Amazon EBS 暗号化
Amazon EBS 暗号化 は、EC2 インスタンスに関連付けられた EBS リソースの簡単な暗号化ソリューションとして使用します。Amazon EBS 暗号化 では、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。Amazon EBS 暗号化 は、暗号化されたボリュームやスナップショットの作成時に AWS KMS keys を使用します。
暗号化オペレーションは EC2 インスタンスをホストするサーバー上で実行され、インスタンスとそれに接続された EBS ストレージ間でのデータの保存と転送中のデータの両方のセキュリティを保証します。
1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。
目次
EBS 暗号化の仕組み
EC2 インスタンスのブートボリュームとデータボリュームの両方を暗号化できます。
暗号化された EBS ボリュームを作成し、サポートされるインスタンスタイプにアタッチする場合、以下のタイプのデータが暗号化されます。
-
ボリューム内の保存データ
-
ボリュームとインスタンスの間で移動されるすべてのデータ
-
ボリュームから作成されたすべてのスナップショット
-
それらのスナップショットから作成されたすべてのボリューム
EBS は、業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。データキーは、KMS key を使用して EBS が暗号化を処理した後に、暗号化されたデータとともにディスク上に保存されます。データキーはプレーンテキストでディスクに表示されません。同じデータキーは、ボリュームとそのスナップショットから作成された後続のボリュームのスナップショットによって共有されます。詳細については、AWS Key Management Service Developer Guideの「データキー」を参照してください。
Amazon EC2 AWS KMSはと連携して、EBS ボリュームの暗号化と復号化を行います。この処理の方法は、暗号化されたボリュームから作成されたスナップショットが、暗号化されているか暗号化されていないかによって若干異なります。
暗号化されたスナップショットに対する EBS 暗号化の動作
ユーザーが所有している暗号化されたスナップショットから暗号化されたボリュームを作成する場合、Amazon EC2 は AWS KMS と連携して、次のように EBS ボリュームを暗号化および復号化します。
-
Amazon EC2 は、ボリュームの暗号化用にユーザーが選択した KMS key を指定しながら、GenerateDataKeyWithoutPlaintext リクエストを AWS KMS に送信します。
-
AWS KMS は新しいデータキーを生成し、ボリュームの暗号化用に選択した KMS key で暗号化して、暗号化したデータキーを Amazon EBS に送信してボリュームのメタデータと共に保存します。
-
暗号化されたボリュームをインスタンスにアタッチすると、Amazon EC2 は CreateGrant リクエストを AWS KMS に送信し、データキーを復号化できるようにします。
-
AWS KMS は、暗号化されたデータキーを復号して、Amazon EC2 に復号されたデータキーを送信します。
-
Amazon EC2 は、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ディスク I/O をボリュームに暗号化します。プレーンテキストデータキーは、ボリュームがインスタンスにアタッチされる限り、メモリ内で維持されます。
暗号化されていないスナップショットに対する EBS 暗号化の動作
暗号化されていないスナップショットから暗号化されたボリュームを作成する場合、Amazon EC2 は AWS KMS と連携して、次のように EBS ボリュームを暗号化および復号化します。
-
Amazon EC2は CreateGrant リクエストを AWS KMS に送信し、スナップショットから作成されたボリュームを暗号化できるようにします。
-
Amazon EC2 は、ボリュームの暗号化用にユーザーが選択した KMS key を指定しながら、GenerateDataKeyWithoutPlaintext リクエストを AWS KMS に送信します。
-
AWS KMS は新しいデータキーを生成し、ボリュームの暗号化用に選択した KMS key で暗号化して、暗号化したデータキーを Amazon EBS に送信してボリュームのメタデータと共に保存します。
-
Amazon EC2は Decrypt リクエストを AWS KMS に送信して、ボリュームデータを暗号化するための暗号化キーを取得します。
-
暗号化されたボリュームをインスタンスにアタッチすると、Amazon EC2 は CreateGrant リクエストを AWS KMS に送信し、データキーを復号できるようにします。
-
暗号化されたボリュームをインスタンスにアタッチすると、Amazon EC2 は暗号化されたデータキーを指定しながら、Decrypt リクエストを AWS KMS に送信します。
-
AWS KMS は、暗号化されたデータキーを復号して、Amazon EC2 に復号されたデータキーを送信します。
-
Amazon EC2 は、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ディスク I/O をボリュームに暗号化します。プレーンテキストデータキーは、ボリュームがインスタンスにアタッチされる限り、メモリ内で維持されます。
詳細については、AWS Key Management Service Developer Guideの「Amazon Elastic Block Store (Amazon EBS) で AWS KMS を使用する方法」および「Amazon EC2 の例 2」を参照してください。
要件
開始する前に、以下の要件が満たされていることを確認します。
サポートされるボリュームタイプ
暗号化は、すべての EBS ボリュームタイプでサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。
サポートされるインスタンスタイプ
Amazon EBS 暗号化 は、現世代のすべてのインスタンスタイプ、および旧世代のインスタンスタイプ A1、C3、cr1.8xlarge、G2、I2、M3、R3 で使用できます。
IAM ユーザーのアクセス権限
