Grid Manager からキー管理サーバ（ KMS ）を取得します

StorageGRID サイト用のキー管理サーバ（ * configuration * > * Security * > * Key management server * ）を設定し、アプライアンスでノード暗号化を有効にします。次に、アプライアンスノードが KMS に接続して、 Key Encryption Key （ KEK ；キー暗号化キー）を要求します。このキーは、各ボリュームのデータ暗号化キー（ DEK ）を暗号化および復号化します。

インストール中にノード暗号化 * が有効になっているアプライアンスノード。アプライアンスのすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。

SANtricity System Manager のドライブセキュリティ

ストレージアプライアンスでドライブセキュリティ機能が有効になっている場合は、 SANtricity System Manager を使用してセキュリティキーを作成および管理できます。このキーは、セキュリティ保護されたドライブ上のデータにアクセスするために必要です。

Full Disk Encryption （ FDE ）ドライブまたは連邦情報処理標準（ FIPS ）ドライブが搭載されたストレージアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。

格納オブジェクトの暗号化グリッドオプション

格納オブジェクトの暗号化 * オプションは Grid Manager で有効にできます（ * configuration * > * System * > * Grid options * ）。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトは取り込み時に暗号化されます。

新たに取り込まれた S3 および Swift オブジェクトデータ。

既存の格納オブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

S3 バケットの暗号化

バケットの暗号化を有効にするには、 PUT Bucket 暗号化要求を問題 に設定します。オブジェクトレベルで暗号化されていない新しいオブジェクトは取り込み時に暗号化されます。

新たに取り込まれた S3 オブジェクトデータのみ。

バケットに対して暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

S3 オブジェクトのサーバ側の暗号化（ SSE ）

オブジェクトを格納する S3 要求を問題 に設定し、「 x-amz-server-side-encryption 」要求ヘッダーを追加します。

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID で管理されます。

ユーザ指定のキーによる S3 オブジェクトのサーバ側暗号化（ SSE-C ）

オブジェクトを格納する S3 要求を問題 し、 3 つの要求ヘッダーを含めます。

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID の外部で管理されます。

外部ボリュームまたはデータストアの暗号化

導入プラットフォームで暗号化がサポートされている場合は、 StorageGRID の外部の暗号化方式を使用して、ボリュームまたはデータストア全体を暗号化できます。

すべてのボリュームまたはデータストアが暗号化されていることを前提として、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。

StorageGRID の外部でのオブジェクトの暗号化

StorageGRID に取り込まれる前にオブジェクトデータとメタデータを暗号化するには、 StorageGRID の外部の暗号化メソッドを使用します。

オブジェクトデータとメタデータのみ（システム設定データは暗号化されません）。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。