メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Amazon EBS Encryption

Amazon EBS 暗号化 は、EBS ボリュームのために、独自のキー管理インフラストラクチャの構築、管理、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化された EBS ボリュームを作成し、サポートされるインスタンスタイプにアタッチする場合、以下のタイプのデータが暗号化されます。

  • ボリューム内の保存データ

  • ボリュームとインスタンスの間で移動されるすべてのデータ

  • ボリュームから作成されたすべてのスナップショット

暗号化は EC2 インスタンスをホストするサーバーで行われ、EC2 インスタンスから EBS ストレージに転送されるデータが暗号化されます。

Amazon EBS 暗号化 では、暗号化されたボリュームと、そのボリュームからスナップショットを作成する際に、AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) が使用されます。暗号化されたボリュームを初めてリージョンに作成する際には、デフォルトの CMK が自動的に作成されます。AWS KMS を使用して別途作成した CMK を選択しない限り、Amazon EBS 暗号化 ではこのキーが使用されます。独自の CMK を作成すると、アクセスコントロールを定義するキーを作成、使い回し、無効化できるほか、データの保護に使用される暗号化キーを監査できるなど、より高い柔軟性が得られます。詳細については、AWS Key Management Service Developer Guide を参照してください。

この機能は、すべての EBS ボリュームタイプ (汎用 SSD [gp2]、プロビジョンド IOPS SSD [io1]、スループット最適化 HDD [st1]、Cold HDD [sc1]、マグネティック [standard]) でサポートされています。暗号化されたボリュームでも、暗号化されていないボリュームと同じ IOPS パフォーマンスを期待できます。また、レイテンシーへの影響は最小限になります。暗号化されたボリュームには、暗号化されていないボリュームにアクセスする場合と同じ方法でアクセスできます。暗号化と復号化は透過的に処理され、ユーザー、EC2 インスタンス、アプリケーションからの追加アクションは不要です。

暗号化されたボリュームから作成されたスナップショットは、自動的に暗号化されます。暗号化されたスナップショットから作成されたボリュームも、自動的に暗号化されます。暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、次のステップを実行した場合、暗号化されたスナップショットを特定のアカウントと共有できます。

  1. デフォルト CMK ではなくカスタム CMK を使用して、ボリュームを暗号化します。

  2. 特定のアカウントにカスタム CMK へのアクセス権を付与します。

  3. スナップショットを作成します。

  4. 特定のアカウントにスナップショットへのアクセス権を付与します。

詳細については、「Amazon EBS スナップショットの共有」を参照してください。

Amazon EBS 暗号化 は、特定のインスタンスタイプにのみ利用できます。サポートされるインスタンスタイプには、暗号化されたボリュームと暗号化されないボリュームのどちらもアタッチすることができます。詳細については、「サポートされるインスタンスタイプ」を参照してください。

暗号化キーの管理

Amazon EBS 暗号化 は、キー管理を処理します。新しく作成された各ボリュームは、一意の 256 ビットキーで暗号化されます。このボリュームのすべてのスナップショット、およびそれらのスナップショットから作成されたすべての後続のボリュームは、そのキーを共有します。これらのキーは、不正アクセスを防止する堅牢な論理的および物理的セキュリティ統制を実装する、AWS キー管理インフラストラクチャによって保護されます。お客様のデータと関連するキーは、業界標準の AES-256 アルゴリズムを使用して暗号化されます。

既存のスナップショットまたは暗号化されたボリュームに関連付けられている CMK を変更することはできません。ただし、スナップショットのコピー操作中には異なる CMK を関連付けることができ (暗号化されていないスナップショットのコピーの暗号化を含みます)、そのコピーされたスナップショットでは新しい CMK を使用します。

AWS のキー管理のインフラストラクチャ全体は、連邦情報処理標準 (NIST) 800-57 に準拠し、連邦情報処理標準 (FIPS) 140-2 で認可された暗号化アルゴリズムが使用されています。

各 AWS アカウントには、ユニークなマスターキーがあり、強力な物理的/論理的セキュリティ制御下にあるシステムでデータから切り離されて保管されています。暗号化されたボリューム (および後続のスナップショット) は、それぞれ一意のボリューム暗号化キーを使用して暗号化され、その後ボリューム暗号化キーはリージョンごとの安全なマスターキーを使用して暗号化されます。ボリューム暗号化キーは EC2 インスタンスをホストしているサーバーのメモリで使用されます。これらはディスクにプレーンテキストで格納されることはありません。

サポートされるインスタンスタイプ

Amazon EBS 暗号化 は、次の表に示すインスタンスタイプで使用できます。これらのインスタンスタイプは、Intel AES New Instructions (AES-NI) 命令セットを利用することで、データ保護の高速化と簡素化を実現します。これらのインスタンスタイプには、暗号化されたボリュームと暗号化されていないボリュームを同時にアタッチすることができます。

インスタンスファミリー Amazon EBS 暗号化 をサポートするインスタンスタイプ

汎用

m3.medium | m3.large | m3.xlarge | m3.2xlarge | m4.large | m4.xlarge | m4.2xlarge | m4.4xlarge | m4.10xlarge | m4.16xlarge | t2.nano | t2.micro | t2.small | t2.medium | t2.large | t2.xlarge | t2.2xlarge

コンピューティングの最適化

c4.large | c4.xlarge | c4.2xlarge | c4.4xlarge | c4.8xlarge | c3.large | c3.xlarge | c3.2xlarge | c3.4xlarge | c3.8xlarge

