Amazon S3は数兆個のオブジェクトが格納しており、秒間百万リクエスト以上の処理を行っています。
S3のユースケースが多くなっていくにつれて、移動中(S3に出入りする通信)および安静時(保存されている間)のデータを保護する追加の方法に対する要望を多く聞くようになってきました。 最初の要望については、S3が初期の頃からサポートしている、SSLを使用することにより満たされています。 安静時のデータの保護については、いくつかのオプションを用意しています。 1つ目は、クライアント環境を離れる前に暗号化を行う、RubyおよびJavaのAWS SDKのユーザーが利用可能なクライアントサイドの暗号化です。 2つ目は、全てのS3ユーザーが利用可能な、サーバーサイドの暗号化です。
本日、独自の鍵を使用して暗号化を行うことができるオプションを追加することで、S3のサーバーサイドの暗号化機能を強化いたしました。 既存のサーバーサイド暗号化のモデルを使用し、AWSに鍵を管理される方法か、お客様自身で独自の鍵を管理し、サーバーサイドの暗号化によって提供される他の全ての利点の恩恵はそのまま受ける方法のどちらかを選択することができます。
今までAWSをご利用のお客様の多くが行ってきたような、独自のクライアントサイドの暗号化を構築、維持、スケールする必要なしに、お客様が管理する鍵を使って、S3にデータを保存するオプションができたことになります。
独自の鍵を利用する
この新機能はS3 APIを介してアクセスでき、非常に簡単に利用できます。 PUTの際に独自の暗号化キーを提供するだけで、S3が後の面倒を見てくれます。 提供された鍵はデータにAES-256暗号化を適用するために使用され、一方向ハッシュ(チェックサム)を計算した後、速やかにメモリから鍵を削除します。 チェックサムはレスポンスの一部として返されるとともに、オブジェクトと一緒に保管もされます。 処理の流れは次のとおりです。:
後でオブジェクトが必要になった際には、GETリクエストとともに、同じ鍵を提供するだけです。S3はオブジェクトを複合化し(提供された鍵と保存されたチェックサムを検証した後)、複合化されたオブジェクトを返します。このときも迅速にメモリから鍵を削除するように注意します。
鍵管理
独自の暗号化キーを管理するのはお客様の責任で、各オブジェクトを暗号化するのに使用した鍵がどれかを把握しておく必要があります。 鍵はオンプレミスに保存することもできますし、AWS Cloud HSMを使用することもできます。 AWS Cloud HSMは、データセキュリティのための企業の契約上およびコンプライアンス要件を満たすお手伝いをするために、専用ハードウェアを使用します。
S3のバージョン管理機能を有効にしていて、複数のバージョンのオブジェクトを保存している場合、特定のバージョンのオブジェクトを複合化する時が来たときのために、オブジェクトとオブジェクトのバージョン、鍵の間の関係をトラッキングしておく必要があります。 同様に、Glacierへの自動アーカイブを行うために、S3のLifecycleルールを利用している場合は、まず、S3にオブジェクトをリストアしてから、暗号化する際に使用した鍵を使ってオブジェクトを取得する必要があります。
オブジェクトに関連付けられた鍵を変更する必要がある場合は、S3のCOPY操作に新旧2つの鍵をパラメータを渡すことで可能です。 もちろん、独自の鍵管理システムにもこの変更を反映する必要があります!
暗号化の準備はできましたか?
この機能は本日よりご利用いただけるようになっておりますので、今すぐお試しいただけます。 暗号化のために追加の費用はかかりません。また、PUTまたはGETのパフォーマンスに影響はありません。 さらに詳しい情報については、Server Side Encryption With Customer Keysをご参照ください。
-- Jeff;
この記事はAWSシニアエバンジェリスト Jeff BarrのAmazon Web Services Blogの記事、 Use Your own Encryption Keys with S3's Server-Side Encryptionを 堀内康弘 (Facebook, Twitter)が翻訳したものです。