AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) の使用

サーバー側の暗号化とは、データを受信するアプリケーションまたはサービスによって、送信先でデータを暗号化することです。

Amazon S3 は、新しいオブジェクトをアップロードするときに、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を自動的に有効にします。

特に指定しない限り、バケットはデフォルトで SSE-S3 を使用してオブジェクトを暗号化します。ただし、代わりにAWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用するようにバケットを設定することもできます。詳細については、「AWS KMS (SSE−KMS) によるサーバー側の暗号化の指定」を参照してください。

AWS KMS は、安全で可用性の高いハードウェアおよびソフトウェアを結合するサービスであり、クラウド向けに拡張されたキー管理システムを提供します。Amazon S3 は、AWS KMS (SSE-KMS) によるサーバー側の暗号化を使用して、S3 オブジェクトデータを暗号化します。また、オブジェクトに対して SSE-KMS をリクエストすると、オブジェクトのメタデータの一部としての S3 チェックサムが暗号化された形式で保存されます。チェックサムの詳細については、「オブジェクトの整合性をチェックする」を参照してください。

KMS キーを使用すると、AWS Management Console または AWS KMS API から AWS KMS を使用して、以下の操作を実行できます。

AWS KMS のセキュリティ制御は、暗号化関連のコンプライアンス要件を満たすのに役立ちます。これらの KMS キーを使用して、Amazon S3 バケットのデータを保護できます。S3 バケットで SSE−KMS 暗号化を使用する場合、AWS KMS keys はバケットと同じリージョンに存在する必要があります。

AWS KMS keysを使用するための追加料金はかかります。詳細については、AWS Key Management Service デベロッパーガイドの AWS KMS key の概念およびAWS KMS の料金を参照してください。

アクセス許可

AWS KMS key を使用して暗号化されたオブジェクトを Amazon S3 にアップロードするには、キーに対する kms:GenerateDataKey の許可が必要です。AWS KMS keyを使用して暗号化されたオブジェクトをダウンロードするには、kms:Decrypt の許可が必要です。マルチパートアップロードに必要な AWS KMS アクセス許可については、[マルチパートアップロード API とアクセス許可]を参照してください。

AWS KMS keys

AWS KMS によるサーバー側暗号化 (SSE-KMS) を使用すると、デフォルトの AWS マネージドキーを使用するか、または、作成済みのカスタマーマネージドキーを指定できます。AWS KMS はエンベロープ暗号化をサポートします。S3 は、エンベロープ暗号化の AWS KMS 機能を使用してデータを保護します。エンベロープ暗号化は、データキーでプレーンテキストデータを暗号化してから、そのデータキーを KMS キーで暗号化する手法です。エンベロープ暗号化の仕組みの詳細については、AWS Key Management Service デベロッパーガイドの「エンベロープ暗号化」を参照してください。

カスタマーマネージドキーを指定しない場合、SSE−KMS で暗号化されたオブジェクトをバケットに初めて追加するとき、Amazon S3 によって自動的に AWS アカウント に AWS マネージドキー が作成されます。デフォルトでは、Amazon S3 はこの KMS キーを SSE−KMS に使用します。

SSE−KMS にカスタマーマネージドキーを使用する場合は、SSE−KMS を設定する前に対称暗号化カスタマーマネージドキーを作成します。次に、バケット用に SSE−KMS を設定するときに、既存のカスタマーマネージドキーを指定します。対象暗号化キーの詳細については、「AWS Key Management Service デベロッパーガイド」の「対称暗号化 KMS キー」を参照してください。

カスタマーマネージドキーを独自に作成することで、より柔軟に制御を行えます。例えば、カスタマーマネージドキーを作成、ローテーション、無効化することができます。また、アクセスコントロールを定義し、データを保護するために使用するカスタマーマネージドキーを監査することもできます。カスタマーマネージドキーおよび AWS マネージドキーの詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーキーおよび AWS キー」を参照してください。

クロスアカウント操作での SSE-KMS 暗号化の使用

クロスアカウント操作で暗号化を使用する場合は、次の点に注意してください。

カスタマーマネージドキーと AWS マネージド KMS キーをどのような場合に使用するかの詳細については、「Amazon S3 にあるオブジェクトの暗号化に AWS マネージドキー、またはカスタマーマネージドキーを使うべきですか」を参照してください。

SSE-KMS 暗号化ワークフロー

AWS マネージドキー またはカスタマーマネージドキーを使用してデータの暗号化を選択する場合は、AWS KMS および Amazon S3 は次のエンベロープ暗号化アクションを実行します。

データの復号をリクエストすると、Amazon S3 と AWS KMS は次のアクションを実行します。

SSE-KMS 暗号化の監査

SSE-KMS を指定するリクエストを識別するには、Amazon S3 ストレージレンズメトリクスの「すべての SSE-KMS リクエスト」と「すべての SSE-KMS リクエストの割合 (%)」メトリクスを使用できます。S3 ストレージレンズは、オブジェクトストレージの使用状況とアクティビティを組織全体で可視化するために使用できるクラウドストレージ分析機能です。SSE-KMS 対応バケット数と % SSE-KMS 対応バケットを使用して、デフォルトのバケット暗号化 のバケット数 (SSE-KMS) を把握することもできます。詳細については、「S3 Storage Lens を使用したストレージのアクティビティと使用状況の評価」を参照してください。メトリクスの完全なリストについては、「S3 ストレージレンズメトリクスに関する用語集」を参照してください。

