AWS ドキュメント » Amazon EC2 » Linux インスタンス用ユーザーガイド » ストレージ » Amazon Elastic Block Store(Amazon EBS) » Amazon EBS Encryption

Amazon EBS Encryption

Amazon EBS 暗号化 は、EBS ボリュームのために、独自のキー管理インフラストラクチャの構築、管理、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化された EBS ボリュームを作成し、サポートされるインスタンスタイプにアタッチする場合、以下のタイプのデータが暗号化されます。

• ボリューム内の保存データ

• ボリュームとインスタンスの間で移動されるすべてのデータ

• ボリュームから作成されたすべてのスナップショット

• それらのスナップショットから作成されたすべてのボリューム

暗号化オペレーションは EC2 インスタンスをホストするサーバー上で実行され、インスタンスとそれに接続された EBS ストレージ間でのデータの保存と転送中のデータの両方のセキュリティを保証します。

暗号化は、すべての EBS ボリュームタイプ (汎用 SSD [gp2]､プロビジョンド IOPS SSD [io1]､スループット最適化 HDD [st1]､Cold HDD [sc1]､マグネティック [standard]) でサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号化は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。

暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有できます。暗号化されたスナップショットの共有の詳細については、「Amazon EBS スナップショットの共有」を参照してください｡

Amazon EBS 暗号化 は、特定のインスタンスタイプにのみ利用できます。サポートされるインスタンスタイプには、暗号化されたボリュームと暗号化されないボリュームのどちらもアタッチすることができます。詳細については、「サポートされるインスタンスタイプ」を参照してください。

暗号化キーの管理

Amazon EBS 暗号化 では、暗号化されたボリュームと、そのボリュームからスナップショットを作成する際に、AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMKs) が使用されます。独自の AWS マネージド CMK が、AWS アセットを格納する各リージョンで自動的に作成されます。AWS KMS を使用して別途作成したカスタマーマネージド CMK を指定しない限り、このキーが Amazon EBS 暗号化 で使用されます。

注記

独自の CMK を作成すると、アクセスコントロールを定義するためのキーの作成、回転、無効化などの柔軟性が得られます。詳細については、AWS Key Management Service Developer Guide を参照してください。

既存のスナップショットまたは暗号化されたボリュームに関連付けられている CMK を変更することはできません。ただし、スナップショットコピーオペレーション中に別の CMK を関連付けて、コピーしたスナップショットで新しい CMK を使用することができます。

EBS は､業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。データキーは、EBS が CMK で暗号化する前ではなく、暗号化されたデータとともにディスク上に保存されます｡プレインテキストでは表示されません｡同じデータキーは、ボリュームとそのスナップショットから作成された後続のボリュームのスナップショットによって共有されます。

キー管理とキーアクセス許可の詳細については、AWS Key Management Service Developer Guideの「Amazon Elastic Block Store (Amazon EBS) で AWS KMS を使用する方法」と「AWS KMS に対する認証とアクセスコントロール」を参照してください。

サポートされるインスタンスタイプ

Amazon EBS 暗号化 は、以下に示す現行世代のインスタンスタイプで使用できます。これらのインスタンスタイプは、Intel AES New Instructions (AES-NI) 命令セットを利用することで、データ保護の高速化と簡素化を実現します。これらのインスタンスタイプには、暗号化されたボリュームと暗号化されていないボリュームを同時にアタッチすることができます。

• 汎用: T2、T3、M4、M5、M5d

• コンピューティングの最適化: C4、C5、C5d

• メモリ最適化: R4、R5、R5d、X1、X1e、z1d、cr1.8xlarge

• ストレージの最適化: D2、I3、h1.2xlarge、h1.4xlarge、i3.metal

• 高速コンピューティング: F1、G3、P2、P3

これらのインスタンスタイプの詳細については、「Amazon EC2 のインスタンスタイプ」を参照してください。

データの暗号化状態の変更

既存の暗号化されていないボリュームを暗号化したり、暗号化されたボリュームから暗号化を削除する直接的な方法はありません。ただし、暗号化されたボリュームと暗号化されていないボリューム間でデータを移行できます。スナップショットのコピー時に新しい暗号化のステータスを適用することもできます。

• 暗号化されていないボリュームの暗号化されたスナップショットをコピーするとき、コピーを暗号化できます。この暗号化されたコピーから復元されたボリュームも暗号化されます。

• 暗号化されたボリュームの暗号化されたスナップショットをコピーするときに、そのコピーを別の CMK に関連付けることができます。暗号化されたコピーから復元されたボリュームは、新しく適用された CMK を使用してのみアクセスできます。

暗号化されたスナップショットから暗号化を削除できません。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。

