メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Amazon EBS Encryption

Amazon EBS 暗号化 は、EBS ボリュームのために、独自のキー管理インフラストラクチャの構築、管理、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化された EBS ボリュームを作成し、サポートされるインスタンスタイプにアタッチする場合、以下のタイプのデータが暗号化されます。

  • ボリューム内の保存データ

  • ボリュームとインスタンスの間で移動されるすべてのデータ

  • ボリュームから作成されたすべてのスナップショット

暗号化は EC2 インスタンスをホストするサーバーで行われ、EC2 インスタンスから EBS ストレージに転送されるデータが暗号化されます。

Amazon EBS 暗号化 では、暗号化されたボリュームと、そのボリュームからスナップショットを作成する際に、AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) が使用されます。暗号化されたボリュームを初めてリージョンに作成する際には、デフォルトの CMK が自動的に作成されます。AWS KMS を使用して別途作成した CMK を選択しない限り、Amazon EBS 暗号化 ではこのキーが使用されます。独自の CMK を作成すると、アクセスコントロールを定義するキーを作成、使い回し、無効化できるほか、データの保護に使用される暗号化キーを監査できるなど、より高い柔軟性が得られます。詳細については、AWS Key Management Service Developer Guide を参照してください。

この機能は、すべての EBS ボリュームタイプ (汎用 SSD [gp2]、プロビジョンド IOPS SSD [io1]、スループット最適化 HDD [st1]、Cold HDD [sc1]、マグネティック [standard]) でサポートされています。暗号化されたボリュームでも、暗号化されていないボリュームと同じ IOPS パフォーマンスを期待できます。また、レイテンシーへの影響は最小限になります。暗号化されたボリュームには、暗号化されていないボリュームにアクセスする場合と同じ方法でアクセスできます。暗号化と復号化は透過的に処理され、ユーザー、EC2 インスタンス、アプリケーションからの追加アクションは不要です。

暗号化されたボリュームから作成されたスナップショットは、自動的に暗号化されます。暗号化されたスナップショットから作成されたボリュームも、自動的に暗号化されます。暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、次のステップを実行した場合、暗号化されたスナップショットを特定のアカウントと共有できます。

  1. デフォルト CMK ではなくカスタム CMK を使用して、ボリュームを暗号化します。

  2. 特定のアカウントにカスタム CMK へのアクセス権を付与します。

  3. スナップショットを作成します。

  4. 特定のアカウントにスナップショットへのアクセス権を付与します。

詳細については、「Amazon EBS スナップショットの共有」を参照してください。

Amazon EBS 暗号化 は、特定のインスタンスタイプにのみ利用できます。サポートされるインスタンスタイプには、暗号化されたボリュームと暗号化されないボリュームのどちらもアタッチすることができます。詳細については、「サポートされるインスタンスタイプ」を参照してください。

暗号化キーの管理

Amazon EBS 暗号化 は、キー管理を処理します。新しく作成された各ボリュームは、一意の 256 ビットキーで暗号化されます。このボリュームのすべてのスナップショット、およびそれらのスナップショットから作成されたすべての後続のボリュームは、そのキーを共有します。これらのキーは、不正アクセスを防止する堅牢な論理的および物理的セキュリティ統制を実装する、AWS キー管理インフラストラクチャによって保護されます。お客様のデータと関連するキーは、業界標準の AES-256 アルゴリズムを使用して暗号化されます。

既存のスナップショットまたは暗号化されたボリュームに関連付けられている CMK を変更することはできません。ただし、スナップショットのコピー操作中には異なる CMK を関連付けることができ (暗号化されていないスナップショットのコピーの暗号化を含みます)、そのコピーされたスナップショットでは新しい CMK を使用します。

AWS のキー管理のインフラストラクチャ全体は、連邦情報処理標準 (NIST) 800-57 に準拠し、連邦情報処理標準 (FIPS) 140-2 で認可された暗号化アルゴリズムが使用されています。

