Amazon EBS暗号化 - Amazon EBS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS暗号化

Amazon EC2インスタンスに関連付けられた Amazon EBSリソースの簡単な暗号化ソリューションとして Amazon EBS暗号化を使用します。Amazon EBS暗号化を使用すると、独自のキー管理インフラストラクチャを構築、維持、保護する必要はありません。Amazon EBS暗号化は、暗号化されたボリュームとスナップショットを作成する AWS KMS keys ときに を使用します。

暗号化オペレーションは、EC2インスタンスをホストするサーバーで実行され data-in-transit、インスタンスとそのアタッチされたEBSストレージ間のセキュリティ data-at-restを確保します。

1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。すべての Amazon EC2インスタンスタイプが Amazon EBS暗号化をサポートしています。

EBS リソースの暗号化

暗号化を有効にするには、デフォルトで暗号化を使用するか、暗号化するEBSボリュームを作成するときに暗号化を有効にします。

ボリュームを暗号化するときは、ボリュームの暗号化に使用する対称暗号化KMSキーを指定できます。KMS キーを指定しない場合、暗号化に使用されるKMSキーは、ソーススナップショットの暗号化状態とその所有権によって異なります。詳細については、暗号化結果の表を参照してください。

注記

API または を使用してKMSキー AWS CLI を指定する場合は、 がKMSキーを非同期的に AWS 認証することに注意してください。KMS キー ID、エイリアス、またはARN無効な を指定すると、アクションは完了しているように見えますが、最終的には失敗します。

既存のスナップショットまたはボリュームに関連付けられているKMSキーは変更できません。ただし、スナップショットのコピーオペレーション中に別のKMSキーを関連付けて、コピーされたスナップショットが新しいKMSキーによって暗号化されるようにすることができます。

作成時の空のボリュームの暗号化

新しい空のEBSボリュームを作成するときは、特定のボリューム作成オペレーションの暗号化を有効にすることで、そのボリュームを暗号化できます。デフォルトではEBS暗号化を有効にした場合、ボリュームは暗号化用のデフォルトKMSキーを使用して自動的にEBS暗号化されます。または、特定のボリューム作成オペレーションに別の対称暗号化KMSキーを指定することもできます。ボリュームは最初に使用可能になった時点で暗号化されているため、データは常に保護されています。詳細な手順については、Amazon EBSボリュームを作成するを参照してください。

デフォルトでは、ボリュームの作成時に選択したKMSキーは、ボリュームから作成したスナップショットと、それらの暗号化されたスナップショットから復元したボリュームを暗号化します。暗号化されたボリュームまたはスナップショットから暗号化を削除することはできません。つまり、暗号化されたスナップショット、または暗号化されたスナップショットのコピーから復元されたボリュームは、常に暗号化されます。

暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有できます。詳細な手順については、Amazon EBSスナップショットを他の AWS アカウントと共有するを参照してください。

暗号化されていないリソースの暗号化

暗号化されていない既存のボリュームまたはスナップショットを直接暗号化することはできません。ただし、暗号化されていないボリュームまたはスナップショットから暗号化されたボリュームあるいはスナップショットを作成できます。暗号化をデフォルトで有効にすると、Amazon は暗号化用のデフォルトKMSキーを使用して新しいボリュームとスナップショットEBSを自動的にEBS暗号化します。それ以外の場合は、Amazon 暗号化のデフォルトKMSキーまたは対称カスタマーマネージド暗号化キーを使用して、個々のボリュームまたはスナップショットを作成するときにEBS暗号化を有効にすることができます。詳細については、「Amazon EBSボリュームを作成する」および「Amazon EBSスナップショットのコピー」を参照してください。

スナップショットコピーをカスタマーマネージドキーに暗号化するには、「」に示すように、暗号化を有効にし、KMSキーを指定する必要があります暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)

重要

Amazon EBSは非対称暗号化KMSキーをサポートしていません。詳細については、 AWS Key Management Service デベロッパーガイド「対称暗号化KMSキーと非対称暗号化キーの使用」を参照してください。

EBS-backed からインスタンスを起動するときに、新しい暗号化状態を適用することもできますAMI。これは、EBS-backed には、説明に従って暗号化できるEBSボリュームのスナップショットAMIsが含まれているためです。詳細については、EBS「-backed で暗号化を使用するAMIs」を参照してください。