EBS 暗号化のデフォルトキーとして KMS key を設定すると、デフォルトの KMS key ポリシーにより、必要な KMS アクションにアクセスできるすべての IAM ユーザーがこの KMS key を使用して EBS リソースを暗号化または復号できるようになります。EBS 暗号化を使用するには、次のアクションを呼び出すアクセス権限を IAM ユーザーに付与する必要があります。
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlainText -
kms:ReEncrypt
最小権限のプリンシパルに従うには、kms:CreateGrant へのフルアクセスを許可しないでください。代わりに、次の例に示すように、AWS のサービスによってユーザーに代わって許可が作成された場合にのみ、KMS key に許可を作成できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
詳細については、AWS Key Management Service Developer Guide のデフォルトキーポリシーのセクションの AWS アカウントへのアクセスを許可し、IAM ポリシーを有効にするをご参照ください。
EBS 暗号化のデフォルトの KMS key
Amazon EBS は、AWS リソースを保存する各リージョンに一意の AWS managed key を自動的に作成します。この KMS key にはエイリアス
alias/aws/ebs があります。デフォルトでは、Amazon EBS は暗号化にこの KMS key を使用します。または、作成した対称 customer managed key を
EBS 暗号化のデフォルトの KMS key として指定することもできます。独自の KMS key を使用することにより、KMS keys の作成、更新、無効化ができるなど、より高い柔軟性が得られます。
Amazon EBS は非対称 KMS keys をサポートしていません。詳細については、AWS Key Management Service Developer Guide の 対称および非対称 KMS keys の使用をご参照ください。
デフォルトでの暗号化
作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。たとえば、Amazon EBS は、インスタンスの起動時に作成された EBS ボリュームと、暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていない EBS リソースから暗号化された EBS リソースへの移行の例については、「暗号化されていないリソースの暗号化」を参照してください。
デフォルトでは、暗号化は既存の EBS ボリュームまたはスナップショットには影響しません。
考慮事項
-
デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョン内の個々のボリュームまたはスナップショットに対して無効にすることはできません。
-
デフォルトで暗号化を有効にすると、インスタンスタイプが EBS 暗号化をサポートしている場合にのみ、インスタンスを起動できます。詳細については、「サポートされるインスタンスタイプ」を参照してください。
-
スナップショットをコピーして新しい KMS キーに暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
AWS Server Migration Service (SMS) を使用してサーバーを移行する場合は、デフォルトでの暗号化を有効にしないでください。デフォルトでの暗号化がすでに有効になっていて、デルタレプリケーションエラーが発生している場合は、デフォルトでの暗号化を無効にしてください。代わりに、レプリケーションジョブの作成時に AMI 暗号化を有効にします。
既存のスナップショットまたは暗号化されたボリュームに関連付けられている KMS key を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS key を関連付けて、コピーしたスナップショットを新しい KMS key で暗号化できます。
EBS リソースの暗号化
EBS ボリュームを暗号化するには、デフォルトでの暗号化を使用するか、暗号化するボリュームを作成するときに暗号化を有効にします。
ボリュームを暗号化する場合、ボリュームの暗号化に使用する対称 KMS key を指定できます。KMS key が指定されていない場合、暗号化に使用される KMS key はソーススナップショットの暗号化状態とその所有権によって異なります。詳細については、「暗号化結果の表」を参照してください。
API または AWS CLI を使用して KMS key を指定している場合は、AWS によって KMS key が非同期的に認証されます。無効な KMS key ID、エイリアス、または ARN を指定すると、アクションは完了したように見える場合がありますが、最終的には失敗します。
既存のスナップショットまたはボリュームに関連付けられている KMS key を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS key を関連付けて、コピーしたスナップショットを新しい KMS key で暗号化できます。
作成時の空のボリュームの暗号化
新しい空の EBS ボリュームを作成するときは、特定のボリューム作成オペレーションで暗号化を有効にすることで暗号化できます。デフォルトで EBS 暗号化を有効にしたボリュームでは、EBS 暗号化用のデフォルト KMS key を使用した暗号化が、自動的に実行されます。または、ボリュームの作成オペレーションごとに異なる対称 KMS key を指定することもできます。ボリュームは最初に使用可能になった時点で暗号化されているため、データは常に保護されています。詳細な手順については、「Amazon EBS ボリュームの作成」を参照してください。
デフォルトでは、ボリュームの作成時に選択した KMS key が、ボリュームから作成したスナップショットとそれらの暗号化されたスナップショットから復元したボリュームを暗号化します。暗号化されたボリュームまたはスナップショットから暗号化を削除することはできません。つまり、暗号化されたスナップショット、または暗号化されたスナップショットのコピーから復元されたボリュームは、常に暗号化されます。
暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有できます。詳細な手順については、「Amazon EBS スナップショットの共有」を参照してください。
暗号化されていないリソースの暗号化
