日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

StorageGRID の暗号化方式を確認します

11/07/2024 共同作成者

PDF

StorageGRID には、データを暗号化するためのいくつかのオプションがあります。使用可能な方法を確認して、データ保護の要件を満たす方法を決定する必要があります。

次の表に、 StorageGRID で使用できる暗号化方式の概要を示します。

暗号化オプション仕組み環境

暗号化オプション	仕組み	環境
Grid Manager からキー管理サーバ（ KMS ）を取得します	StorageGRIDサイトのユーザ"キー管理サーバを設定"と "アプライアンスのノード暗号化を有効にします"。次に、アプライアンスノードが KMS に接続して、 Key Encryption Key （ KEK ；キー暗号化キー）を要求します。このキーは、各ボリュームのデータ暗号化キー（ DEK ）を暗号化および復号化します。	インストール中にノード暗号化 * が有効になっているアプライアンスノード。アプライアンスのすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。注：KMSを使用した暗号化キーの管理は、ストレージノードとサービスアプライアンスでのみサポートされます。
StorageGRIDアプライアンスインストーラの[Drive Encryption]ページ	アプライアンスにハードウェア暗号化をサポートするドライブが含まれている場合は、インストール時にドライブパスフレーズを設定できます。ドライブパスフレーズを設定すると、パスフレーズを知らない限り、システムから削除されたドライブから有効なデータを復元することはできません。インストールを開始する前に、[ハードウェアの設定]>[ドライブ暗号化]に移動し、ノード内のすべてのStorageGRIDが管理する自己暗号化ドライブを環境に設定します。	自己暗号化ドライブを搭載したアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。ドライブ暗号化はSANtricity管理ドライブには適用されません。自己暗号化ドライブとSANtricityコントローラを搭載したストレージアプライアンスを使用している場合は、SANtricityでドライブセキュリティを有効にすることができます。
SANtricity System Manager のドライブセキュリティ	StorageGRIDアプライアンスでドライブセキュリティ機能が有効になっている場合は、を使用してセキュリティキーを作成および管理できます "SANtricityシステムマネージャ"。このキーは、セキュリティ保護されたドライブ上のデータにアクセスするために必要です。	Full Disk Encryption（FDE）ドライブまたは自己暗号化ドライブを搭載したストレージアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。
格納オブジェクトの暗号化	オプションは、Grid Managerで有効にし"格納オブジェクトの暗号化"ます。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトが取り込み時に暗号化されます。	新しく取り込まれたS3オブジェクトデータ。既存の格納オブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。
S3 バケットの暗号化	PutBucketEncryption要求を問題して、バケットの暗号化を有効にします。オブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み時に暗号化されます。	新たに取り込まれた S3 オブジェクトデータのみ。バケットに対して暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。 "バケットの処理"
S3 オブジェクトのサーバ側の暗号化（ SSE ）	オブジェクトを格納するS3要求を実行し、要求ヘッダーを含め `x-amz-server-side-encryption`ます。	新たに取り込まれた S3 オブジェクトデータのみ。オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。キーは StorageGRID で管理されます。 "サーバ側の暗号化を使用します"
ユーザ指定のキーによる S3 オブジェクトのサーバ側暗号化（ SSE-C ）	オブジェクトを格納する S3 要求を問題し、 3 つの要求ヘッダーを含めます。 `x-amz-server-side-encryption-customer-algorithm` `x-amz-server-side-encryption-customer-key` `x-amz-server-side-encryption-customer-key-MD5`	新たに取り込まれた S3 オブジェクトデータのみ。オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。キーは StorageGRID の外部で管理されます。 "サーバ側の暗号化を使用します"
外部ボリュームまたはデータストアの暗号化	導入プラットフォームで暗号化がサポートされている場合は、 StorageGRID の外部の暗号化方式を使用して、ボリュームまたはデータストア全体を暗号化できます。	すべてのボリュームまたはデータストアが暗号化されていることを前提として、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。
StorageGRID の外部でのオブジェクトの暗号化	StorageGRID に取り込まれる前にオブジェクトデータとメタデータを暗号化するには、 StorageGRID の外部の暗号化メソッドを使用します。	オブジェクトデータとメタデータのみ（システム設定データは暗号化されません）。外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。 "Amazon Simple Storage Service -ユーザガイド：クライアント側の暗号化を使用したデータの保護"

