日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

StorageGRIDの暗号化方式を確認する

10/01/2025

PDF

StorageGRID は、データを暗号化するためのいくつかのオプションを提供します。利用可能な方法を確認して、どの方法がデータ保護要件を満たすかを判断する必要があります。

この表は、 StorageGRIDで使用できる暗号化方法の概要を示しています。

暗号化オプション仕組み適用対象

暗号化オプション	仕組み	適用対象
グリッドマネージャーのキー管理サーバー (KMS)	あなた"キー管理サーバーを構成する"StorageGRIDサイトと "アプライアンスのノード暗号化を有効にする"。次に、アプライアンスノードは KMS に接続してキー暗号化キー (KEK) を要求します。このキーは、各ボリューム上のデータ暗号化キー (DEK) を暗号化および復号化します。	インストール中にノード暗号化が有効になっているアプライアンスノード。アプライアンス上のすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。注: KMS を使用した暗号化キーの管理は、ストレージノードとサービスアプライアンスでのみサポートされます。
StorageGRIDアプライアンスインストーラのドライブ暗号化ページ	アプライアンスにハードウェア暗号化をサポートするドライブが含まれている場合は、インストール中にドライブのパスフレーズを設定できます。ドライブパスフレーズを設定すると、パスフレーズを知らない限り、システムから削除されたドライブから有効なデータを回復することは不可能になります。インストールを開始する前に、ハードウェアの構成 > ドライブ暗号化に移動して、ノード内のすべてのStorageGRID管理の自己暗号化ドライブに適用されるドライブパスフレーズを設定します。	自己暗号化ドライブを搭載したアプライアンス。保護されたドライブ上のすべてのデータは、物理的な紛失やデータセンターからの削除から保護されます。ドライブ暗号化は、 SANtricity管理ドライブには適用されません。自己暗号化ドライブとSANtricityコントローラを備えたストレージアプライアンスがある場合は、 SANtricityでドライブセキュリティを有効にすることができます。
SANtricity System Manager のドライブセキュリティ	StorageGRIDアプライアンスでドライブセキュリティ機能が有効になっている場合は、 "SANtricity System Manager"セキュリティキーを作成および管理します。保護されたドライブ上のデータにアクセスするには、キーが必要です。	フルディスク暗号化 (FDE) ドライブまたは自己暗号化ドライブを備えたストレージアプライアンス。保護されたドライブ上のすべてのデータは、物理的な紛失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。
保存されたオブジェクトの暗号化	有効にすると、"保存されたオブジェクトの暗号化"グリッドマネージャーのオプション。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み時に暗号化されます。	新しく取り込まれた S3 オブジェクトデータ。既存の保存オブジェクトは暗号化されません。オブジェクトのメタデータやその他の機密データは暗号化されません。
S3バケットの暗号化	バケットの暗号化を有効にするには、PutBucketEncryption リクエストを発行します。オブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み中に暗号化されます。	新しく取り込まれた S3 オブジェクトデータのみ。バケットに暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトのメタデータやその他の機密データは暗号化されません。 "バケットの操作"
S3 オブジェクトのサーバー側暗号化 (SSE)	オブジェクトを保存するためにS3リクエストを発行し、 `x-amz-server-side-encryption`リクエストヘッダー。	新しく取り込まれた S3 オブジェクトデータのみ。オブジェクトに暗号化を指定する必要があります。オブジェクトのメタデータやその他の機密データは暗号化されません。 StorageGRID がキーを管理します。 "サーバー側の暗号化を使用する"
顧客提供キーを使用した S3 オブジェクトのサーバー側暗号化 (SSE-C)	オブジェクトを保存するための S3 リクエストを発行し、3 つのリクエストヘッダーを含めます。 `x-amz-server-side-encryption-customer-algorithm` `x-amz-server-side-encryption-customer-key` `x-amz-server-side-encryption-customer-key-MD5`	新しく取り込まれた S3 オブジェクトデータのみ。オブジェクトに暗号化を指定する必要があります。オブジェクトのメタデータやその他の機密データは暗号化されません。キーはStorageGRIDの外部で管理されます。 "サーバー側の暗号化を使用する"
外部ボリュームまたはデータストアの暗号化	導入プラットフォームでサポートされている場合は、 StorageGRID外部の暗号化方法を使用してボリューム全体またはデータストアを暗号化します。	すべてのボリュームまたはデータストアが暗号化されていると仮定した場合、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。外部暗号化方式により、暗号化アルゴリズムとキーをより厳密に制御できます。記載されている他の方法と組み合わせることができます。
StorageGRID外部のオブジェクト暗号化	オブジェクトデータとメタデータをStorageGRIDに取り込む前に暗号化するには、 StorageGRID外部の暗号化方式を使用します。	オブジェクトデータとメタデータのみ (システム構成データは暗号化されません)。外部暗号化方式により、暗号化アルゴリズムとキーをより厳密に制御できます。記載されている他の方法と組み合わせることができます。 "Amazon Simple Storage Service - ユーザーガイド: クライアント側暗号化を使用したデータの保護"

グリッドマネージャーのキー管理サーバー (KMS)

あなた"キー管理サーバーを構成する"StorageGRIDサイトと "アプライアンスのノード暗号化を有効にする"。次に、アプライアンスノードは KMS に接続してキー暗号化キー (KEK) を要求します。このキーは、各ボリューム上のデータ暗号化キー (DEK) を暗号化および復号化します。

