Amazon Web Services ブログ

新規 — AWS Key Management Service (DSSE-KMS) に保存されたキーによる Amazon S3 二重層サーバー側暗号化

6月13日、AWS Key Management Service (DSSE-KMS) に保存されたキーにより Amazon S3 の二重層サーバー側暗号化をローンチしました。これは Amazon S3 の新しい暗号化オプションで、オブジェクトが Amazon Simple Storage Service (Amazon S3) バケットにアップロードされるときに 2 層の暗号化を適用します。DSSE-KMS は、FIPS 準拠に関する国家安全保障局の CNSSP 15 と、2 層の CNSA 暗号化に関する保存データ機能パッケージ (DAR CP) バージョン 5.0 ガイダンスを満たすように設計されています。DSSE-KMS を使用すると、データに複数層の暗号化を適用する規制要件を満たすことができます。

Amazon S3 は、お客様がオブジェクトレベルで 2 層の暗号化を適用し、両方の層で使用されるデータキーを制御できる唯一のクラウドオブジェクトストレージサービスです。DSSE-KMS を使用すると、米国国防総省 (DoD) の顧客など、高度に規制された顧客でも厳しいセキュリティ基準を簡単に満たすことができます。

DSSE-KMS では、オブジェクトの PUT または COPY リクエストで二重層サーバー側暗号化 (DSSE) を指定したり、デフォルトですべての新規オブジェクトに DSSE を適用するように S3 バケットを設定したりできます。IAM とバケットポリシーを使用して DSSE-KMS を強制することもできます。暗号化の各層は、個別のデータ暗号化キーを持つ別個の暗号化実装ライブラリを使用します。DSSE-KMS は、単一層の暗号化実装での低い可能性の脆弱性に対して機密データを保護するのに役立ちます。

DSSE-KMS は、クライアント側の暗号化に必要なインフラストラクチャに投資する必要なく、データに 2 層の暗号化を適用するプロセスを簡素化します。暗号化の各層は、ガロアカウンターモードを使用した 256 ビットの高度暗号化規格 (AES-GCM) アルゴリズムの異なる実装を使用します。DSSE-KMS は、AWS Key Management Service (AWS KMS) を使用してデータキーを生成します。これにより、キーごとにアクセス許可を設定してキーローテーションスケジュールを指定することで、カスタマーマネージドキーを管理できます。DSSE-KMS では、Amazon Athena や Amazon SageMaker などの AWS サービスを使用して、二重暗号化データをクエリして分析できるようになりました。

このローンチにより、Amazon S3 はサーバー側暗号化に 4 つのオプションを提供するようになりました。

  1. Amazon S3 マネージドキー (SSE-S3) によるサーバー側暗号化
  2. AWS KMS カスタマーマネージドキー (SSE-KMS) によるサーバー側暗号化
  3. カスタマー提供キー (SSE-C) によるサーバー側暗号化
  4. KMS (DSSE-KMS) に保存されたキーによる二重層サーバー側暗号化

DSSE-KMS が実際にどのように機能するかを見てみましょう。

S3 バケットを作成して DSSE-KMS を有効にする
Amazon S3 コンソールで新しいバケットを作成するには、ナビゲーションペインでバケットを選択します。[バケットを作成] を選択し、バケットの一意でわかりやすい名前を選択します。[デフォルト暗号化] セクションで、暗号化オプションとして DSSE-KMS を選択します。使用可能な AWS KMS キーから、要件に合ったキーを選択します。最後に、[バケットを作成] を選択して、DSSE-KMS 暗号化設定で暗号化された S3 バケットの作成を完了します。

暗号化

DSSE-SSE を有効にした S3 バケットにオブジェクトをアップロードする
バケットリストで、オブジェクトをアップロードするバケットの名前を選択します。バケットの [オブジェクト] タブで、[アップロード] を選択します。[ファイルとフォルダ] で、[ファイルを追加] を選択します。次に、アップロードするファイルを選択し、[開く] を選択します。[サーバー側暗号化] で、[暗号化キーを指定しない ] を選択します。次に、[アップロード] を選択します。

サーバー側暗号化

オブジェクトが S3 バケットにアップロードされると、アップロードされたオブジェクトはバケットからサーバー側暗号化設定を継承していることがわかります。

サーバー側暗号化設定

S3 バケットから DSSE-KMS 暗号化オブジェクトをダウンロードする
以前にアップロードしたオブジェクトを選択し、[ダウンロード] を選択するか、[オブジェクトアクション] メニューから [名前を付けてダウンロード] を選択します。オブジェクトがダウンロードされたら、ローカルで開くと、オブジェクトは自動的に復号化されるので、クライアントアプリケーションを変更する必要はありません。

今すぐご利用いただけます
AWS KMS (DSSE-KMS) に保存されたキーによる Amazon S3 二重層サーバー側暗号化は、現在、すべての AWS リージョンでご利用いただけます。DSSE-KMS は AWS CLI または AWS マネジメントコンソールから開始できます。Amazon S3 で利用できるすべての暗号化オプションの詳細については、Amazon S3 ユーザーガイドをご覧ください。DSSE-KMS の料金情報については、Amazon S3 料金ページ ([ストレージ] タブ) と AWS KMS 料金ページをご覧ください。

— Irshad

原文はこちらです。