Amazon EBS 暗号化
Amazon EBS 暗号化 は、EC2 インスタンスに関連付けられた EBS リソースの簡単な暗号化ソリューションとして使用します。Amazon EBS 暗号化では、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたボリュームとスナップショットを作成するときに、AWS KMS keys を使用します。
暗号化オペレーションは EC2 インスタンスをホストするサーバー上で実行され、インスタンスとそれに接続された EBS ストレージ間でのデータの保存と転送中のデータの両方のセキュリティを保証します。
1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。
コンテンツ
EBS 暗号化の仕組み
EC2 インスタンスのブートボリュームとデータボリュームの両方を暗号化できます。
暗号化された EBS ボリュームを作成し、サポートされるインスタンスタイプにアタッチする場合、以下のタイプのデータが暗号化されます。
-
ボリューム内の保存データ
-
ボリュームとインスタンスの間で移動されるすべてのデータ
-
ボリュームから作成されたすべてのスナップショット
-
それらのスナップショットから作成されたすべてのボリューム
Amazon EBS は、業界標準の AES-256 データ暗号化を使用して、ボリュームをデータキーで暗号化します。データキーは、ボリューム情報とともに保存される前に、AWS KMS キーを使用して AWS KMS によって生成され、AWS KMS によって暗号化されます。すべてのスナップショット、および同じ AWS KMS キーを使用してそれらのスナップショットから作成された後続のボリュームは、同じデータキーを共有します。詳細については、AWS Key Management Service デベロッパーガイドの「データキー」を参照してください。
Amazon EC2 は AWS KMS と連携して、EBS ボリュームの暗号化と復号化を行います。この処理の方法は、暗号化されたボリュームから作成されたスナップショットが、暗号化されているか暗号化されていないかによって若干異なります。
暗号化されたスナップショットに対する EBS 暗号化の動作
ユーザーが所有している暗号化されたスナップショットから暗号化されたボリュームを作成する場合、Amazon EC2 は AWS KMS と連携して、次のように EBS ボリュームを暗号化および復号化します。
-
Amazon EC2 は、ボリュームの暗号化のために選択した KMS キー を指定して、GenerateDataKeyWithoutPlaintext リクエストを AWS KMS に送信します。
-
スナップショットと同じ KMS キーを使用してボリュームを暗号化すると、AWS KMSは、スナップショットと同じデータキーを使用し、同じ KMS キーでこれを暗号化します。ボリュームが別の KMS キーを使用して暗号化されている場合、AWS KMS は新しいデータキーを生成し、指定した KMS キーでこれを暗号化します。暗号化されたデータキーは Amazon EBS に送信され、ボリュームメタデータとともに保存されます。
-
暗号化されたボリュームをインスタンスにアタッチすると、Amazon EC2 は CreateGrant リクエストを AWS KMS に送信し、データキーを復号化できるようにします。
-
AWS KMS は、暗号化されたデータキーを復号して、Amazon EC2 に復号されたデータキーを送信します。
-
Amazon EC2 は、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ディスク I/O をボリュームに暗号化します。プレーンテキストデータキーは、ボリュームがインスタンスにアタッチされる限り、メモリ内で維持されます。
暗号化されていないスナップショットに対する EBS 暗号化の動作
暗号化されていないスナップショットから暗号化されたボリュームを作成する場合、Amazon EC2 は AWS KMS と連携して、次のように EBS ボリュームを暗号化および復号化します。
-
Amazon EC2は CreateGrant リクエストを AWS KMS に送信し、スナップショットから作成されたボリュームを暗号化できるようにします。
-
Amazon EC2 は、ボリュームの暗号化のために選択した KMS キー を指定して、GenerateDataKeyWithoutPlaintext リクエストを AWS KMS に送信します。
-
AWS KMS は新しいデータキーを生成し、ボリュームの暗号化のために選択した KMS キーで暗号化し、暗号化したデータキーを Amazon EBS に送信して、ボリュームのメタデータと共に保存します。
-
Amazon EC2は Decrypt リクエストを AWS KMS に送信して、ボリュームデータを暗号化するための暗号化キーを取得します。
-
暗号化されたボリュームをインスタンスにアタッチすると、Amazon EC2 は CreateGrant リクエストを AWS KMS に送信し、データキーを復号化できるようにします。
-
暗号化されたボリュームをインスタンスにアタッチすると、Amazon EC2 は暗号化されたデータキーを指定しながら、Decrypt リクエストを AWS KMS に送信します。
-
AWS KMS は、暗号化されたデータキーを復号して、Amazon EC2 に復号されたデータキーを送信します。
-
