メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Amazon EBS Encryption

Amazon EBS 暗号化 は、EBS ボリュームのために、独自のキー管理インフラストラクチャの構築、管理、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化された EBS ボリュームを作成し、サポートされるインスタンスタイプにアタッチする場合、以下のタイプのデータが暗号化されます。

  • ボリューム内の保存データ

  • ボリュームとインスタンスの間で移動されるすべてのデータ

  • ボリュームから作成されたすべてのスナップショット

  • それらのスナップショットから作成されたすべてのボリューム

暗号化オペレーションは EC2 インスタンスをホストするサーバー上で実行され、インスタンスとそれに接続された EBS ストレージ間でのデータの保存と転送中のデータの両方のセキュリティを保証します。

暗号化は、すべての EBS ボリュームタイプ (汎用 SSD [gp2]、プロビジョンド IOPS SSD [io1]、スループット最適化 HDD [st1]、Cold HDD [sc1]、マグネティック [standard]) でサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号化は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。

暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有できます。暗号化されたスナップショットの共有の詳細については、「Amazon EBS スナップショットの共有」を参照してください。

Amazon EBS 暗号化 は、特定のインスタンスタイプにのみ利用できます。サポートされるインスタンスタイプには、暗号化されたボリュームと暗号化されないボリュームのどちらもアタッチすることができます。詳細については、「サポートされるインスタンスタイプ」を参照してください。

暗号化キーの管理

Amazon EBS 暗号化 では、暗号化されたボリュームと、そのボリュームからスナップショットを作成する際に、AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMKs) が使用されます。独自の AWS マネージド CMK が、AWS アセットを格納する各リージョンで自動的に作成されます。AWS KMS を使用して別途作成したカスタマーマネージド CMK を指定しない限り、このキーが Amazon EBS 暗号化 で使用されます。

注記

独自の CMK を作成すると、アクセスコントロールを定義するためのキーの作成、回転、無効化などの柔軟性が得られます。詳細については、AWS Key Management Service Developer Guide を参照してください。

既存のスナップショットまたは暗号化されたボリュームに関連付けられている CMK を変更することはできません。ただし、スナップショットコピーオペレーション中に別の CMK を関連付けて、コピーしたスナップショットで新しい CMK を使用することができます。

EBS は、業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。データキーは、EBS が CMK で暗号化する前ではなく、暗号化されたデータとともにディスク上に保存されます。プレインテキストでは表示されません。同じデータキーは、ボリュームとそのスナップショットから作成された後続のボリュームのスナップショットによって共有されます。

キーの管理の詳細については、「How Amazon Elastic Block Store (Amazon EBS) Uses AWS KMS (Amazon Elastic Block Store (Amazon EBS) が AWS KMS を使用する方法)」を参照してください。

サポートされるインスタンスタイプ

Amazon EBS 暗号化 は、次の表に示すインスタンスタイプで使用できます。これらのインスタンスタイプは、Intel AES New Instructions (AES-NI) 命令セットを利用することで、データ保護の高速化と簡素化を実現します。これらのインスタンスタイプには、暗号化されたボリュームと暗号化されていないボリュームを同時にアタッチすることができます。

インスタンスファミリー Amazon EBS 暗号化 をサポートするインスタンスタイプ

汎用

t2.nano | t2.micro | t2.small | t2.medium | t2.large | t2.xlarge | t2.2xlarge | m3.medium | m3.large | m3.xlarge | m3.2xlarge | m4.large | m4.xlarge | m4.2xlarge | m4.4xlarge | m4.10xlarge | m4.16xlarge

コンピューティングの最適化

c3.large | c3.xlarge | c3.2xlarge | c3.4xlarge | c3.8xlarge | c4.large | c4.xlarge | c4.2xlarge | c4.4xlarge | c4.8xlarge

メモリ最適化

r3.large | r3.xlarge | r3.2xlarge | r3.4xlarge | r3.8xlarge | r4.large | r4.xlarge | r4.2xlarge | r4.4xlarge | r4.8xlarge | r4.16xlarge | x1.16xlarge | x1.32xlarge | x1e.32xlarge | cr1.8xlarge

ストレージの最適化

d2.xlarge | d2.2xlarge | d2.4xlarge | d2.8xlarge | i2.xlarge | i2.2xlarge | i2.4xlarge | i2.8xlarge | i3.large | i3.xlarge | i3.2xlarge | i3.4xlarge | i3.8xlarge | i3.16xlarge

高速コンピューティング

f1.2xlarge | f1.16xlarge | g2.2xlarge | g2.8xlarge | g3.4xlarge | g3.8xlarge | g3.16xlarge | p2.xlarge | p2.8xlarge | p2.16xlarge

これらのインスタンスタイプの詳細については、「Instance Type Details」を参照してください。

データの暗号化状態の変更

既存の暗号化されていないボリュームを暗号化したり、暗号化されたボリュームから暗号化を削除する直接的な方法はありません。ただし、暗号化されたボリュームと暗号化されていないボリューム間でデータを移行できます。スナップショットのコピー時に新しい暗号化のステータスを適用することもできます。