インストール中に ノード暗号化 が有効になっているアプライアンスノード。アプライアンス上のすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。

注: KMS を使用した暗号化キーの管理は、ストレージノードとサービスアプライアンスでのみサポートされます。

StorageGRIDアプライアンスインストーラのドライブ暗号化ページ

アプライアンスにハードウェア暗号化をサポートするドライブが含まれている場合は、インストール中にドライブのパスフレーズを設定できます。ドライブパスフレーズを設定すると、パスフレーズを知らない限り、システムから削除されたドライブから有効なデータを回復することは不可能になります。インストールを開始する前に、ハードウェアの構成 > ドライブ暗号化 に移動して、ノード内のすべてのStorageGRID管理の自己暗号化ドライブに適用されるドライブパスフレーズを設定します。

自己暗号化ドライブを搭載したアプライアンス。保護されたドライブ上のすべてのデータは、物理的な紛失やデータセンターからの削除から保護されます。

ドライブ暗号化は、 SANtricity管理ドライブには適用されません。自己暗号化ドライブとSANtricityコントローラを備えたストレージアプライアンスがある場合は、 SANtricityでドライブセキュリティを有効にすることができます。

SANtricity System Manager のドライブセキュリティ

StorageGRIDアプライアンスでドライブセキュリティ機能が有効になっている場合は、 "SANtricity System Manager"セキュリティキーを作成および管理します。保護されたドライブ上のデータにアクセスするには、キーが必要です。

フルディスク暗号化 (FDE) ドライブまたは自己暗号化ドライブを備えたストレージアプライアンス。保護されたドライブ上のすべてのデータは、物理的な紛失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。

保存されたオブジェクトの暗号化

有効にすると、"保存されたオブジェクトの暗号化"グリッドマネージャーのオプション。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み時に暗号化されます。

新しく取り込まれた S3 オブジェクトデータ。

既存の保存オブジェクトは暗号化されません。オブジェクトのメタデータやその他の機密データは暗号化されません。

S3バケットの暗号化

バケットの暗号化を有効にするには、PutBucketEncryption リクエストを発行します。オブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み中に暗号化されます。

新しく取り込まれた S3 オブジェクトデータのみ。

バケットに暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトのメタデータやその他の機密データは暗号化されません。

"バケットの操作"

S3 オブジェクトのサーバー側暗号化 (SSE)

オブジェクトを保存するためにS3リクエストを発行し、 `x-amz-server-side-encryption`リクエストヘッダー。

新しく取り込まれた S3 オブジェクトデータのみ。

オブジェクトに暗号化を指定する必要があります。オブジェクトのメタデータやその他の機密データは暗号化されません。

StorageGRID がキーを管理します。

"サーバー側の暗号化を使用する"

顧客提供キーを使用した S3 オブジェクトのサーバー側暗号化 (SSE-C)

オブジェクトを保存するための S3 リクエストを発行し、3 つのリクエストヘッダーを含めます。

x-amz-server-side-encryption-customer-algorithm
x-amz-server-side-encryption-customer-key
x-amz-server-side-encryption-customer-key-MD5

新しく取り込まれた S3 オブジェクトデータのみ。

オブジェクトに暗号化を指定する必要があります。オブジェクトのメタデータやその他の機密データは暗号化されません。

キーはStorageGRIDの外部で管理されます。

"サーバー側の暗号化を使用する"

外部ボリュームまたはデータストアの暗号化

導入プラットフォームでサポートされている場合は、 StorageGRID外部の暗号化方法を使用してボリューム全体またはデータストアを暗号化します。

すべてのボリュームまたはデータストアが暗号化されていると仮定した場合、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。

外部暗号化方式により、暗号化アルゴリズムとキーをより厳密に制御できます。記載されている他の方法と組み合わせることができます。

StorageGRID外部のオブジェクト暗号化

オブジェクトデータとメタデータをStorageGRIDに取り込む前に暗号化するには、 StorageGRID外部の暗号化方式を使用します。

オブジェクトデータとメタデータのみ (システム構成データは暗号化されません)。

外部暗号化方式により、暗号化アルゴリズムとキーをより厳密に制御できます。記載されている他の方法と組み合わせることができます。

"Amazon Simple Storage Service - ユーザーガイド: クライアント側暗号化を使用したデータの保護"

複数の暗号化方式を使用する

要件に応じて、一度に複数の暗号化方法を使用できます。例えば：

KMS を使用してアプライアンスノードを保護し、 SANtricity System Manager のドライブセキュリティ機能を使用して、同じアプライアンス内の自己暗号化ドライブ上のデータを「二重に暗号化」することもできます。
KMS を使用してアプライアンスノード上のデータを保護し、保存されたオブジェクトの暗号化オプションを使用して、取り込まれたすべてのオブジェクトを暗号化することもできます。

オブジェクトのごく一部にのみ暗号化が必要な場合は、代わりにバケットまたは個々のオブジェクトレベルで暗号化を制御することを検討してください。複数レベルの暗号化を有効にすると、パフォーマンスコストが追加されます。

StorageGRIDの暗号化方式を確認する

Creating your file...

複数の暗号化方式を使用する