Amazon EBS 暗号化の要件 - Amazon EBS
サポートされるボリュームタイプサポートされるインスタンスタイプユーザーのアクセス許可インスタンスの権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS 暗号化の要件

開始する前に、以下の要件が満たされていることを確認します。

サポートされるボリュームタイプ

暗号化は、すべての EBS ボリュームタイプでサポートされています。暗号化されたボリュームでも、暗号化されていないボリュームでも同じ IOPS パフォーマンスが期待でき、レイテンシーへの影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。

サポートされるインスタンスタイプ

Amazon EBS 暗号化は、すべての現行世代および旧世代のインスタンスタイプで使用できます。

ユーザーのアクセス許可

KMS EBS暗号化に Word キーを使用する場合、KMS キーポリシーは、必要な AWS KMS アクションにアクセスできるすべてのユーザーがこの KMS キーを使用して EBS リソースを暗号化または復号できるようにします。EBS 暗号化を使用するには、次のアクションを呼び出すアクセス許可をユーザーに付与する必要があります。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

ヒント

最小権限のプリンシパルに従うには、kms:CreateGrant へのフルアクセスを許可しないでください。代わりに、次の例に示すように、 AWS 条件kms:GrantIsForAWSResourceキーを使用して、サービスによってユーザーに代わって許可が作成された場合にのみ、ユーザーが KMS キーに対する許可を作成できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

詳細については、「 デベロッパーガイド」の「デフォルトキーポリシー」セクションの AWS 「アカウントへのアクセスを許可し、IAM ポリシーを有効にする」を参照してください。 AWS Key Management Service

インスタンスの権限

インスタンスが暗号化された AMI、ボリューム、またはスナップショットとやり取りしようとすると、インスタンスのアイデンティティ専用ロールに KMS キー許可が発行されます。ID 専用ロールは、インスタンスがユーザーに代わって暗号化された IAM、ボリューム、またはスナップショットを操作するために使用される AMIs ロールです。

ID のみのロールは、手動で作成または削除する必要はなく、ポリシーも関連付けられていません。また、ID のみのロール認証情報にはアクセスできません。

注記

ID 専用ロールは、インスタンス上のアプリケーションが Amazon S3 オブジェクトや Dynamo DB テーブルなどの他の AWS KMS 暗号化されたリソースにアクセスするために使用されません。これらのオペレーションは、Amazon EC2 インスタンスロールの認証情報、またはインスタンスで設定したその他の AWS 認証情報を使用して実行されます。

ID のみのロールは、サービスコントロールポリシー (SCPs)、および KMS キーポリシーの対象となります。SCP または KMS キーが KMS キーへのアイデンティティのみのロールアクセスを拒否すると、暗号化されたボリューム、または暗号化された EC2 またはスナップショットを使用して AMIs インスタンスを起動できない場合があります。

aws:SourceIp、、、または aws:SourceVpce AWS グローバル条件キーを使用して、ネットワークの場所に基づいてアクセスを拒否する SCP aws:VpcSourceIpaws:SourceVpcまたはキーポリシーを作成する場合は、これらのポリシーステートメントがインスタンスのみのロールに適用されないようにする必要があります。ポリシーの例については、「データペリメータポリシーの例」を参照してください。

ID 専用ロール ARNs は次の形式を使用します。

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

キーグラントがインスタンスに発行されると、キーグラントはそのインスタンス固有のロール割り当てセッションに発行されます。被付与者プリンシパル ARN は次の形式を使用します。

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id