SSE-KMS で暗号化されたデータの AWS KMS キーの使用状況を監査するには、AWS CloudTrail ログを使用します。GenerateDataKey や Decrypt などの暗号化オペレーションに関するインサイトを得ることができます。CloudTrail は、イベント名、ユーザー名、イベントソースなど、検索をフィルタリングするための多数の属性値をサポートしています。

Amazon S3 バケットキー

AWS KMS (SSE−KMS) を使用してサーバー側の暗号化を設定する場合、SSE−KMS で S3 バケットキーを使用するようにバケットを設定できます。SSE-KMS でこのバケットレベルのキーを使用すると、Amazon S3 から AWS KMS へのリクエストトラフィックを減らすことにより、AWS KMS のリクエストコストを最大 99% 削減できます。

新しいオブジェクトで SSE−KMS の S3 バケットキーを使用するようにバケットを設定すると、AWS KMS によりバケットレベルのキーが生成されます。このキーは、バケット内のオブジェクトの一意のデータキーを作成するために使用されます。この S3 バケットキーは Amazon S3 内で期間限定で使用されるため、Amazon S3 で AWS KMS にリクエストを実行し、暗号化オペレーションを完了する必要性が軽減されます。S3 バケットキーの使用の詳細については、Amazon S3 バケットキーを使用した SSE−KMS のコストの削減 を参照してください。

サーバー側の暗号化の要求

特定の Amazon S3 バケット内のすべてのオブジェクトのサーバー側の暗号化を要求するには、バケットポリシーを使用できます。例えば、SSE-KMS を使用したサーバー側の暗号化を要求する x-amz-server-side-encryption-aws-kms-key-id ヘッダーがリクエストに含まれていない場合、次のバケットポリシーはすべてのユーザーに対し、オブジェクト (s3:PutObject) をアップロードするアクセス許可を拒否します。

{
   "Version":"2012-10-17",
   "Id":"PutObjectPolicy",
   "Statement":[{
         "Sid":"DenyObjectsThatAreNotSSEKMS",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*",
         "Condition":{
            "Null":{
               "s3:x-amz-server-side-encryption-aws-kms-key-id":"true"
            }
         }
      }
   ]
}

特定の AWS KMS key を使用してバケット内のオブジェクトを暗号化することを要求するには、s3:x-amz-server-side-encryption-aws-kms-key-id 条件キーを使用できます。KMS キーを指定するには、キーの Amazon リソースネーム (ARN) を arn:aws:kms:region:acct-id:key/key-id 形式で使用する必要があります。AWS Identity and Access Management は、s3:x-amz-server-side-encryption-aws-kms-key-id の文字列が存在するかどうかを検証しません。

Amazon S3 固有の条件キーの完全なリストについては、「サービス認証リファレンス」の「Amazon 3 の条件キー」を参照してください。

暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報が含まれたキーと値のペアのセットです。この暗号化コンテキストは暗号化されていません。暗号化オペレーションで暗号化コンテキストを指定すると、Amazon S3 では同じ暗号化コンテキストを復号オペレーションに指定する必要があります。そうでない場合は、復号に失敗します。AWS KMS は、暗号化コンテキストを追加の認証データ (AAD) として使用し、認証された暗号化をサポートします。暗号化コンテキストの詳細については、「AWS Key Management Service デベロッパーガイド」の「暗号化コンテキスト」を参照してください。

デフォルトでは、Amazon S3 は、オブジェクトまたはバケットの Amazon リソースネーム (ARN) を暗号化コンテキストペアとして使用します。

s3:PutObject リクエストの x-amz-server-side-encryption-context のヘッダーを使って、オプションで追加の暗号化コンテキストペアを指定することができます。しかし、暗号化コンテキストは暗号化されないため、機密情報を含めないでください。Amazon S3 は、この追加のキーペアをデフォルトの暗号化コンテキストとともに保存します。PUT リクエストを処理すると、Amazon S3 は aws:s3:arn のデフォルトの暗号化コンテキストを、指定するものに追加します。

暗号化コンテキストを使用して、暗号化オペレーションを識別および分類できます。デフォルトの暗号化コンテキスト ARN 値を使用して、どの Amazon S3 ARN がどの暗号化キーで使用されたかを確認することで、AWS CloudTrail の関連するリクエストを追跡することもできます。

CloudTrail ログファイルの requestParameters フィールドでは、暗号化コンテキストは次のようになります。

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1/file_name"
}

SSE−KMS をオプションの S3 バケットキー機能とともに使用すると、暗号化コンテキストの値はバケットの ARN になります。

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1"
}

AWS KMS 暗号化されたオブジェクトへのリクエストの送信

AWS Signature Version 4 は、HTTP で送信される AWS リクエストに認証情報を追加するプロセスです。セキュリティ対策として、AWS へのほとんどのリクエストは、アクセスキーを使用して署名する必要があります。アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これらの 2 つのキーは、一般的にセキュリティ認証情報と呼ばれます。詳細については、「リクエストの認証 (AWS 署名バージョン 4)」および「署名バージョン 4 の署名プロセス」を参照してください。