暗号化されていない既存のボリュームまたはスナップショットを直接暗号化する方法はありませんが、ボリュームまたはスナップショットを作成することで暗号化できます。暗号化をデフォルトで有効にした場合、Amazon EBS は EBS 暗号化のデフォルト KMS key を使用して、作成された新しいボリュームまたはスナップショットを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。暗号化をデフォルトで有効にするか、作成オペレーションごとに有効にするかにかかわらず、EBS 暗号化のデフォルト KMS key を上書きし、対称 customer managed key を選択できます。詳細については、「Amazon EBS ボリュームの作成」および「Amazon EBS スナップショットのコピー」を参照してください。
スナップショットコピーを customer managed key に暗号化するには、暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合) に示すように、暗号化を有効にし、KMS key を指定する必要があります 。
Amazon EBS は非対称 KMS keys をサポートしていません。詳細については、AWS Key Management Service Developer Guide の 対称および非対称 KMS keys の使用をご参照ください。
EBS-Backed AMI からインスタンスを起動するときに新しい暗号化状態を適用することもできます。これは、EBS-backed AMI に、説明の通りに暗号化できる EBS ボリュームのスナップショットが含まれているためです。詳細については、「EBS-backed AMI での暗号化の利用」を参照してください。
暗号化シナリオ
暗号化された EBS リソースを作成すると、ボリューム作成パラメータまたは AMI やインスタンスのブロックデバイスマッピングで別の customer managed key を指定しない限り、アカウントの EBS 暗号化のデフォルト KMS key によって暗号化されます。詳細については、EBS 暗号化のデフォルトの KMS key をご参照ください。
次の例では、ボリュームとスナップショットの暗号化状態を管理する方法を示します。暗号化のケースの完全なリストについては、「暗号化の結果の表」を参照してください。
例
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)
デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットから復元されたボリュームは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のボリュームを暗号化することができます。以下の図は、そのプロセスを示したものです。
KmsKeyId パラメータを省略すると、結果のボリュームは EBS 暗号化のデフォルト KMS key を使用して暗号化されます。ボリュームを別の KMS key に暗号化するには、KMS
key ID を指定する必要があります。
詳細については、「スナップショットからのボリュームの作成」を参照してください。
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)
デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットから復元されたボリュームには暗号化が必須であり、デフォルトの KMS key を使用するために暗号化パラメータは必要ありません。以下の図に、このデフォルトの簡単なケースを示しています。
復元したボリュームを対称 customer managed key に暗号化する場合は、暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合) に示すように Encrypted と KmsKeyId の両方のパラメータを指定する必要があります。
暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)
デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットのコピーは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のスナップショットを暗号化することができます。KmsKeyId を省略すると、結果のスナップショットはデフォルトの KMS key に暗号化されます。ボリュームを別の対称 KMS key に暗号化するには、KMS key ID
を指定する必要があります。
以下の図は、そのプロセスを示したものです。
EBS ボリュームを暗号化するには、暗号化されていないスナップショットを暗号化されたスナップショットにコピーし、その暗号化されたスナップショットからボリュームを作成することができます。詳細については、「Amazon EBS スナップショットのコピー」を参照してください。
暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)
デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットのコピーには暗号化が必須であり、デフォルトの KMS key を使用する場合は、暗号化パラメータは必要ありません。このデフォルトのケースを次の図に示します。
暗号化ボリュームを再暗号化する
CreateVolume アクションが暗号化されたスナップショットに対して実行されるときは、別の KMS key でそれを再暗号化することができます。以下の図は、そのプロセスを示したものです。この例では、KMS
key A と KMS key B の 2 つの KMS keys を所有しています。ソーススナップショットは KMS key A によって暗号化されています。ボリュームの作成中に、パラメータとして指定された
KMS key B の KMS key ID を使用して、ソースデータは自動的に復号され、次に KMS key B によって再暗号化されます。
詳細については、「スナップショットからのボリュームの作成」を参照してください。
暗号化スナップショットを再暗号化する
