Amazon EBS 暗号化の要件 - Amazon EBS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS 暗号化の要件

開始する前に、以下の要件が満たされていることを確認します。

サポートされるボリュームタイプ

暗号化は、すべての EBS ボリュームタイプでサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。

サポートされるインスタンスタイプ

Amazon EBS 暗号化は、すべての現行世代および前世代のインスタンスタイプで利用できます。

ユーザーのアクセス許可

EBS 暗号化の KMS キーを使用すると、KMS キーポリシーにより、必要な AWS KMS アクションにアクセスできるすべてのユーザーがこの KMS キーを使用して EBS リソースを暗号化または復号できるようになります。EBS 暗号化を使用するには、次のアクションを呼び出す許可をユーザーに付与する必要があります。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

ヒント

最小権限のプリンシパルに従うには、kms:CreateGrant へのフルアクセスを許可しないでください。代わりに、次の例に示すように、AWS のサービスによってユーザーに代わって許可が作成された場合にのみ、kms:GrantIsForAWSResource コンディションキーを使用して、KMS キーに許可を作成できるようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

詳細については、AWS Key Management Service デベロッパーガイドデフォルトのキーポリシーセクションのAWS アカウントへのアクセスを許可し、IAM ポリシーを有効にするを参照してください。

インスタンスの権限

インスタンスが暗号化された AMI、ボリューム、またはスナップショットと通信しようとすると、インスタンスの ID 専用ロールに KMS キーグラントが発行されます。ID 専用ロールは、インスタンスがユーザーに代わって暗号化された AMI、ボリューム、またはスナップショットを操作するために使用する IAM ロールです。

ID のみのロールは、手動で作成または削除する必要はなく、ポリシーも関連付けられていません。また、ID のみのロール認証情報にはアクセスできません。

注記

ID 専用ロールは、インスタンスのアプリケーションが Amazon S3 オブジェクトや Dynamo DB AWS KMS テーブルなどの他の暗号化されたリソースにアクセスするために使用することはありません。これらの操作は、Amazon EC2 インスタンスロールの認証情報、AWSまたはインスタンスに設定したその他の認証情報を使用して実行されます。

ID のみのロールには、サービスコントロールポリシー (SCP) と KMS キーポリシーが適用されます。SCP キーまたは KMS キーが KMS キーへの ID 専用ロールアクセスを拒否すると、暗号化されたボリュームで、または暗号化された AMI やスナップショットを使用して EC2 インスタンスを起動できないことがあります。

aws:SourceIpaws:VpcSourceIpaws:SourceVpc、またはaws:SourceVpce AWSグローバル条件キーを使用してネットワークロケーションに基づいてアクセスを拒否する SCP またはキーポリシーを作成する場合は、これらのポリシーステートメントがインスタンスのみのロールに適用されないようにする必要があります。ポリシーの例については、「データペリメータポリシーの例」を参照してください。

ID 専用ロール ARN は次の形式を使用します:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

キーグラントがインスタンスに発行されると、キーグラントはそのインスタンス固有のロール割り当てセッションに発行されます。被付与者のプリンシパル ARN は以下の形式を使用します:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id