Amazon S3 の SSE-S3 と SSE-KMS の使い分けについて教えてください

Amazon S3のサーバーサイド暗号化には、SSE-S3とSSE-KMSという2つの主要なオプションがあります。それぞれの特徴と使い分けについて説明します。

SSE-S3は、Amazon S3が管理する暗号化キーを使用します。これは追加コストなしで利用でき、新しいオブジェクトのアップロードに対して自動的に適用されます。SSE-S3は、追加の設定や管理が不要で、簡単に使用できるため、基本的なデータ保護が必要な場合に適しています。

一方、SSE-KMSは、AWS Key Management Service (KMS)で管理される暗号化キーを使用します。SSE-KMSには以下のような利点があります：

1. より細かいアクセス制御：カスタマー管理キーを使用することで、キーの作成、ローテーション、無効化、およびアクセス制御の定義が可能です。

2. 監査機能：暗号化キーの使用状況を監査できます。

3. エンベロープ暗号化：追加のセキュリティ層を提供します。

4. クロスアカウント操作：適切に設定すれば、異なるAWSアカウント間でのデータ共有が可能です。

SSE-KMSは、より高度なセキュリティ要件がある場合や、規制遵守が必要な場合に適しています。ただし、SSE-KMSはAWS KMSへのリクエストが増えるため、コストが高くなる可能性があります。

コスト最適化のために、S3 Bucket Keysを使用することで、AWS KMSへのリクエスト数を最大99%削減し、SSE-KMSのコストを抑えることができます。

結論として、基本的なデータ保護が必要な場合はSSE-S3を、より高度なセキュリティ制御や監査機能が必要な場合はSSE-KMSを選択するのが適切です。ただし、コストと管理の複雑さを考慮に入れる必要があります。
Sources
Using server-side encryption with AWS KMS keys (SSE-KMS) - Amazon Simple Storage Service
InventoryEncryption - Amazon Simple Storage Service
Configuring your bucket to use an S3 Bucket Key with SSE-KMS for new objects - Amazon Simple Storage Service