Amazon EBS 暗号化の例 - Amazon EBS
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合) 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)暗号化ボリュームを再暗号化する暗号化スナップショットを再暗号化する暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する暗号化の結果

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS 暗号化の例

暗号化された EBS リソースを作成すると、ボリューム作成パラメータまたは AMI やインスタンスのブロックデバイスマッピングで別の カスタマーマネージド型キー を指定しない限り、アカウントの EBS 暗号化のデフォルト KMS キー によって暗号化されます。詳細については、「EBS 暗号化の KMS キーの選択」を参照してください。

次の例では、ボリュームとスナップショットの暗号化状態を管理する方法を示します。暗号化のケースの完全なリストについては、暗号化の結果の表を参照してください。

暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットから復元されたボリュームは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のボリュームを暗号化することができます。以下の図は、そのプロセスを示したものです。

暗号化されていないスナップショットからボリュームを作成する場合は、KMS キーを指定して暗号化されたボリュームを作成します。

KmsKeyId パラメータを省略すると、結果のボリュームは EBS 暗号化のデフォルト KMS キー を使用して暗号化されます。ボリュームを別の KMS キー に暗号化するには、KMS キー ID を指定する必要があります。

詳細については、スナップショットからのボリュームの作成を参照してください。

暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)

デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットから復元されたボリュームには暗号化が必須であり、デフォルトの KMS キー を使用するために暗号化パラメータは必要ありません。以下の図に、このデフォルトの簡単なケースを示しています。

暗号化されていないスナップショットからボリュームを作成するときに、デフォルトで暗号化が有効になっている場合、デフォルトの KMS キーを使用して暗号化されたボリュームが作成されます。

復元したボリュームを対称カスタマーマネージド型暗号化キーに暗号化する場合は、暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合) に示すように EncryptedKmsKeyId の両方のパラメータを指定する必要があります。

暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットのコピーは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のスナップショットを暗号化することができます。KmsKeyId を省略すると、結果のスナップショットはデフォルトの KMS キー に暗号化されます。ボリュームを別の対称暗号化 KMS キーに暗号化するには、KMS キー ID を指定する必要があります。

以下の図は、そのプロセスを示したものです。

暗号化されていないスナップショットから暗号化されたスナップショットを作成します。

EBS ボリュームを暗号化するには、暗号化されていないスナップショットを暗号化されたスナップショットにコピーし、その暗号化されたスナップショットからボリュームを作成することができます。詳細については、Amazon EBS スナップショットのコピーを参照してください。

暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)

デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットのコピーには暗号化が必須であり、デフォルトの KMS キー を使用する場合は、暗号化パラメータは必要ありません。このデフォルトのケースを次の図に示します。

暗号化されていないスナップショットから暗号化されたスナップショットを作成します。

暗号化ボリュームを再暗号化する

CreateVolume アクションが暗号化されたスナップショットに対して実行されるときは、別の KMS キー でそれを再暗号化することができます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キー を所有しています。ソーススナップショットは KMS キー A によって暗号化されています。ボリュームの作成中に、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に復号され、次に KMS キー B によって再暗号化されます。

暗号化されたスナップショットをコピーして、そのコピーを新しい KMS キー に暗号化します。

詳細については、スナップショットからのボリュームの作成を参照してください。

暗号化スナップショットを再暗号化する

スナップショットをコピー時に暗号化する機能により、既に暗号化された自己所有のスナップショットに新しい対称暗号化 KMS キーを適用できます。結果として作成されたコピーから復元されたボリュームには、新しい KMS キー を使用してのみアクセスすることができます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キー を所有しています。ソーススナップショットは KMS キー A によって暗号化されています。コピー中に、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に KMS キー B によって再暗号化されます。

暗号化されたスナップショットをコピーして、そのコピーを新しい KMS キー に暗号化します。

関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。デフォルトでは、コピーは、スナップショットの所有者によって共有された KMS キー を使用して暗号化されます。ただし、管理する別の KMS キー を使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元の KMS キー が侵害された場合や、所有者が何らかの理由で KMS キー を無効にした場合に、ボリュームへのアクセスが保護されます。詳細については、暗号化とスナップショットのコピーを参照してください。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。

例えば、rsync コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

例えば、robocopy コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは D:\ にあり、移行先のボリュームは E:\ にマウントされています。

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

非表示のフォルダで問題が発生することを回避するために、ボリューム全体をコピーするのではなく、フォルダを使用することをお勧めします。

暗号化の結果

次の表に、設定可能な組み合わせごとの暗号化の結果を示します。

EBS 暗号化が有効になっていますか? デフォルトで暗号化が有効になっていますか? ボリュームのソース デフォルト (カスタマーマネージド型キーの指定なし) カスタム (カスタマーマネージド型キーの指定あり)
いいえ いいえ 新しい (空の) ボリューム 暗号化されていない 該当なし
いいえ いいえ 所有する暗号化されていないスナップショット 暗号化されていない
いいえ いいえ お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
いいえ いいえ お客様と共有されている暗号化されていないスナップショット 暗号化されていない
いいえ いいえ お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化*
はい いいえ 新しいボリューム デフォルトのカスタマーマネージド型キーで暗号化 指定したカスタマーマネージド型キーにより暗号化 **
はい いいえ 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい いいえ お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
はい いいえ お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい いいえ お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい 新しい (空の) ボリューム デフォルトのカスタマーマネージド型キーで暗号化 該当なし
いいえ はい 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
いいえ はい お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい 新しいボリューム デフォルトのカスタマーマネージド型キーで暗号化 指定したカスタマーマネージド型キーにより暗号化
はい はい 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
はい はい お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化

* これは、 AWS アカウントとリージョンの EBS 暗号化に使用されるデフォルトのカスタマーマネージドキーです。デフォルトでは、これは EBS AWS マネージドキー に固有のものです。または、カスタマーマネージドキーを指定できます。詳細については、「EBS 暗号化の KMS キーの選択」を参照してください。

** これは、ボリュームの起動時に指定されたカスタマーマネージド型キーです。このカスタマーマネージドキーは、 AWS アカウントとリージョンのデフォルトのカスタマーマネージドキーの代わりに使用されます。