Amazon Aurora
Aurora のユーザーガイド (API バージョン 2014-10-31)

Amazon Aurora リソースの暗号化

保管時の Amazon Aurora DB クラスターとスナップショットを暗号化するには、Amazon Aurora DB クラスターの暗号化オプションを有効にします。保管時に暗号化されるデータには、DB クラスター、自動バックアップ、リードレプリカ、スナップショットの基本的なストレージが含まれます。

Amazon Aurora の暗号化された DB クラスターでは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon Aurora DB クラスターをホストしているデータをサーバーで暗号化します。データが暗号化されると、Amazon Aurora はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。

注記

リージョン間リードレプリカを持つ暗号化された/されていない DB のクラスターでは、AWS リージョン間でレプリケートする場合でも、ソースとリードレプリカ間で送信されるデータは暗号化されます。

Amazon Aurora リソースの暗号化の概要

Amazon Aurora の暗号化された DB クラスターは、基になるストレージへの不正アクセスからデータを保護することによって、データ保護の追加レイヤーを提供します。Amazon Aurora の暗号化を使用して、クラウドにデプロイされるアプリケーションのデータ保護を強化することや、および保管時のデータ暗号化に関するコンプライアンスの要件を達成することができます。

Amazon Aurora リソースを暗号化および復号するために使用するキーを管理するには、AWS Key Management Service (AWS KMS) を使用します。AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。AWS KMS を使用すると、キーの暗号化を作成し、このキーの使用方法を制御するポリシーを定義できます。AWS KMS は CloudTrail をサポートするため、キーの使用を監査して、キーが適切に使用されていることを確認できます。AWS KMS キーは、Amazon Aurora と、サポートされている AWS のサービス (Amazon S3、Amazon EBS、Amazon Redshift など) と組み合わせて使用できます。AWS KMS をサポートしているサービスのリストについては、『AWS Key Management Service 開発者ガイド』の「サポートされるサービス」を参照してください。

Amazon Aurora の暗号化された DB クラスターでは、すべてのログ、バックアップ、スナップショットが暗号化されます。Amazon Aurora の暗号化されたクラスターのリードレプリカも暗号化できます。リードレプリカの暗号化は、AWS リージョンの KMS マスターキーによって保護されています。

Amazon Aurora DB クラスターの暗号化の有効化

新しい DB クラスターの暗号化を有効にするには、コンソールで [Enable encryption] を選択します。DB クラスターの作成については、「Amazon Aurora DB クラスターの作成」を参照してください。

create-db-cluster AWS CLI コマンドを使用して、暗号化された DB クラスターを作成するには、--storage-encrypted パラメータを true に設定します。CreateDBCluster API オペレーションを使用する場合は、StorageEncrypted パラメータを true に設定します。

暗号化された DB クラスターを作成するときに、暗号化キーとして AWS KMS キー識別子を指定できます。AWS KMS キー識別子を指定しない場合、Amazon Aurora は新しい DB クラスターに対してデフォルトの暗号化キーを使用します。AWS KMS は、AWS アカウント用に Amazon Aurora のデフォルトの暗号化キーを作成します。AWS アカウントには、AWS のリージョンごとにデフォルトの暗号化キーがあります。

暗号化された DB クラスターを作成したら、その DB クラスターで使用されている暗号化キーの種類を変更することはできません。したがって、暗号化された DB クラスターを作成する前に、暗号化キーの要件を確認してください。

AWS CLI create-db-cluster コマンドを使用して、暗号化された RDS DB クラスターを作成する場合は、--kms-key-id パラメータを、DB クラスターの KMS キーの Amazon リソースネーム (ARN) に設定します。RDS API の CreateDBCluster アクションを使用する場合は、KmsKeyId パラメータを、DB クラスターの KMS キーの ARN に設定します。

別のアカウントのキーの ARN を使用して、RDS DB クラスターを暗号化できます。または、その新しい DB クラスターを暗号化するために使用される KMS 暗号化キーを所有しているのと同じ AWS アカウントで、DB クラスターを作成できます。その場合、渡す KMS キー ID は、キーの ARN ではなく KMS キーになります。

重要

場合によっては、Amazon Aurora は DB クラスターの暗号化キーへのアクセスを失う可能性があります。たとえば、キーへの RDS のアクセスが取り消されると、Aurora はアクセスを失います。このような場合、暗号化された DB クラスターは終了状態になり、バックアップからのみ DB クラスターを復元できます。データベース内の暗号化されたデータの消失を防ぐために、暗号化された DB クラスターのバックアップは常に有効にしておくことを強くお勧めします。

Amazon Aurora の暗号化の可用性

Amazon Aurora の暗号化は、現在すべてのデータベースエンジンおよびストレージタイプで使用することができます。Amazon Aurora​ 暗号化は現在、中国 (北京) リージョンでは使用できません。

注記

Amazon Aurora 暗号化は、db.t2.micro DB インスタンスクラスでは使用できません。

Amazon Aurora の暗号化された DB クラスターの制限事項

Amazon Aurora の暗号化された DB クラスターには、以下の制限事項があります。

  • 暗号化された DB クラスターを変更して暗号化を無効にすることはできません。

  • 暗号化されていない DB クラスターを暗号化された DB クラスターに変換することはできません。ただし、暗号化されていない Aurora DB クラスタースナップショットを暗号化された Aurora DB クラスターに復元することができます。そのためには、暗号化されていない DB クラスタースナップショットから復元する場合は、KMS 暗号化キーを指定します。

  • 暗号化されていない Aurora DB クラスターから、暗号化された Aurora レプリカを作成することはできません。暗号化された Aurora DB クラスターから、暗号化されていない Aurora レプリカを作成することはできません。

  • ある AWS リージョンから別のリージョンに暗号化されたスナップショットをコピーするには、コピー先の AWS リージョンの KMS キー識別子を指定する必要があります。これは、KMS 暗号化キーは作成された AWS リージョンに固有であるためです。

    送信元スナップショットはコピープロセス全体で暗号化されたままになります。AWS Key Management Service では、コピー処理中にエンベロープ暗号化を使用してデータを保護します。エンベロープ暗号化の仕組みの詳細については、「エンベロープ暗号化」を参照してください。