各 AWS アカウントには、ユニークなマスターキーがあり、強力な物理的/論理的セキュリティ制御下にあるシステムでデータから切り離されて保管されています。暗号化されたボリューム (および後続のスナップショット) は、それぞれ一意のボリューム暗号化キーを使用して暗号化され、その後ボリューム暗号化キーはリージョンごとの安全なマスターキーを使用して暗号化されます。ボリューム暗号化キーは EC2 インスタンスをホストしているサーバーのメモリで使用されます。これらはディスクにプレーンテキストで格納されることはありません。

サポートされるインスタンスタイプ

Amazon EBS 暗号化 は、次の表に示すインスタンスタイプで使用できます。これらのインスタンスタイプは、Intel AES New Instructions (AES-NI) 命令セットを利用することで、データ保護の高速化と簡素化を実現します。これらのインスタンスタイプには、暗号化されたボリュームと暗号化されていないボリュームを同時にアタッチすることができます。

インスタンスファミリー Amazon EBS 暗号化 をサポートするインスタンスタイプ

汎用

m3.medium | m3.large | m3.xlarge | m3.2xlarge | m4.large | m4.xlarge | m4.2xlarge | m4.4xlarge | m4.10xlarge | m4.16xlarge | t2.nano | t2.micro | t2.small | t2.medium | t2.large | t2.xlarge | t2.2xlarge

コンピューティングの最適化

c4.large | c4.xlarge | c4.2xlarge | c4.4xlarge | c4.8xlarge | c3.large | c3.xlarge | c3.2xlarge | c3.4xlarge | c3.8xlarge

メモリ最適化

cr1.8xlarge | r3.large | r3.xlarge | r3.2xlarge | r3.4xlarge | r3.8xlarge | r4.large | r4.xlarge | r4.2xlarge | r4.4xlarge | r4.8xlarge | r4.16xlarge | x1.16xlarge | x1.32xlarge

ストレージの最適化

d2.xlarge | d2.2xlarge | d2.4xlarge | d2.8xlarge | i2.xlarge | i2.2xlarge | i2.4xlarge | i2.8xlarge | i3.large | i3.xlarge | i3.2xlarge | i3.4xlarge | i3.8xlarge | i3.16xlarge

高速コンピューティング

f1.2xlarge | f1.16xlarge | g2.2xlarge | g2.8xlarge | g3.4xlarge | g3.8xlarge | g3.16xlarge | p2.xlarge | p2.8xlarge | p2.16xlarge

これらのインスタンスタイプの詳細については、「Instance Type Details」を参照してください。

データの暗号化状態の変更

既存の暗号化されていないボリュームを暗号化したり、暗号化されたボリュームから暗号化を削除する直接的な方法はありません。ただし、暗号化されたボリュームと暗号化されていないボリューム間でデータを移行できます。スナップショットのコピー時に新しい暗号化のステータスを適用することもできます。

  • 暗号化されていないボリュームの暗号化されたスナップショットをコピーするとき、コピーを暗号化できます。この暗号化されたコピーから復元されたボリュームも暗号化されます。

  • 暗号化されたボリュームの暗号化されたスナップショットをコピーするときに、異なる CMK を使用してコピーを再暗号化できます。暗号化されたコピーから復元されたボリュームは、新しく適用された CMK を使用してのみアクセスできます。

暗号化されたスナップショットから暗号化を削除できません。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。

暗号化されたボリュームと暗号化されていないボリューム間でデータを移行するには

  1. Amazon EBS ボリュームの作成」の手順に従って、移行先のボリュームを作成します (必要に応じて、暗号化されたボリュームまたは暗号化されていないボリュームのいずれかになります)。

  2. 移行するデータをホストしているインスタンスに、移行先のボリュームをアタッチします。詳細については、「インスタンスへの Amazon EBS ボリュームのアタッチ」を参照してください。

  3. Amazon EBS ボリュームを使用できるようにする」の手順に従って、移行先のボリュームを利用可能にします。Linux インスタンスでは、/mnt/destination にマウントポイントを作成し、移行先のボリュームをマウントできます。