暗号化されたボリュームと暗号化されていないボリューム間でデータを移行するには

1. 「Amazon EBS ボリュームの作成」の手順に従って、移行先のボリュームを作成します (必要に応じて、暗号化されたボリュームまたは暗号化されていないボリュームのいずれかになります)。

2. 移行するデータをホストしているインスタンスに、移行先のボリュームをアタッチします。詳細については、「インスタンスへの Amazon EBS ボリュームのアタッチ」を参照してください。

3. 「Linux で Amazon EBS ボリュームを使用できるようにする」の手順に従って、移行先のボリュームを利用可能にします。Linux インスタンスでは、/mnt/destination にマウントポイントを作成し、移行先のボリュームをマウントできます。

4. 移行元のディレクトリから移行先のボリュームにデータをコピーします。これには、一括コピーユーティリティを使用する方法が最も便利な場合があります。

   Linux

   次のように rsync コマンドを使用して、移行元から移行先のボリュームにデータをコピーします。この例では、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。

   [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

   Windows

   コマンドプロンプトから、robocopy コマンドを使用して、移行元から移行先のボリュームにデータをコピーします。この例では、移行元のデータは D:\ にあり、移行先のボリュームは E:\ にマウントされています。

   PS C:\> robocopy D:\<sourcefolder> E:\<destinationfolder> /e /copyall /eta

   注記

   非表示のフォルダで問題が発生することを回避するために、ボリューム全体をコピーするのではなく明示的にフォルダを指定することをお勧めします。

スナップショットをコピーするときに暗号化を適用する

スナップショットには、コピーする間に暗号化を適用できるため、次の手順でもデータを暗号化することができます。

スナップショットのコピーを使用してボリュームのデータを暗号化するには

1. 暗号化されていない EBS ボリュームのスナップショットを作成します。このスナップショットも、暗号化されていません。

2. 暗号化パラメータを適用してスナップショットをコピーします。ターゲットのスナップショットが暗号化されます。

3. 暗号化されたスナップショットを新しいボリュームに復元することもできます。これも暗号化されます。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

新しい CMK へのスナップショットを暗号化する

コピー中にスナップショットを暗号化できると、所有するすでに暗号化されたスナップショットに新しい CMK を適用することもできます。結果として作成されたコピーから復元されたボリュームには、新しい CMK を使用してのみアクセスすることができます。

注記

新しい CMK にスナップショットをコピーする場合、完全 (増分なし) なコピーが常に作成されるため、追加のストレージコストが発生します。

関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。共有されている暗号化スナップショットからボリュームを復元する前に、そのコピーを独自に作成する必要があります。デフォルトでは、コピーは、スナップショットの所有者によって共有された CMK を使用して暗号化されます。ただし、管理する別の CMK を使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元の CMK が侵害された場合や、所有者が何らかの理由で CMK を無効にした場合に、ボリュームへのアクセスが保護されます。

次の手順では、所有するカスタマー管理 CMK に共有スナップショットのコピーを作成する方法を示します。

コンソールを使用して、新しいカスタム CMK に所有するスナップショットをコピーするには

1. カスタマー管理 CMK を作成します｡詳細については、AWS Key Management Service Developer Guide を参照してください。

2. (この例の場合) AWS マネージド CMK に暗号化された EBS ボリュームを作成します。

3. 暗号化された EBS ボリュームのスナップショットを作成します。このスナップショットも、AWS マネージド CMK に暗号化されます。

4. [Snapshots] ページで、[Actions]、[Copy] の順に選択します。

5. [Copy Snapshot] ウィンドウで、[Master Key] フィールドにカスタマー管理 CMK の完全な ARN (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef の形式) を指定するか、メニューから選択します。[Copy] を選択します。

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、カスタマー管理 CMK に暗号化されます。

次の手順では、所有する新しい CMK に共有された暗号化済みスナップショットのコピーを作成する方法を示します。この作業を行うには、共有された暗号化スナップショットと、元々暗号化されていた CMK の両方にアクセス権が必要です。

コンソールを使用して、所有する CMK に共有スナップショットをコピーするには

1. [Snapshots] ページで共有された暗号化スナップショットを選択し、[Actions]、[Copy] の順に選択します。

2. [Copy Snapshot] ウィンドウで、[Master Key] フィールドに所有している CMK の完全な ARN (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef の形式) を指定するか、メニューから選択します。[Copy] を選択します。

スナップショットの結果として作成されるコピー (およびそこから復元されたすべてのボリューム) は、指定した CMK に暗号化されます。共有された元のスナップショット、暗号化ステータス、共有 CMK に変更を加えても、コピーには影響ありません。

詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

Amazon EBS 暗号化と CloudWatch イベント

Amazon EBS では、特定の暗号化関連のシナリオに対して Amazon CloudWatch Events がサポートされています。詳細については、「Amazon CloudWatch Events for Amazon EBS」を参照してください。