Grid Manager からキー管理サーバ（ KMS ）を取得します

あなた "キー管理サーバを設定" StorageGRID サイトおよびの場合 "アプライアンスのノード暗号化を有効にします"。次に、アプライアンスノードが KMS に接続して、 Key Encryption Key （ KEK ；キー暗号化キー）を要求します。このキーは、各ボリュームのデータ暗号化キー（ DEK ）を暗号化および復号化します。

インストール中にノード暗号化 * が有効になっているアプライアンスノード。アプライアンスのすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。

SANtricity System Manager のドライブセキュリティ

SG5700またはSG6000ストレージアプライアンスでドライブセキュリティ機能が有効になっている場合は、を使用できます "SANtricity システムマネージャ" をクリックしてセキュリティキーを作成および管理します。このキーは、セキュリティ保護されたドライブ上のデータにアクセスするために必要です。

Full Disk Encryption（FDE）ドライブまたはFIPSドライブを搭載したストレージアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。

格納オブジェクトの暗号化

を有効にします "格納オブジェクトの暗号化" オプションを選択します。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトが取り込み時に暗号化されます。

新たに取り込まれた S3 および Swift オブジェクトデータ。

既存の格納オブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

S3 バケットの暗号化

バケットの暗号化を有効にするには、 PUT Bucket 暗号化要求を問題 に設定します。オブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み時に暗号化されます。

新たに取り込まれた S3 オブジェクトデータのみ。

バケットに対して暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

"バケットの処理"

S3 オブジェクトのサーバ側の暗号化（ SSE ）

オブジェクトを格納してを含めるS3要求を問題 した x-amz-server-side-encryption 要求ヘッダー。

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID で管理されます。

"サーバ側の暗号化を使用します"

ユーザ指定のキーによる S3 オブジェクトのサーバ側暗号化（ SSE-C ）

オブジェクトを格納する S3 要求を問題 し、 3 つの要求ヘッダーを含めます。

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID の外部で管理されます。

"サーバ側の暗号化を使用します"

外部ボリュームまたはデータストアの暗号化

導入プラットフォームで暗号化がサポートされている場合は、 StorageGRID の外部の暗号化方式を使用して、ボリュームまたはデータストア全体を暗号化できます。

すべてのボリュームまたはデータストアが暗号化されていることを前提として、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。

StorageGRID の外部でのオブジェクトの暗号化

StorageGRID に取り込まれる前にオブジェクトデータとメタデータを暗号化するには、 StorageGRID の外部の暗号化メソッドを使用します。

オブジェクトデータとメタデータのみ（システム設定データは暗号化されません）。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。

"Amazon Simple Storage Service - Developer Guide ：クライアント側の暗号化を使用したデータの保護"