メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

暗号化されたスナップショットを持つ AMI

Amazon EBS スナップショットを使用した AMI は Amazon EBS 暗号化の利点を活かすことができます。データおよびルートボリュームの両方のスナップショットを暗号化して AMI にアタッチできます。

暗号化されたボリュームを持つ EC2 インスタンスは、他のインスタンスと同様に AMI から起動できます。

CopyImage アクションを使用して、暗号化されていないスナップショットを持つ AMI から、暗号化されたスナップショットを持つ AMI を作成できます。デフォルトでは、CopyImage は宛先にコピーを作成するときに元のスナップショットの暗号化ステータスを保持します。ただし、コピー処理のパラメータを設定して宛先のスナップショットも暗号化できます。

スナップショットは、デフォルトの AWS Key Management Service カスタマーマスターキー(CMK)、または指定したカスタムキーで暗号化できます。いずれの場合も、選択したキーを使用するアクセス許可が必要です。暗号化されたスナップショットを持つ AMI が存在する場合は、CopyImage アクションの一部として異なる暗号化キーでそれを再暗号化することもできます。CopyImage は一度に 1 つのキーのみを使用できます。そのキーにイメージのすべてのスナップショット (ルートでもデータでも) を暗号化します。ただし、手動で複数のキーに暗号化されるスナップショットを持つ AMI を構築することもできます。

暗号化されたスナップショットを持つ AMI の作成についてのサポートは、Amazon EC2 コンソール、Amazon EC2 API、または AWS CLI を使用してアクセス可能です。

CopyImage の暗号化パラメータは、AWS KMS が使用可能な全リージョンで利用できます。

暗号化された EBS スナップショットを含める AMI シナリオ

AWS マネジメントコンソールまたはコマンドラインを使用して、AMI をコピーすると同時に関連する EBS スナップショットを暗号化できます。

暗号化されたデータスナップショットをともなう AMI のコピー

このシナリオでは、ステップ 1 に示されるように、EBS-backed AMI に、暗号化されていないルートスナップショットおよび暗号化されたデータスナップショットがあります。ステップ 2 で暗号化パラメータを指定しない CopyImage アクションが呼びだされます。その結果、各スナップショットの暗号化ステータスが保持され、ステップ 3 の宛先 AMI も暗号化されていないルートスナップショットと暗号化されたデータスナップショットにバックアップされます。スナップショットには同じデータが含まれますが互いに区別され、いずれかの AMI で起動するインスタンスに対する料金と同様に、両方の AMI のスナップショットに対するストレージコストが発生します。

 暗号化されたデータスナップショットを使用した AMI のコピー

このように、Amazon EC2 コンソールまたはコマンドラインのいずれかを使用して、単純なコピーを実行できます。詳細については、「AMI のコピー」を参照してください。

暗号化されたルートスナップショットにバックアップされた AMI のコピー

このシナリオでは、ステップ 1 に示すように、Amazon EBS-backed AMI に暗号化されたルートスナップショットがあります。ステップ 2 で暗号化パラメータを指定しない CopyImage アクションが呼びだされます。その結果、スナップショットの暗号化ステータスは保持され、ステップ 3 の宛先 AMI も暗号化されたルートスナップショットでバックアップされます。ルートスナップショットには同一のシステムデータが含まれますが互いに区別され、いずれかの AMI で起動するインスタンスに対する料金と同様に、両方の AMI のスナップショットに対するストレージコストが発生します。

 暗号化されたルートスナップショットにバックアップされた AMI のコピー

このように、Amazon EC2 コンソールまたはコマンドラインのいずれかを使用して、単純なコピーを実行できます。詳細については、「AMI のコピー」を参照してください。

暗号化されていない AMI からの暗号化されたルートスナップショットを持つ AMI の作成

このシナリオでは、ステップ 1 に示すように Amazon EBS-backed AMI に暗号化されていないルートスナップショットがあり、ステップ 3 に示すように暗号化されたルートスナップショットを持つ AMI が作成されます。ステップ 2 で、CMK の選択を含む 2 つの暗号化パラメータを指定した CopyImage アクションが呼び出されます。その結果、ルートスナップショットの暗号化ステータスが変更され、ターゲット AMI は、元のスナップショットと同じデータを含むが指定されたキーを使用して暗号化されたルートスナップショットにバックアップされます。いずれかの AMI で起動するインスタンスに対する料金と同様に、両方の AMI でスナップショットのストレージコストが発生します。

 暗号化されていない AMI からの AMI の作成

Amazon EC2 コンソールまたはコマンドラインを使用して、このようなコピーおよび暗号化オペレーションを実行できます。詳細については、「AMI のコピー」を参照してください。

実行中のインスタンスからの暗号化されたルートスナップショットを持つ AMI の作成

このシナリオでは、実行中の EC2 インスタンスから AMI を作成します。ステップ 1 の実行中インスタンスには暗号化されたルートボリュームがあり、ステップ 3 の作成された AMI には元のボリュームと同じキーに暗号化されたルートスナップショットがあります。CreateImage アクションは暗号化の有無にかかわらずまったく同じ動作をします。

 暗号化されたルートスナップショットを使用した、インスタンスからの AMI の作成

Amazon EC2 コンソールまたはコマンドラインのいずれかを使用して、実行中の Amazon EC2 インスタンス (暗号化されたボリュームがあってもなくても) から AMI を作成できます。詳細については、「Amazon EBS-Backed Linux AMI の作成」を参照してください。

暗号化されたスナップショットそれぞれに一意の CMK を持つ AMI の作成

このシナリオは、ルートボリュームスナップショット (キー #1 に暗号化) にバックアップされた AMI から始まり、2 つの追加データボリュームスナップショット (キー #2 およびキー #3) がアタッチされた AMI で終わります。CopyImage アクションは、1 回のオペレーションで 1 つの暗号化キーしか適用できません。ただし、異なるキーに暗号化された複数のボリュームがアタッチされたインスタンスから AMI を作成することはできます。結果として、AMI にはこれらのキーに暗号化されたスナップショットがあり、この新しい AMI から起動されるインスタンスにもまた、これらのキーに暗号化されたボリュームがあります。

この処理の例のステップは、次の図に対応します。

  1. キー #1 を使って暗号化されている vol. #1 (ルート) スナップショットにバックアップされたソース AMI から開始します。

  2. ソース AMI から EC2 インスタンスを起動します。

  3. EBS ボリューム vol. #2 (データ) および vol. #3 (データ) (それぞれキー #2 およびキー #3 に暗号化された) を作成します。

  4. EC2 インスタンスに暗号化されたデータボリュームをアタッチします。

  5. これで、EC2 インスタンスには暗号化されたルートボリュームと、2 つの暗号化されたデータボリュームがあり、すべて異なるキーを使用しています。

  6. EC2 インスタンスで CreateImage アクションを使用します。

  7. 結果としてターゲット AMI には 3 つの EBS ボリュームである暗号化されたスナップショットがあり、すべて異なるキーを使用しています。

 一意の CMK を使用した AMI の作成

Amazon EC2 コンソールまたはコマンドラインのいずれかを使用してこの処理を実行できます。詳細については、次のトピックを参照してください。