メモリ最適化

cr1.8xlarge | r3.large | r3.xlarge | r3.2xlarge | r3.4xlarge | r3.8xlarge | r4.large | r4.xlarge | r4.2xlarge | r4.4xlarge | r4.8xlarge | r4.16xlarge | x1.16xlarge | x1.32xlarge

ストレージの最適化

d2.xlarge | d2.2xlarge | d2.4xlarge | d2.8xlarge | i2.xlarge | i2.2xlarge | i2.4xlarge | i2.8xlarge | i3.large | i3.xlarge | i3.2xlarge | i3.4xlarge | i3.8xlarge | i3.16xlarge

高速コンピューティング

f1.2xlarge | f1.16xlarge | g2.2xlarge | g2.8xlarge | p2.xlarge | p2.8xlarge | p2.16xlarge

これらのインスタンスタイプの詳細については、「Instance Type Details」を参照してください。

データの暗号化状態の変更

既存の暗号化されていないボリュームを暗号化したり、暗号化されたボリュームから暗号化を削除する直接的な方法はありません。ただし、暗号化されたボリュームと暗号化されていないボリューム間でデータを移行できます。スナップショットのコピー時に新しい暗号化のステータスを適用することもできます。

  • 暗号化されていないボリュームの暗号化されたスナップショットをコピーするとき、コピーを暗号化できます。この暗号化されたコピーから復元されたボリュームも暗号化されます。

  • 暗号化されたボリュームの暗号化されたスナップショットをコピーするときに、異なる CMK を使用してコピーを再暗号化できます。暗号化されたコピーから復元されたボリュームは、新しく適用された CMK を使用してのみアクセスできます。

暗号化されたスナップショットから暗号化を削除できません。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。

To migrate data between encrypted and unencrypted volumes

  1. Create your destination volume (encrypted or unencrypted, depending on your need) by following the procedures in Amazon EBS ボリュームの作成.

  2. Attach the destination volume to the instance that hosts the data to migrate. For more information, see インスタンスへの Amazon EBS ボリュームのアタッチ.

  3. Make the destination volume available by following the procedures in Amazon EBS ボリュームを使用できるようにする. For Linux instances, you can create a mount point at /mnt/destination and mount the destination volume there.

  4. Copy the data from your source directory to the destination volume. It may be most convenient to use a bulk-copy utility for this.

    Linux

    Use the rsync command as follows to copy the data from your source to the destination volume. In this example, the source data is located in /mnt/source and the destination volume is mounted at /mnt/destination.

    Copy
    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    At a command prompt, use the robocopy command to copy the data from your source to the destination volume. In this example, the source data is located in D:\ and the destination volume is mounted at E:\.

    Copy
    PS C:\> robocopy D:\ E:\ /e /copyall /eta

スナップショットをコピーするときに暗号化を適用する

スナップショットには、コピーする間に暗号化を適用できるため、次の手順でもデータを暗号化することができます。

To encrypt a volume's data by means of snapshot copying

  1. Create a snapshot of your unencrypted EBS volume. This snapshot is also unencrypted.

  2. Copy the snapshot while applying encryption parameters. The resulting target snapshot is encrypted.

  3. Restore the encrypted snapshot to a new volume, which is also encrypted.

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

新しい CMK を使用したスナップショットの再暗号化

コピー中にスナップショットを暗号化できると、所有する既に暗号化されたスナップショットを再暗号化することもできます。このオペレーションでは、スナップショットのプレーンテキストが、指定した新しい CMK を使用して暗号化されます。結果として作成されたコピーから復元されたボリュームには、新しい CMK を使用してのみアクセスすることができます。

関連するシナリオでは、他のユーザーから共有されているスナップショットを再暗号化することができます。共有されている暗号化スナップショットからボリュームを復元する前に、そのコピーを独自に作成する必要があります。デフォルトでは、コピーは、スナップショットの所有者によって共有されたキーを使用して暗号化されます。ただし、自分で管理している別のキーを使用して、コピー処理中にスナップショットを再暗号化することをお勧めします。これにより、元のキーが侵害された場合や、所有者が何らかの理由でキーを無効にした場合に、ボリュームへのアクセスが保護されます。

次の手順では、所有しているスナップショットを再暗号化する方法を示しています。

To re-encrypt a snapshot using the console

  1. Create a custom CMK. For more information, see AWS Key Management Service Developer Guide.

  2. Create an EBS volume encrypted with (for this example) your default CMK.

  3. Create a snapshot of your encrypted EBS volume. This snapshot is also encrypted with your default CMK.

  4. On the Snapshots page, choose Actions, Copy.

  5. In the Copy Snapshot window, supply the complete ARN for your custom CMK (in the form arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef) in the Master Key field, or choose it from the menu. Choose Copy.

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、カスタム CMK を使用して暗号化されます。

次の手順は、共有された暗号化スナップショットをコピー時に再暗号化する方法を示しています。この作業を行うには、共有された暗号化スナップショットと、それを使用して暗号化された CMK の両方へのアクセス権が必要です。

To copy and re-encrypt a shared snapshot using the console

  1. Select the shared encrypted snapshot on the Snapshots page and choose Actions, Copy.

  2. In the Copy Snapshot window, supply the complete ARN for a CMK that you own (in the form arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef) in the Master Key field, or choose it from the menu. Choose Copy.

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、指定した CMK を使用して暗号化されます。共有された元のスナップショット、暗号化ステータス、共有 CMK に変更を加えても、コピーには影響ありません。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

Amazon EBS 暗号化と CloudWatch イベント

Amazon EBS では、特定の暗号化関連のシナリオに対して Amazon CloudWatch Events がサポートされています。詳細については、「Amazon CloudWatch Events for Amazon EBS」を参照してください。