レプリケーション インスタンスのための暗号化キーの設定

AWS DMS は、レプリケーション インスタンスで使用されるストレージとエンドポイント接続情報を暗号化します。DMS は、レプリケーション インスタンスで使用されるストレージを暗号化 AWS KMS key するために、 AWS アカウントに固有の AWS を使用します。この KMS キーは、 AWS Key Management Service () を使用して表示および管理できますAWS KMS。アカウント (aws/dms) でデフォルトの KMS キーあるいは自分で作成するカスタム KMS キーを使用できます。既存の AWS KMS 暗号化キーがある場合は、そのキーを暗号化に使用することもできます。

AWS DMS リソースを暗号化する KMS キー識別子を指定することで、独自の暗号化キーを指定できます。独自の暗号化キーを指定した場合、データベース移行の実行に使用されるユーザーアカウントがそのキーにアクセスできる必要があります。独自の暗号化キーを作成して暗号化キーへのユーザーアクセスを許可する方法の詳細については、AWS KMS 開発者ガイドをご参照ください。

KMS キー識別子を指定しない場合、 AWS DMS はデフォルトの暗号化キーを使用します。KMS は、アカウントの AWS AWS DMS のデフォルトの暗号化キーを作成します。 AWS アカウントには、 AWS リージョンごとに異なるデフォルトの暗号化キーがあります。

AWS DMS リソースの暗号化に使用されるキーを管理するには、 を使用します AWS KMS。ナビゲーションペイン AWS KMS で KMS を検索 AWS Management Console することで、 で を見つけることができます。

AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。を使用すると AWS KMS、暗号化キーを作成し、これらのキーの使用方法を制御するポリシーを定義できます。 は AWS KMS をサポートしているため AWS CloudTrail、キーの使用状況を監査して、キーが適切に使用されていることを確認できます。 AWS KMS キーは、 AWS DMS およびその他のサポートされている AWS サービスと組み合わせて使用できます。サポート対象 AWS サービスには、Amazon RDS、Amazon S3、Amazon Elastic Block Store (Amazon EBS)、Amazon Redshift が含まれます。

特定の暗号化キーを使用して AWS DMS リソースを作成した場合、それらのリソースの暗号化キーを変更することはできません。 AWS DMS リソースを作成する前に、必ず暗号化キーの要件を確認してください。