Amazon EC2 は、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ディスク I/O をボリュームに暗号化します。プレーンテキストデータキーは、ボリュームがインスタンスにアタッチされる限り、メモリ内で維持されます。
詳細については、AWS Key Management Service デベロッパーガイドの「Amazon Elastic Block Store (Amazon EBS) で AWS KMS を使用する方法」および「Amazon EC2 の例 2」を参照してください。
要件
開始する前に、以下の要件が満たされていることを確認します。
サポートされるボリュームタイプ
暗号化は、すべての EBS ボリュームタイプでサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。
サポートされるインスタンスタイプ
Amazon EBS 暗号化 は、現世代のすべてのインスタンスタイプ、および旧世代のインスタンスタイプ A1、C3、cr1.8xlarge、G2、I2、M3、R3 で使用できます。
IAM ユーザーのアクセス権限
EBS 暗号化のデフォルトキーとして KMS キー を設定すると、デフォルトの KMS キー ポリシーにより、必要な KMS アクションにアクセスできるすべての IAM ユーザーがこの KMS キー を使用して EBS リソースを暗号化または復号できるようになります。EBS 暗号化を使用するには、次のアクションを呼び出すアクセス権限を IAM ユーザーに付与する必要があります。
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlainText -
kms:ReEncrypt
最小権限のプリンシパルに従うには、kms:CreateGrant へのフルアクセスを許可しないでください。代わりに、次の例に示すように、AWS のサービスによってユーザーに代わって許可が作成された場合にのみ、KMS キーに許可を作成できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
詳細については、AWS Key Management Service デベロッパーガイドの「デフォルトキーポリシー」セクションの「AWS アカウントへのアクセスを許可と IAM ポリシーの有効化」を参照してください。
EBS 暗号化のデフォルトの KMS キー
Amazon EBS は、AWS リソースを保存する各リージョンに一意の AWS マネージドキー を自動的に作成します。この KMS キー にはエイリアス alias/aws/ebs があります。デフォルトでは、Amazon EBS は暗号化にこの KMS キー を使用します。または、作成した対称カスタマーマネージド型暗号化キーを EBS 暗号化のデフォルトの KMS キーとして指定することもできます。独自の KMS キー を使用することにより、KMS キー の作成、更新、無効化ができるなど、より高い柔軟性が得られます。
Amazon EBS は非対称暗号化 KMS キーをサポートしていません。詳細については、「AWS Key Management Service デベロッパーガイド」の 「対称および非対称暗号化 KMS キーの使用」を参照してください。
デフォルトでの暗号化
作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。例えば、Amazon EBS は、インスタンスの起動時に作成された EBS ボリュームと、暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていない EBS リソースから暗号化された EBS リソースへの移行の例については、「暗号化されていないリソースの暗号化」を参照してください。
デフォルトでは、暗号化は既存の EBS ボリュームまたはスナップショットには影響しません。
考慮事項
-
デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョン内の個々のボリュームまたはスナップショットに対して無効にすることはできません。
-
デフォルトで暗号化を有効にすると、インスタンスタイプが EBS 暗号化をサポートしている場合にのみ、インスタンスを起動できます。詳細については、「サポートされるインスタンスタイプ」を参照してください。
-
スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
AWS Server Migration Service (SMS) を使用してサーバーを移行する場合は、デフォルトでの暗号化を有効にしないでください。デフォルトでの暗号化がすでに有効になっていて、デルタレプリケーションエラーが発生している場合は、デフォルトでの暗号化を無効にしてください。代わりに、レプリケーションジョブの作成時に AMI 暗号化を有効にします。
既存のスナップショットまたは暗号化されたボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。
EBS リソースの暗号化
EBS ボリュームを暗号化するには、デフォルトでの暗号化を使用するか、暗号化するボリュームを作成するときに暗号化を有効にします。
ボリュームを暗号化する場合、ボリュームの暗号化に使用する対称暗号化 KMS キーを指定できます。KMS キー が指定されていない場合、暗号化に使用される KMS キー はソーススナップショットの暗号化状態とその所有権によって異なります。詳細については、「暗号化結果の表」を参照してください。