  • 暗号化されていないボリュームの暗号化されたスナップショットをコピーするとき、コピーを暗号化できます。この暗号化されたコピーから復元されたボリュームも暗号化されます。

  • 暗号化されたボリュームの暗号化されたスナップショットをコピーするときに、そのコピーを別の CMK に関連付けることができます。暗号化されたコピーから復元されたボリュームは、新しく適用された CMK を使用してのみアクセスできます。

暗号化されたスナップショットから暗号化を削除できません。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。

暗号化されたボリュームと暗号化されていないボリューム間でデータを移行するには

  1. Amazon EBS ボリュームの作成」の手順に従って、移行先のボリュームを作成します (必要に応じて、暗号化されたボリュームまたは暗号化されていないボリュームのいずれかになります)。

  2. 移行するデータをホストしているインスタンスに、移行先のボリュームをアタッチします。詳細については、「インスタンスへの Amazon EBS ボリュームのアタッチ」を参照してください。

  3. Amazon EBS ボリュームを使用できるようにする」の手順に従って、移行先のボリュームを利用可能にします。Linux インスタンスでは、/mnt/destination にマウントポイントを作成し、移行先のボリュームをマウントできます。

  4. 移行元のディレクトリから移行先のボリュームにデータをコピーします。これには、一括コピーユーティリティを使用する方法が最も便利な場合があります。

    Linux

    次のように rsync コマンドを使用して、移行元から移行先のボリュームにデータをコピーします。この例では、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。

    Copy
    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    コマンドプロンプトから、robocopy コマンドを使用して、移行元から移行先のボリュームにデータをコピーします。この例では、移行元のデータは D:\ にあり、移行先のボリュームは E:\ にマウントされています。

    Copy
    PS C:\> robocopy D:\ E:\ /e /copyall /eta

スナップショットをコピーするときに暗号化を適用する

スナップショットには、コピーする間に暗号化を適用できるため、次の手順でもデータを暗号化することができます。

スナップショットのコピーを使用してボリュームのデータを暗号化するには

  1. 暗号化されていない EBS ボリュームのスナップショットを作成します。このスナップショットも、暗号化されていません。

  2. 暗号化パラメータを適用してスナップショットをコピーします。ターゲットのスナップショットが暗号化されます。

  3. 暗号化されたスナップショットを新しいボリュームに復元することもできます。これも暗号化されます。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

新しい CMK でスナップショットを暗号化する

コピー中にスナップショットを暗号化できると、所有するすでに暗号化されたスナップショットに新しい CMK を適用することもできます。結果として作成されたコピーから復元されたボリュームには、新しい CMK でのみアクセスすることができます。

関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。共有されている暗号化スナップショットからボリュームを復元する前に、そのコピーを独自に作成する必要があります。デフォルトでは、コピーは、スナップショットの所有者によって共有された CMK を使用して暗号化されます。ただし、管理する別の CMK で共有スナップショットのコピーを作成することをお勧めします。これにより、元の CMK が侵害された場合や、所有者が何らかの理由で CMK を無効にした場合に、ボリュームへのアクセスが保護されます。

次の手順では、所有するカスタマー管理 CMK で共有スナップショットのコピーを作成する方法を示します。

コンソールを使用して、新しいカスタム CMK で所有するスナップショットをコピーするには

  1. カスタマー管理 CMK を作成します。詳細については、AWS Key Management Service Developer Guide を参照してください。

  2. AWS マネージド CMK を使用して (この例の場合) 暗号化された EBS ボリュームを作成します。

  3. 暗号化された EBS ボリュームのスナップショットを作成します。このスナップショットも、AWS マネージド CMK で暗号化されます。

  4. [Snapshots] ページで、[Actions]、[Copy] の順に選択します。

  5. [Copy Snapshot] ウィンドウで、[Master Key] フィールドにカスタマー管理 CMK の完全な ARN (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef の形式) を指定するか、メニューから選択します。[Copy] を選択します。

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、カスタマー管理 CMK で暗号化されます。

次の手順では、所有する新しい CMK で共有された暗号化済みスナップショットのコピーを作成する方法を示します。この作業を行うには、共有された暗号化スナップショットと、元々暗号化されていた CMK の両方にアクセス権が必要です。

コンソールを使用して、CMK で所有する共有スナップショットをコピーするには

  1. [Snapshots] ページで共有された暗号化スナップショットを選択し、[Actions]、[Copy] の順に選択します。

  2. [Copy Snapshot] ウィンドウで、[Master Key] フィールドに所有している CMK の完全な ARN (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef の形式) を指定するか、メニューから選択します。[Copy] を選択します。

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、指定した CMK で暗号化されます。共有された元のスナップショット、暗号化ステータス、共有 CMK に変更を加えても、コピーには影響ありません。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

Amazon EBS 暗号化と CloudWatch イベント

Amazon EBS では、特定の暗号化関連のシナリオに対して Amazon CloudWatch Events がサポートされています。詳細については、「Amazon CloudWatch Events for Amazon EBS」を参照してください。