スナップショットをコピー時に暗号化する機能により、既に暗号化された自己所有のスナップショットに新しい対称 KMS key を適用できます。結果として作成されたコピーから復元されたボリュームには、新しい KMS key を使用してのみアクセスすることができます。以下の図は、そのプロセスを示したものです。この例では、KMS key A と KMS key B の 2 つの KMS keys を所有しています。ソーススナップショットは KMS key A によって暗号化されています。コピー中に、パラメータとして指定された KMS key B の KMS key ID を使用して、ソースデータは自動的に KMS key B によって再暗号化されます。
関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。デフォルトでは、コピーは、スナップショットの所有者によって共有された KMS key を使用して暗号化されます。ただし、管理する別の KMS key を使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元の KMS key が侵害された場合や、所有者が何らかの理由で KMS key を無効にした場合に、ボリュームへのアクセスが保護されます。詳細については、暗号化とスナップショットのコピー をご参照ください。
暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する
暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。
たとえば、rsync コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
暗号化の結果
次の表では、考えられる設定の組み合わせごとの暗号化の結果について説明しています。
| 暗号化は可能ですか? | 暗号化はデフォルトで有効になっていますか? | ボリュームのソース | デフォルト (CMK が指定されていない) | カスタム (CMK が指定されている) |
|---|---|---|---|---|
| いいえ | いいえ | 新しい (空の) ボリューム | 暗号化されていない | 該当なし |
| いいえ | いいえ | 所有する暗号化されていないスナップショット | 暗号化されていない | |
| いいえ | いいえ | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| いいえ | いいえ | 自分と共有されている暗号化されていないスナップショット | 暗号化されていない | |
| いいえ | いいえ | 自分と共有されている暗号化されたスナップショット | デフォルト CMK* で暗号化されている | |
| はい | いいえ | 新しいボリューム | デフォルト CMK で暗号化されている | 指定された CMK** で暗号化されている |
| はい | いいえ | 所有する暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| はい | いいえ | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| はい | いいえ | 自分と共有されている暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| はい | いいえ | 自分と共有されている暗号化されたスナップショット | デフォルト CMK で暗号化されている | |
| いいえ | はい | 新しい (空の) ボリューム | デフォルト CMK で暗号化されている | 該当なし |
| いいえ | はい | 所有する暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| いいえ | はい | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| いいえ | はい | 自分と共有されている暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| いいえ | はい | 自分と共有されている暗号化されたスナップショット | デフォルト CMK で暗号化されている | |
| はい | はい | 新しいボリューム | デフォルト CMK で暗号化されている | 指定された CMK で暗号化されている |
| はい | はい | 所有する暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| はい | はい | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| はい | はい | 自分と共有されている暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| はい | はい | 自分と共有されている暗号化されたスナップショット | デフォルト CMK で暗号化されている |
* これは、AWS アカウントおよびリージョンでの EBS 暗号化に使用されるデフォルトの CMK です。これはデフォルトでは、EBS 用の一意の AWS 管理の CMK です。または、カスタマー管理の CMK を指定できます。詳細については、「EBS 暗号化のデフォルトの KMS key」を参照してください。
** これは、起動時にボリュームに対して指定されたカスタマー管理の CMK です。この CMK は、AWS アカウントおよびリージョンのデフォルトの CMK の代わりに使用されます。
API と CLI を使用した暗号化のデフォルトの設定
以下の API アクションおよび CLI コマンドを使用して、デフォルトで暗号化およびデフォルトの KMS key を管理できます。
| API アクション | CLI コマンド | 説明 |
|---|---|---|
| disable-ebs-encryption-by-default |
デフォルトでの暗号化を無効にします。 |
|
| enable-ebs-encryption-by-default |
デフォルトでの暗号化を有効にします。 |
|
| get-ebs-default-kms-key-id |
デフォルトの KMS key について説明します。 |
|
| get-ebs-encryption-by-default |
デフォルトの暗号化が有効かどうかを示します。 |
|
| modify-ebs-default-kms-key-id |
EBS ボリュームの暗号化に使用されるデフォルトの KMS key を変更します。 |
|
| reset-ebs-default-kms-key-id |
AWS managed key を EBS ボリュームの暗号化に使用するデフォルトの KMS key としてリセットします。 |