API または AWS CLI を使用して KMS キーを指定している場合は、AWS によって KMS キーが非同期的に認証されます。無効な KMS キー ID、エイリアス、または ARN を指定すると、アクションは完了したように見える場合がありますが、最終的には失敗します。
既存のスナップショットまたはボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。
作成時の空のボリュームの暗号化
新しい空の EBS ボリュームを作成するときは、特定のボリューム作成オペレーションで暗号化を有効にすることで暗号化できます。デフォルトで EBS 暗号化を有効にしたボリュームでは、EBS 暗号化用のデフォルト KMS キー を使用した暗号化が、自動的に実行されます。または、ボリュームの作成オペレーションごとに異なる対称暗号化 KMS キーを指定することもできます。ボリュームは最初に使用可能になった時点で暗号化されているため、データは常に保護されています。詳細な手順については、「Amazon EBS ボリュームの作成」を参照してください。
デフォルトでは、ボリュームの作成時に選択した KMS キー が、ボリュームから作成したスナップショットとそれらの暗号化されたスナップショットから復元したボリュームを暗号化します。暗号化されたボリュームまたはスナップショットから暗号化を削除することはできません。つまり、暗号化されたスナップショット、または暗号化されたスナップショットのコピーから復元されたボリュームは、常に暗号化されます。
暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有できます。詳細な手順については、「Amazon EBS スナップショットの共有」を参照してください。
暗号化されていないリソースの暗号化
暗号化されていない既存のボリュームまたはスナップショットを直接暗号化することはできません。ただし、暗号化されていないボリュームまたはスナップショットから暗号化されたボリュームあるいはスナップショットを作成できます。暗号化をデフォルトで有効にした場合、Amazon EBS は EBS 暗号化のデフォルト KMS キー を使用して、新しいボリュームとスナップショットを自動的に暗号化します。それ以外の場合は、Amazon EBS 暗号化のデフォルトの KMS キーまたは対称カスタマーマネージド型暗号化キーを使用して、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。詳細については、「Amazon EBS ボリュームの作成」および「Amazon EBS スナップショットのコピー」を参照してください。
スナップショットコピーを カスタマー管理キー に暗号化するには、暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合) に示すように、暗号化を有効にし、KMS キー を指定する必要があります 。
Amazon EBS は非対称暗号化 KMS キーをサポートしていません。詳細については、「AWS Key Management Service デベロッパーガイド」の 「対称および非対称暗号化 KMS キーの使用」を参照してください。
EBS-Backed AMI からインスタンスを起動するときに新しい暗号化状態を適用することもできます。これは、EBS-backed AMI に、説明の通りに暗号化できる EBS ボリュームのスナップショットが含まれているためです。詳細については、EBS-backed AMI での暗号化の利用を参照してください。
AWS KMSキーをローテーションします
暗号化のベストプラクティスでは、暗号化キーの広範な再利用を推奨していません。KMS キーの新しい暗号化マテリアルを作成するには、新しい KMS キーを作成し、アプリケーションまたはエイリアスを変更して新しい KMS キーを使用します。または、既存の KMS キーの自動キーローテーションを有効にすることができます。
KMS キーの自動キーローテーションを有効にすると、AWS KMSは KMS キーの新しい暗号化マテリアルを毎年生成します。AWS KMSは古い暗号化マテリアルをすべて保存するため、KMS キーで暗号化されたすべてのデータを復号することができます。KMS キーを削除しない限り、AWS KMSはローテーションされたキーマテリアルを一切削除しません。
データの暗号化にローテーションされた KMS キーを使用する場合、AWS KMS は現在のキーマテリアルを使用します。暗号化データの復号化にローテーションされた KMS キーを使用する場合、AWS KMSはそのデータの暗号化に使用されたキーマテリアルのバージョンを使用します。ローテーションされた KMS キーは、コード変更なしでアプリケーションと AWS サービスで安全に使用できます。
自動キーローテーションは、AWS KMS が作成するキーマテリアルを使用した対称カスタマー管理型キーのみでサポートされています。AWS KMS は AWS マネージドキー を毎年自動的にロテーションします。AWS マネージドキーのキーローテーションを有効化または無効化することはできません。
詳細については、「AWS Key Management Service 開発者ガイド」の「キーの自動ローテーションの仕組み」を参照してください。
暗号化シナリオ
暗号化された EBS リソースを作成すると、ボリューム作成パラメータまたは AMI やインスタンスのブロックデバイスマッピングで別の カスタマーマネージド型キー を指定しない限り、アカウントの EBS 暗号化のデフォルト KMS キー によって暗号化されます。詳細については、「EBS 暗号化のデフォルトの KMS キー」を参照してください。
