の暗号化で S3 管理キー (SSE-S3) を使用してすべてのオブジェクトを暗号化します。S3 Express One Zone がカスタマーマネージドキーをサポートすることで、データを暗号化してセキュリティを管理するための選択肢が増えました。S3 Express One Zone で SSE-KMS を使用する場合、S3 バケットキーは追加料金なしで常時有効化されます。
カスタマーマネージドキーを使用すると、どの IAM ロールがデータを復号化できるかを制御するキーポリシーを設定できます。また、データの暗号化と復号化に使用されたキーが AWS CloudTrail ですべて表示されます。また、S3 バケットキーでは、各 KMS 暗号化オブジェクトに対して個別の KMS キーではなく、バケットレベルのキーが KMS により生成されます。S3 Express One Zone は、バケットキーを使用して、バケット内のオブジェクトの暗号化に使用される一意のデータキーを保護します。これにより、暗号化操作を完了するために KMS リクエストを追加で行う必要がなくなります。その結果、KMS へのリクエストトラフィックが減り、同じ 1 桁のミリ秒単位のデータアクセスを維持しながら、S3 Express One Zone の暗号化されたオブジェクトに低コストでアクセスできます。
S3 Express One Zone によるカスタマーマネージドキーを使用した SSE-KMS のサポートは、ストレージクラスが利用可能なすべての AWS リージョンでご利用いただけます。AWS CLI、AWS SDK を使用して S3 ディレクトリバケットのカスタマーマネージドキーを指定して、S3 Express One Zone で KMS の使用を開始してください。詳細については、S3 ユーザーガイドと AWS ニュースブログをご覧ください。