Amazon Aurora リソースの暗号化 - Amazon Aurora

Amazon Aurora リソースの暗号化

Amazon AuroraAmazon Aurora DB クラスターを暗号化できます。保管時に暗号化されるデータには、DB クラスター、自動バックアップ、リードレプリカ、スナップショット用の基本的なストレージが含まれます。

Amazon Aurora の暗号化された DB クラスターでは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon Aurora DB クラスターをホストしているデータをサーバーで暗号化します。データが暗号化されると、Amazon Aurora はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。

注記

暗号化された/されていない DB のクラスターでは、AWS リージョン間でレプリケートする場合でも、ソースとリードレプリカ間で送信されるデータは暗号化されます。

Amazon Aurora リソースの暗号化の概要

Amazon Aurora の暗号化された DB クラスターは、基になるストレージへの不正アクセスからデータを保護することによって、データ保護の追加レイヤーを提供します。Amazon Aurora の暗号化を使用して、クラウドにデプロイされるアプリケーションのデータ保護を強化することや、保管時のデータ暗号化に関するコンプライアンスの要件を達成することができます。

Amazon Aurora の暗号化された DB クラスターでは、すべての DB インスタンス、ログ、バックアップ、スナップショットが暗号化されます。Amazon Aurora で暗号化されたクラスターのリードレプリカも暗号化できます。Amazon Aurora は、AWS KMS カスタマーマスターキー (CMK) を使用して、これらのリソースを暗号化できます。CMK の詳細については、AWS Key Management Service デベロッパーガイドの「カスタマーマスターキー (CMK)」を参照してください。DB クラスター内の各 DB インスタンスは、DB クラスターと同じ CMK を使用して暗号化されます。暗号化されたスナップショットをコピーする場合、ソースのスナップショットの暗号化に使用した CMK とは異なる CMK を使用して、ターゲットのスナップショットを暗号化できます。

AWS 管理の CMK を使用することも、カスタマー管理の CMK を作成することもできます。Amazon Aurora リソースを暗号化および復号するために使用する CMK を管理するには、AWS Key Management Service (AWS KMS) を使用します。AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。AWS KMS を使用すると、CMK を作成し、この CMK の使用方法を制御するポリシーを定義できます。AWS KMS は CloudTrail をサポートするため、CMK の使用を監査して、CMK が適切に使用されていることを確認できます。AWS KMS CMK は、Amazon Aurora およびサポートされている AWS のサービス (Amazon S3、Amazon EBS、Amazon Redshift など) で使用できます。AWS KMS と統合しているサービスのリストについては「AWS サービス統合 (AWS Service Integration)」をご覧ください。

Amazon Aurora DB クラスターの暗号化の有効化

新しい DB クラスターの暗号化を有効にするには、コンソールで [Enable encryption] を選択します。DB クラスターの作成については、「Amazon Aurora DB クラスターの作成」を参照してください。

create-db-cluster AWS CLI コマンドを使用して、暗号化された DB クラスターを作成するには、--storage-encrypted パラメータを設定します。CreateDBCluster API オペレーションを使用する場合は、StorageEncrypted パラメータを true に設定します。

暗号化された DB クラスターを作成するときは、カスタマー管理の CMK または Amazon Aurora の AWS 管理の CMK を選択して、DB クラスターを暗号化できます。カスタマー管理の CMK のキー識別子を指定しない場合、Amazon Aurora は新しい DB クラスターに AWS 管理の CMK を使用します。Amazon Aurora は、Amazon Aurora 用の AWS 管理の CMKを AWS アカウントに作成します。AWS アカウントには、AWS リージョンごとに Amazon Aurora の AWS 管理の CMK が別々にあります。

暗号化された DB クラスターを作成したら、その DB クラスターで使用されている CMK を変更することはできません。したがって、暗号化された DB クラスターを作成する前に、CMK の要件を確認してください。

AWS CLI create-db-cluster コマンドを使用して、カスタマー管理の CMK で暗号化された DB クラスターを作成する場合は、--kms-key-id パラメータを CMK の任意のキー識別子に設定します。Amazon RDS API CreateDBInstance オペレーションを使用する場合は、KmsKeyId パラメーターを CMK の任意のキー識別子に設定します。カスタマー管理の CMK を別の AWS アカウントで使用するには、キー ARN またはエイリアス ARN を指定します。

重要

場合によっては、Amazon Aurora は DB クラスターの CMK にアクセスできなくなることがあります。例えば、CMK への RDS のアクセスが取り消されると、Aurora はアクセスを失います。このような場合、暗号化された DB クラスターは終了状態になり、バックアップからのみ DB クラスターを復元できます。データベース内の暗号化されたデータの消失を防ぐために、暗号化された DB クラスターのバックアップは常に有効にしておくことを強くお勧めします。

Amazon Aurora の暗号化の可用性

Amazon Aurora 暗号化は、現在すべてのデータベースエンジンおよびストレージタイプに使用できます。

注記

Amazon Aurora 暗号化は、db.t2.micro DB インスタンスクラスでは使用できません。

Amazon Aurora の暗号化された DB clustersの制限事項

Amazon Aurora の暗号化された DB クラスターには、以下の制限事項があります。

  • 暗号化された DB クラスターの暗号化を無効にすることはできません。

  • 暗号化されていない DB クラスターの暗号化されたスナップショットを作成することはできません。

  • 暗号化された DB クラスターのスナップショットは、DB クラスターと同じ CMK を使用して暗号化する必要があります。

  • 暗号化されていない DB クラスターを暗号化された DB クラスターに変換することはできません。ただし、暗号化されていないスナップショットを暗号化された Aurora DB クラスターに復元することはできます。そのためには、暗号化されていないスナップショットから復元する場合は、CMK を指定します。

  • 暗号化されていない Aurora DB クラスターから、暗号化された Aurora レプリカを作成することはできません。暗号化された Aurora DB クラスターから、暗号化されていない Aurora レプリカを作成することはできません。

  • ある AWS リージョンから別のリージョンに暗号化されたスナップショットをコピーするには、コピー先の AWS リージョンの CMK を指定する必要があります。これは、CMK が、作成される AWS リージョンに固有であるためです。

    送信元スナップショットはコピープロセス全体で暗号化されたままになります。Amazon Auroraは、コピー処理中にエンベロープ暗号化を使用してデータを保護します。エンベロープ暗号化の仕組みの詳細については、AWS Key Management Service デベロッパーガイドの「エンベロープ暗号化」を参照してください。

  • 暗号化された DB クラスターの暗号化を解除することはできません。ただし、暗号化された DB クラスターからデータをエクスポートし、暗号化されていない DB クラスターにデータをインポートすることはできます。