次の例では、ボリュームとスナップショットの暗号化状態を管理する方法を示します。暗号化のケースの完全なリストについては、「暗号化の結果の表」を参照してください。
例
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)
デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットから復元されたボリュームは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のボリュームを暗号化することができます。以下の図は、そのプロセスを示したものです。
KmsKeyId パラメータを省略すると、結果のボリュームは EBS 暗号化のデフォルト KMS キー を使用して暗号化されます。ボリュームを別の KMS キー に暗号化するには、KMS キー ID を指定する必要があります。
詳細については、「スナップショットからのボリュームの作成」を参照してください。
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)
デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットから復元されたボリュームには暗号化が必須であり、デフォルトの KMS キー を使用するために暗号化パラメータは必要ありません。以下の図に、このデフォルトの簡単なケースを示しています。
復元したボリュームを対称カスタマーマネージド型暗号化キーに暗号化する場合は、暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合) に示すように Encrypted と KmsKeyId の両方のパラメータを指定する必要があります。
暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)
デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットのコピーは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のスナップショットを暗号化することができます。KmsKeyId を省略すると、結果のスナップショットはデフォルトの KMS キー に暗号化されます。ボリュームを別の対称暗号化 KMS キーに暗号化するには、KMS キー ID を指定する必要があります。
以下の図は、そのプロセスを示したものです。
EBS ボリュームを暗号化するには、暗号化されていないスナップショットを暗号化されたスナップショットにコピーし、その暗号化されたスナップショットからボリュームを作成することができます。詳細については、「Amazon EBS スナップショットのコピー」を参照してください。
暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)
デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットのコピーには暗号化が必須であり、デフォルトの KMS キー を使用する場合は、暗号化パラメータは必要ありません。このデフォルトのケースを次の図に示します。
暗号化ボリュームを再暗号化する
CreateVolume アクションが暗号化されたスナップショットに対して実行されるときは、別の KMS キー でそれを再暗号化することができます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キー を所有しています。ソーススナップショットは KMS キー A によって暗号化されています。ボリュームの作成中に、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に復号され、次に KMS キー B によって再暗号化されます。
詳細については、「スナップショットからのボリュームの作成」を参照してください。
暗号化スナップショットを再暗号化する
スナップショットをコピー時に暗号化する機能により、既に暗号化された自己所有のスナップショットに新しい対称暗号化 KMS キーを適用できます。結果として作成されたコピーから復元されたボリュームには、新しい KMS キー を使用してのみアクセスすることができます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キー を所有しています。ソーススナップショットは KMS キー A によって暗号化されています。コピー中に、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に KMS キー B によって再暗号化されます。
関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。デフォルトでは、コピーは、スナップショットの所有者によって共有された KMS キー を使用して暗号化されます。ただし、管理する別の KMS キー を使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元の KMS キー が侵害された場合や、所有者が何らかの理由で KMS キー を無効にした場合に、ボリュームへのアクセスが保護されます。詳細については、「暗号化とスナップショットのコピー」を参照してください。
暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する
暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。
