Amazon EBS 暗号化の要件 - Amazon EBS
サポートされるボリュームタイプサポートされるインスタンスタイプユーザーのアクセス許可インスタンスの権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS 暗号化の要件

開始する前に、以下の要件が満たされていることを確認します。

サポートされるボリュームタイプ

暗号化は、すべての EBS ボリュームタイプでサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。

サポートされるインスタンスタイプ

Amazon EBS 暗号化は、すべての現行世代および前世代のインスタンスタイプで利用できます。

ユーザーのアクセス許可

EBS 暗号化に KMS キーを使用する場合、KMS キーポリシーは、必要な AWS KMS アクションにアクセスできるすべてのユーザーがこの KMS キーを使用して EBS リソースを暗号化または復号できるようにします。EBS 暗号化を使用するには、次のアクションを呼び出す許可をユーザーに付与する必要があります。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

ヒント

最小権限のプリンシパルに従うには、kms:CreateGrant へのフルアクセスを許可しないでください。代わりに、次の例に示すように、 AWS サービスによってユーザーに代わって許可が作成された場合にのみ、 kms:GrantIsForAWSResource条件キーを使用して KMS キーに対する許可の作成をユーザーに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

詳細については、「 AWS Key Management Service デベロッパーガイド」の「デフォルトキーポリシー」セクションの AWS 「アカウントへのアクセスを許可し、IAM ポリシーを有効にする」を参照してください。

インスタンスの権限

インスタンスが暗号化された AMI、ボリューム、またはスナップショットと通信しようとすると、インスタンスの ID 専用ロールに KMS キーグラントが発行されます。ID 専用ロールは、インスタンスがユーザーに代わって暗号化された AMI、ボリューム、またはスナップショットを操作するために使用する IAM ロールです。

ID のみのロールは、手動で作成または削除する必要はなく、ポリシーも関連付けられていません。また、ID のみのロール認証情報にはアクセスできません。

注記

ID 専用ロールは、Amazon S3 オブジェクトや Dynamo DB テーブルなどの暗号化 AWS KMS された他のリソースにアクセスするために、インスタンス上のアプリケーションでは使用されません。 Dynamo DB これらのオペレーションは、Amazon EC2 インスタンスロールの認証情報、またはインスタンスで設定したその他の AWS 認証情報を使用して実行されます。

ID のみのロールには、サービスコントロールポリシー (SCP) と KMS キーポリシーが適用されます。SCP キーまたは KMS キーが KMS キーへの ID 専用ロールアクセスを拒否すると、暗号化されたボリュームで、または暗号化された AMI やスナップショットを使用して EC2 インスタンスを起動できないことがあります。

aws:SourceIp、、、または aws:SourceVpce AWS グローバル条件キーを使用して、ネットワークの場所に基づいてアクセスを拒否する SCP aws:VpcSourceIpaws:SourceVpcまたはキーポリシーを作成する場合は、これらのポリシーステートメントがインスタンスのみのロールに適用されないようにする必要があります。ポリシーの例については、「データペリメータポリシーの例」を参照してください。

ID 専用ロール ARN は次の形式を使用します:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

キーグラントがインスタンスに発行されると、キーグラントはそのインスタンス固有のロール割り当てセッションに発行されます。被付与者のプリンシパル ARN は以下の形式を使用します:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id