翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EBS 暗号化の使用
次の手順に従って Amazon EBS 暗号化を使用します。
EBS 暗号化の KMS キーの選択
Amazon EBS は、 AWS リソースを保存する各リージョン AWS マネージドキー に一意の を自動的に作成します。この KMS キー にはエイリアス alias/aws/ebs
があります。デフォルトでは、Amazon EBS は暗号化にこの KMS キー を使用します。または、作成した対称カスタマーマネージド型暗号化キーを EBS 暗号化のデフォルトの KMS キーとして指定することもできます。独自の KMS キー を使用することにより、KMS キー の作成、更新、無効化ができるなど、より高い柔軟性が得られます。
Amazon EBS は非対称暗号化 KMS キーをサポートしていません。詳細については、「AWS Key Management Service デベロッパーガイド」の 「対称および非対称暗号化 KMS キーの使用」を参照してください。
- Amazon EC2 console
-
リージョンの EBS 暗号化用にデフォルト KMS キー を設定するには
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。
-
ナビゲーションバーから、使用するリージョンを選択します。
-
ナビゲーションペインの [EC2 ダッシュボード] を選択します。
-
ページの右上で、[アカウントの属性]、[データ保護とセキュリティ] の順に選択します。
-
[管理] を選択します。
-
[Default encryption key] (デフォルトの暗号化キー) で、対称カスタマーマネージド型暗号化キーを選択します。
-
[Update EBS encryption] (EBS 暗号化を更新する) を選択します。
デフォルトで暗号化の有効化
作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。例えば、Amazon EBS は、インスタンスの起動時に作成された EBS ボリュームと、暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていない EBS リソースから暗号化された EBS リソースへの移行の例については、暗号化されていないリソースの暗号化を参照してください。
デフォルトでは、暗号化は既存の EBS ボリュームまたはスナップショットには影響しません。
考慮事項
-
デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョン内の個々のボリュームまたはスナップショットに対して無効にすることはできません。
-
デフォルトで Amazon EBS 暗号化は、すべての現行世代および前世代のインスタンスタイプでサポートされています。
-
スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
AWS Server Migration Service (SMS) を使用してサーバーを移行する場合は、デフォルトで暗号化を有効にしないでください。デフォルトでの暗号化がすでに有効になっていて、デルタレプリケーションエラーが発生している場合は、デフォルトでの暗号化を無効にしてください。代わりに、レプリケーションジョブの作成時に AMI 暗号化を有効にします。
- Amazon EC2 console
-
リージョンの暗号化をデフォルトで有効にするには
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。
-
ナビゲーションバーから、使用するリージョンを選択します。
-
ナビゲーションペインの [EC2 ダッシュボード] を選択します。
-
ページの右上で、[アカウントの属性]、[データ保護とセキュリティ] の順に選択します。
-
[Manage] (管理) を選択します。
-
[Enable] (有効化) を選択します。は、デフォルトの暗号化キーとしてユーザーに代わってalias/aws/ebs
作成されたエイリアス AWS マネージドキー で保持するか、対称カスタマーマネージド暗号化キーを選択します。
-
[Update EBS encryption] (EBS 暗号化を更新する) を選択します。
- AWS CLI
-
デフォルトの暗号化設定を表示するには
-
特定のリージョンの場合
$
aws ec2 get-ebs-encryption-by-default --region region
-
アカウントの全リージョンの場合
$
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
暗号化をデフォルトで有効にするには
-
特定のリージョンの場合
$
aws ec2 enable-ebs-encryption-by-default --region region
-
アカウントの全リージョンの場合
$
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
暗号化をデフォルトで無効にするには
-
特定のリージョンの場合
$
aws ec2 disable-ebs-encryption-by-default --region region
-
アカウントの全リージョンの場合
$
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
- PowerShell
-
デフォルトの暗号化設定を表示するには
-
特定のリージョンの場合
PS C:\>
Get-EC2EbsEncryptionByDefault -Region region
-
アカウントの全リージョンの場合
PS C:\>
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで有効にするには
-
特定のリージョンの場合
PS C:\>
Enable-EC2EbsEncryptionByDefault -Region region
-
アカウントの全リージョンの場合
PS C:\>
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで無効にするには
-
特定のリージョンの場合
PS C:\>
Disable-EC2EbsEncryptionByDefault -Region region
-
アカウントの全リージョンの場合
PS C:\>
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
既存のスナップショットまたは暗号化されたボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。
API および CLI を使用してデフォルトの暗号化の設定
以下の API アクションおよび CLI コマンドを使用して、デフォルトで暗号化およびデフォルトの KMS キー を管理できます。