AWS関連

【AWS】S3バケットのデータ保護3種類

S3バケットのデータ保護

Amazon S3 は、データセンターのディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、ユーザーがデータにアクセスするときに復号します。

暗号化の種類

サーバー側の暗号化を使用したデータの保護は次の3つがあります。

【SSE-S3】Amazon S3 が管理するキーによるサーバー側の暗号化

Amazon S3 が管理するキーによるサーバー側の暗号化 (SSE-S3) を使用すると、各オブジェクトは一意のキーで暗号化されます。
追加の安全策として、キー自体を定期的にローテーションするマスターキーで暗号化します。
Amazon S3 サーバー側の暗号化は、利用可能な最も強力なブロック暗号の 1 つである 256 ビットの Advanced Encryption Standard (AES-256) を使用してデータを暗号化します。

【SSE-KMS】AWS KMS に保存されているカスタマーマスターキー (CMK) によるサーバー側の暗号化

AWS KMS (Key Management Service) に保存されているカスタマーマスターキー (CMK) によるサーバー側の暗号化 (SSE-KMS) は、SSE-S3 と似ていますが、このサービスを使用した場合はいくつかの追加の利点があり、追加の料金がかかります。
Amazon S3 のオブジェクトへの不正アクセスに対する追加の保護を提供する CMK を使用するための個別のアクセス許可があります。
SSE-KMS は、CMK がいつ誰によって使用されたかを示す監査証跡も提供します。さらに、カスタマー管理の CMK を作成および管理したり、ユーザー、サービス、およびリージョンに固有の AWS マネージド CMK を使用できます。

【SSE-C】ユーザーが指定したキーによるサーバー側の暗号化

ユーザーが指定したキーによるサーバー側の暗号化 (SSE-C) を使用する場合は、お客様が暗号化キーを管理します。Amazon S3 は、ディスクに書き込む際の暗号化とオブジェクトにアクセスする際の復号を管理します。

まとめ

Amazon S3 のデータ保護は次の3つ

  • SSE-S3
    • Amazon S3 によるキー管理
    • AES-256による暗号化
  • SSE-KMS
    • AWS Key Management Service(KMS) によるカスタマーキー(CMK)管理
    • CMK の監査証跡を利用することができる
  • SSE-C
    • ユーザーによるキー指定および管理

Ref

サーバー側の暗号化を使用したデータの保護|公式