Grid Manager からキー管理サーバ（ KMS ）を取得します

StorageGRIDサイトのユーザ"キー管理サーバを設定"と "アプライアンスのノード暗号化を有効にします"。次に、アプライアンスノードが KMS に接続して、 Key Encryption Key （ KEK ；キー暗号化キー）を要求します。このキーは、各ボリュームのデータ暗号化キー（ DEK ）を暗号化および復号化します。

インストール中にノード暗号化 * が有効になっているアプライアンスノード。アプライアンスのすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。

注：KMSを使用した暗号化キーの管理は、ストレージノードとサービスアプライアンスでのみサポートされます。

StorageGRIDアプライアンスインストーラの[Drive Encryption]ページ

アプライアンスにハードウェア暗号化をサポートするドライブが含まれている場合は、インストール時にドライブパスフレーズを設定できます。ドライブパスフレーズを設定すると、パスフレーズを知らない限り、システムから削除されたドライブから有効なデータを復元することはできません。インストールを開始する前に、[ハードウェアの設定]>*[ドライブ暗号化]*に移動し、ノード内のすべてのStorageGRIDが管理する自己暗号化ドライブを環境に設定します。

自己暗号化ドライブを搭載したアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。

ドライブ暗号化はSANtricity管理ドライブには適用されません。自己暗号化ドライブとSANtricityコントローラを搭載したストレージアプライアンスを使用している場合は、SANtricityでドライブセキュリティを有効にすることができます。

SANtricity System Manager のドライブセキュリティ

StorageGRIDアプライアンスでドライブセキュリティ機能が有効になっている場合は、を使用してセキュリティキーを作成および管理できます "SANtricityシステムマネージャ"。このキーは、セキュリティ保護されたドライブ上のデータにアクセスするために必要です。

Full Disk Encryption（FDE）ドライブまたは自己暗号化ドライブを搭載したストレージアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。

格納オブジェクトの暗号化

オプションは、Grid Managerで有効にし"格納オブジェクトの暗号化"ます。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトが取り込み時に暗号化されます。

新しく取り込まれたS3オブジェクトデータ。

既存の格納オブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

S3 バケットの暗号化

PutBucketEncryption要求を問題して、バケットの暗号化を有効にします。オブジェクトレベルで暗号化されていない新しいオブジェクトは、取り込み時に暗号化されます。

新たに取り込まれた S3 オブジェクトデータのみ。

バケットに対して暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

"バケットの処理"

S3 オブジェクトのサーバ側の暗号化（ SSE ）

オブジェクトを格納するS3要求を実行し、要求ヘッダーを含め `x-amz-server-side-encryption`ます。

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID で管理されます。

"サーバ側の暗号化を使用します"

ユーザ指定のキーによる S3 オブジェクトのサーバ側暗号化（ SSE-C ）

オブジェクトを格納する S3 要求を問題し、 3 つの要求ヘッダーを含めます。

x-amz-server-side-encryption-customer-algorithm
x-amz-server-side-encryption-customer-key
x-amz-server-side-encryption-customer-key-MD5

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID の外部で管理されます。

"サーバ側の暗号化を使用します"

外部ボリュームまたはデータストアの暗号化

導入プラットフォームで暗号化がサポートされている場合は、 StorageGRID の外部の暗号化方式を使用して、ボリュームまたはデータストア全体を暗号化できます。

すべてのボリュームまたはデータストアが暗号化されていることを前提として、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。

StorageGRID の外部でのオブジェクトの暗号化

StorageGRID に取り込まれる前にオブジェクトデータとメタデータを暗号化するには、 StorageGRID の外部の暗号化メソッドを使用します。

オブジェクトデータとメタデータのみ（システム設定データは暗号化されません）。

"Amazon Simple Storage Service -ユーザガイド：クライアント側の暗号化を使用したデータの保護"

複数の暗号化方式を使用します

要件に応じて、一度に複数の暗号化方式を使用できます。例：

KMSを使用してアプライアンスノードを保護できます。また、SANtricity System Managerのドライブセキュリティ機能を使用して、同じアプライアンス内の自己暗号化ドライブのデータを二重に暗号化することもできます。
KMSを使用してアプライアンスノード上のデータを保護できます。また、[Stored Object Encryption]オプションを使用して、取り込み時にすべてのオブジェクトを暗号化することもできます。

暗号化を必要とするオブジェクトがごく一部しかない場合は、暗号化をバケットレベルまたは個々のオブジェクトレベルで制御することを検討してください。複数レベルの暗号化を有効にすると、パフォーマンスコストが増加します。

StorageGRID の暗号化方式を確認します

Creating your file...

複数の暗号化方式を使用します