例えば、rsync コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
暗号化の結果
次の表に、設定可能な組み合わせごとの暗号化の結果を示します。
| EBS 暗号化が有効になっていますか? | デフォルトで暗号化が有効になっていますか? | ボリュームのソース | デフォルト (カスタマーマネージド型キーの指定なし) | カスタム (カスタマーマネージド型キーの指定あり) |
|---|---|---|---|---|
| いいえ | いいえ | 新しい (空の) ボリューム | 暗号化されていない | 該当なし |
| いいえ | いいえ | 所有する暗号化されていないスナップショット | 暗号化されていない | |
| いいえ | いいえ | お客様が所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| いいえ | いいえ | お客様と共有されている暗号化されていないスナップショット | 暗号化されていない | |
| いいえ | いいえ | お客様と共有されている暗号化されたスナップショット | デフォルトのカスタマーマネージド型キーで暗号化* | |
| はい | いいえ | 新しいボリューム | デフォルトのカスタマーマネージド型キーで暗号化 | 指定したカスタマーマネージド型キーにより暗号化 ** |
| はい | いいえ | 所有する暗号化されていないスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| はい | いいえ | お客様が所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| はい | いいえ | お客様と共有されている暗号化されていないスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| はい | いいえ | お客様と共有されている暗号化されたスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| いいえ | はい | 新しい (空の) ボリューム | デフォルトのカスタマーマネージド型キーで暗号化 | 該当なし |
| いいえ | はい | 所有する暗号化されていないスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| いいえ | はい | お客様が所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| いいえ | はい | お客様と共有されている暗号化されていないスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| いいえ | はい | お客様と共有されている暗号化されたスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| はい | はい | 新しいボリューム | デフォルトのカスタマーマネージド型キーで暗号化 | 指定したカスタマーマネージド型キーにより暗号化 |
| はい | はい | 所有する暗号化されていないスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| はい | はい | お客様が所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| はい | はい | お客様と共有されている暗号化されていないスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 | |
| はい | はい | お客様と共有されている暗号化されたスナップショット | デフォルトのカスタマーマネージド型キーで暗号化 |
* これは、AWS アカウントとリージョンで、EBS 暗号化に使用されるデフォルトのカスタマーマネージド型キーです。デフォルトでは、これが EBS 用の一意の AWS マネージドキー になりますが、カスタマーマネージド型キーを指定することもできます。詳細については、「EBS 暗号化のデフォルトの KMS キー」を参照してください。
** これは、ボリュームの起動時に指定されたカスタマーマネージド型キーです。このカスタマーマネージド型キーは、AWS アカウントとリージョンで、既定のカスタマーマネージド型キーの代わりに使用されます。
API と CLI を使用した暗号化のデフォルトの設定
以下の API アクションおよび CLI コマンドを使用して、デフォルトで暗号化およびデフォルトの KMS キー を管理できます。
| API アクション | CLI コマンド | 説明 |
|---|---|---|
| disable-ebs-encryption-by-default |
デフォルトでの暗号化を無効にします。 |
|
| enable-ebs-encryption-by-default |
デフォルトでの暗号化を有効にします。 |
|
| get-ebs-default-kms-key-id |
デフォルトの KMS キー について説明します。 |
|
| get-ebs-encryption-by-default |
デフォルトの暗号化が有効かどうかを示します。 |
|
| modify-ebs-default-kms-key-id |
EBS ボリュームの暗号化に使用されるデフォルトの KMS キー を変更します。 |
|
| reset-ebs-default-kms-key-id |
EBS ボリュームの暗号化に使用するデフォルトの KMS キーとして、AWS マネージドキー をリセットします。 |
