翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EBS暗号化の要件
開始する前に、以下の要件が満たされていることを確認します。
サポートされるボリュームタイプ
暗号化は、すべてのEBSボリュームタイプでサポートされています。暗号化されたボリュームでも、暗号化されていないボリュームでも同じIOPSパフォーマンスが期待でき、レイテンシーへの影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。
サポートされるインスタンスタイプ
Amazon EBS暗号化は、すべての現行世代および旧世代のインスタンスタイプで使用できます。
ユーザーのアクセス許可
EBS 暗号化にKMSキーを使用する場合、KMSキーポリシーは、必要な AWS KMS アクションにアクセスできるすべてのユーザーがこのKMSキーを使用してEBSリソースを暗号化または復号できるようにします。EBS 暗号化を使用するには、次のアクションを呼び出すアクセス許可をユーザーに付与する必要があります。
-
kms:CreateGrant
-
kms:Decrypt
-
kms:DescribeKey
-
kms:GenerateDataKeyWithoutPlainText
-
kms:ReEncrypt
ヒント
最小権限のプリンシパルに従うには、kms:CreateGrant
へのフルアクセスを許可しないでください。代わりに、kms:GrantIsForAWSResource
次の例に示すように、 条件キーを使用して、 AWS サービスによってユーザーに代わって付与が作成された場合にのみ、ユーザーがKMSキーに対する許可を作成できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
詳細については、「 デベロッパーガイド」の「デフォルトキーIAMポリシー」セクションの AWS 「アカウントへのアクセスを許可し、ポリシーを有効にする」を参照してください。 AWS Key Management Service
インスタンスの権限
インスタンスが暗号化された AMI、ボリューム、またはスナップショットとやり取りしようとすると、インスタンスのアイデンティティ専用ロールにKMSキー許可が発行されます。ID 専用ロールは、インスタンスがユーザーに代わって暗号化された AMIs、ボリューム、またはスナップショットを操作するために使用される IAMロールです。
ID のみのロールは、手動で作成または削除する必要はなく、ポリシーも関連付けられていません。また、ID のみのロール認証情報にはアクセスできません。
注記
ID 専用ロールは、インスタンス上のアプリケーションが Amazon S3 オブジェクトや Dynamo DB テーブルなどの暗号化 AWS KMS された他のリソースにアクセスするために使用されません。これらのオペレーションは、Amazon EC2インスタンスロールの認証情報、またはインスタンスで設定したその他の AWS 認証情報を使用して実行されます。
ID のみのロールには、サービスコントロールポリシー (SCPs)、およびKMSキーポリシー が適用されます。SCP または KMSキーがKMSキーへのアイデンティティのみのロールアクセスを拒否した場合、暗号化されたボリューム、または暗号化された またはAMIsスナップショットを使用してEC2インスタンスを起動できない可能性があります。
aws:SourceIp
、、SCP、または aws:SourceVpce
AWS グローバル条件キーを使用してaws:SourceVpc
、ネットワークの場所に基づいてアクセスを拒否する または aws:VpcSourceIp
キーポリシーを作成する場合は、これらのポリシーステートメントがインスタンスのみのロールに適用されないようにする必要があります。ポリシーの例については、「データペリメータポリシーの例
ID のみのロールは、次の形式ARNsを使用します。
arn:
aws-partition
:iam::account_id
:role/aws:ec2-infrastructure/instance_id
キーグラントがインスタンスに発行されると、キーグラントはそのインスタンス固有のロール割り当てセッションに発行されます。被付与者プリンシパルは次の形式ARNを使用します。
arn:
aws-partition
:sts::account_id
:assumed-role/aws:ec2-infrastructure/instance_id