概要
Amazon Elastic File System(EFS)におけるデータの暗号化方式についてまとめる
基本的にEFSの暗号化の利用にあたりアプリケーションの変更は必要ない
方式
やり方は以下の2パターンの方式がある
- 転送時の暗号化
- 保管時のデータの暗号化
転送時の暗号化
以下2パターンのどちらかの方式をEFSをマウントするOS側で実施する
- マウントヘルパーを利用する方式(AWS推奨)
- stunnel(スタンネル)を利用する方式
保管時のデータ暗号化
AWS Management Console、AWS CLI、Amazon EFS API またはAWS SDK から、暗号化されたファイルシステムを作成することがでる
保管されるデータの暗号化および復号化はEFS側で実施されるため、アプリケーションの変更の必要はない
-
※注意点
- AWS Management Consoleから新しくEFSを作成する場合はデフォルトで保管時の暗号化が有効になる
- AWS CLI、API、および SDK を使用して新しいファイルシステムを作成すると、保管時の暗号化がデフォルトで有効にならない為、暗号化を有効化する場合、明示的に指定する必要がある
暗号化の対象
保管時の暗号化の対象となるのはメタデータおよびファイルデータの2種類存在する
メタデータの暗号化
- AWS管理CMK(aws/elasticfilesystem)を利用して暗号化/複合化が実施される
ファイルデータの暗号化
以下の2つのタイプの鍵が利用可能
- AWS管理CMK(aws/elasticfilesystem)
- KMSの利用にあたり別途費用がかかる
- カスタマー管理CMK