Amazon EBS暗号化の例 - Amazon EBS
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合) 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)暗号化ボリュームを再暗号化する暗号化スナップショットを再暗号化する暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する暗号化の結果

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS暗号化の例

暗号化されたEBSリソースを作成すると、ボリューム作成パラメータまたは AMIまたはインスタンスのブロックデバイスマッピングで別のカスタマーマネージドKMSキーを指定しない限り、暗号化のためにアカウントのデフォルトキーによってEBS暗号化されます。詳細については、「EBS 暗号化用のKMSキーを選択する」を参照してください。

次の例では、ボリュームとスナップショットの暗号化状態を管理する方法を示します。暗号化のケースの完全なリストについては、暗号化の結果の表を参照してください。

暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットから復元されたボリュームは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のボリュームを暗号化することができます。以下の図は、そのプロセスを示したものです。

暗号化されていないスナップショットからボリュームを作成するときは、暗号化されたボリュームを作成するKMSキーを指定します。

KmsKeyId パラメータを省略すると、結果のボリュームはデフォルトのキーを使用してKMSEBS暗号化されます。ボリュームを別のKMSキーに暗号化するには、KMSキー ID を指定する必要があります。

詳細については、「スナップショットからのボリュームの作成」を参照してください。

暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)

暗号化をデフォルトで有効にした場合、暗号化されていないスナップショットから復元されたボリュームには暗号化が必須であり、デフォルトKMSキーを使用するための暗号化パラメータは必要ありません。以下の図に、このデフォルトの簡単なケースを示しています。

暗号化されていないスナップショットからボリュームを作成するときに、デフォルトで暗号化が有効になっている場合、デフォルトの KMS キーを使用して暗号化されたボリュームが作成されます。

復元したボリュームを対称カスタマーマネージド型暗号化キーに暗号化する場合は、暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合) に示すように EncryptedKmsKeyId の両方のパラメータを指定する必要があります。

暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットのコピーは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のスナップショットを暗号化することができます。を省略するとKmsKeyId、結果のスナップショットはデフォルトKMSキーで暗号化されます。ボリュームを別の対称暗号化KMSキーに暗号化するには、KMSキー ID を指定する必要があります。

以下の図は、そのプロセスを示したものです。

暗号化されていないスナップショットから暗号化されたスナップショットを作成します。

暗号化されていないスナップショットを暗号化されたスナップショットにコピーし、暗号化されたスナップショットからボリュームを作成EBSすることで、ボリュームを暗号化できます。詳細については、「Amazon EBSスナップショットのコピー」を参照してください。

暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)

暗号化をデフォルトで有効にした場合、暗号化されていないスナップショットのコピーには暗号化が必須であり、デフォルトKMSキーを使用する場合は暗号化パラメータは必要ありません。このデフォルトのケースを次の図に示します。

暗号化されていないスナップショットから暗号化されたスナップショットを作成します。

暗号化ボリュームを再暗号化する

CreateVolume アクションが暗号化されたスナップショットで動作する場合、別のKMSキーで再暗号化することもできます。以下の図は、そのプロセスを示したものです。この例では、KMSキー A とKMSキー B の 2 つのKMSキーを所有しています。ソーススナップショットはKMSキー A によって暗号化されます。ボリュームの作成中に、KMSキー B のKMSキー ID をパラメータとして指定すると、ソースデータは自動的に復号化され、KMSキー B によって再暗号化されます。

暗号化されたスナップショットをコピーし、そのコピーを新しいKMSキーに暗号化します。

詳細については、「スナップショットからのボリュームの作成」を参照してください。

暗号化スナップショットを再暗号化する

コピー中にスナップショットを暗号化する機能により、所有している暗号化済みのスナップショットに新しい対称暗号化KMSキーを適用できます。結果のコピーから復元されたボリュームには、新しいKMSキーを使用してのみアクセスできます。以下の図は、そのプロセスを示したものです。この例では、KMSキー A とKMSキー B の 2 つのKMSキーを所有しています。ソーススナップショットはKMSキー A によって暗号化されます。コピー中に、KMSキー B のKMSキー ID をパラメータとして指定すると、ソースデータは自動的にKMSキー B によって再暗号化されます。

暗号化されたスナップショットをコピーし、そのコピーを新しいKMSキーに暗号化します。

関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。デフォルトでは、コピーはスナップショットの所有者によって共有されたKMSキーで暗号化されます。ただし、管理している別のKMSキーを使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元のKMSキーが侵害された場合、または所有者が何らかの理由でKMSキーを取り消した場合に、ボリュームへのアクセスが保護されます。詳細については、「暗号化とスナップショットのコピー」を参照してください。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 は、暗号化および復号オペレーションを透過的に実行します。

例えば、rsync コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

例えば、robocopy コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは D:\ にあり、移行先のボリュームは E:\ にマウントされています。

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

非表示のフォルダで問題が発生することを回避するために、ボリューム全体をコピーするのではなく、フォルダを使用することをお勧めします。

暗号化の結果

次の表に、設定可能な組み合わせごとの暗号化の結果を示します。

EBS 暗号化が有効になっていますか? デフォルトで暗号化が有効になっていますか? ボリュームのソース デフォルト (カスタマーマネージド型キーの指定なし) カスタム (カスタマーマネージド型キーの指定あり)
いいえ いいえ 新しい (空の) ボリューム 暗号化されていない 該当なし
いいえ いいえ 所有する暗号化されていないスナップショット 暗号化されていない
いいえ いいえ お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
いいえ いいえ お客様と共有されている暗号化されていないスナップショット 暗号化されていない
いいえ いいえ お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化*
はい いいえ 新しいボリューム デフォルトのカスタマーマネージド型キーで暗号化 指定したカスタマーマネージド型キーにより暗号化 **
はい いいえ 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい いいえ お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
はい いいえ お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい いいえ お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい 新しい (空の) ボリューム デフォルトのカスタマーマネージド型キーで暗号化 該当なし
いいえ はい 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
いいえ はい お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい 新しいボリューム デフォルトのカスタマーマネージド型キーで暗号化 指定したカスタマーマネージド型キーにより暗号化
はい はい 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
はい はい お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化

* これは、 AWS アカウントとリージョンのEBS暗号化に使用されるデフォルトのカスタマーマネージドキーです。デフォルトでは、これは AWS マネージドキー に固有のものです。またはEBS、カスタマーマネージドキーを指定できます。詳細については、「EBS 暗号化用のKMSキーを選択する」を参照してください。

** これは、ボリュームの起動時に指定されたカスタマーマネージド型キーです。このカスタマーマネージドキーは、 AWS アカウントとリージョンのデフォルトのカスタマーマネージドキーの代わりに使用されます。