  4. 移行元のディレクトリから移行先のボリュームにデータをコピーします。これには、一括コピーユーティリティを使用する方法が最も便利な場合があります。

    Linux

    次のように rsync コマンドを使用して、移行元から移行先のボリュームにデータをコピーします。この例では、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。

    Copy
    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    コマンドプロンプトから、robocopy コマンドを使用して、移行元から移行先のボリュームにデータをコピーします。この例では、移行元のデータは D:\ にあり、移行先のボリュームは E:\ にマウントされています。

    Copy
    PS C:\> robocopy D:\ E:\ /e /copyall /eta

スナップショットをコピーするときに暗号化を適用する

スナップショットには、コピーする間に暗号化を適用できるため、次の手順でもデータを暗号化することができます。

スナップショットのコピーを使用してボリュームのデータを暗号化するには

  1. 暗号化されていない EBS ボリュームのスナップショットを作成します。このスナップショットも、暗号化されていません。

  2. 暗号化パラメータを適用してスナップショットをコピーします。ターゲットのスナップショットが暗号化されます。

  3. 暗号化されたスナップショットを新しいボリュームに復元することもできます。これも暗号化されます。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

新しい CMK を使用したスナップショットの再暗号化

コピー中にスナップショットを暗号化できると、所有する既に暗号化されたスナップショットを再暗号化することもできます。このオペレーションでは、スナップショットのプレーンテキストが、指定した新しい CMK を使用して暗号化されます。結果として作成されたコピーから復元されたボリュームには、新しい CMK を使用してのみアクセスすることができます。

関連するシナリオでは、他のユーザーから共有されているスナップショットを再暗号化することができます。共有されている暗号化スナップショットからボリュームを復元する前に、そのコピーを独自に作成する必要があります。デフォルトでは、コピーは、スナップショットの所有者によって共有されたキーを使用して暗号化されます。ただし、自分で管理している別のキーを使用して、コピー処理中にスナップショットを再暗号化することをお勧めします。これにより、元のキーが侵害された場合や、所有者が何らかの理由でキーを無効にした場合に、ボリュームへのアクセスが保護されます。

次の手順では、所有しているスナップショットを再暗号化する方法を示しています。

コンソールを使用してスナップショットを再暗号化するには

  1. カスタム CMK を作成します。詳細については、AWS Key Management Service Developer Guide を参照してください。

  2. デフォルト CMK を使用して (この例の場合) 暗号化された EBS ボリュームを作成します。

  3. 暗号化された EBS ボリュームのスナップショットを作成します。このスナップショットも、デフォルト CMK で暗号化されます。

  4. [Snapshots] ページで、[Actions]、[Copy] の順に選択します。

  5. [Copy Snapshot] ウィンドウで、[Master Key] フィールドにカスタム CMK の完全な ARN (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef の形式) を指定するか、メニューから選択します。[Copy] を選択します。

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、カスタム CMK を使用して暗号化されます。

次の手順は、共有された暗号化スナップショットをコピー時に再暗号化する方法を示しています。この作業を行うには、共有された暗号化スナップショットと、それを使用して暗号化された CMK の両方へのアクセス権が必要です。

コンソールを使用して、共有されたスナップショットをコピーおよび再暗号化するには

  1. [Snapshots] ページで共有された暗号化スナップショットを選択し、[Actions]、[Copy] の順に選択します。

  2. [Copy Snapshot] ウィンドウで、[Master Key] フィールドに所有している CMK の完全な ARN (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef の形式) を指定するか、メニューから選択します。[Copy] を選択します。

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、指定した CMK を使用して暗号化されます。共有された元のスナップショット、暗号化ステータス、共有 CMK に変更を加えても、コピーには影響ありません。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

Amazon EBS 暗号化と CloudWatch イベント

Amazon EBS では、特定の暗号化関連のシナリオに対して Amazon CloudWatch Events がサポートされています。詳細については、「Amazon CloudWatch Events for Amazon EBS」を参照してください。