Amazon EBS暗号化の使用 - Amazon EBS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS暗号化の使用

Amazon EBS暗号化を使用するには、以下の手順に従います。

EBS 暗号化用のKMSキーを選択する

Amazon は、Amazon EBSリソースを作成する各リージョン AWS マネージドキー に一意の EBSを自動的に作成します。KMS キーのエイリアスは ですaws/ebs。デフォルトでは、Amazon EBSはこのKMSキーを暗号化に使用します。または、作成した対称カスタマーマネージド暗号化キーをEBS暗号化のデフォルトKMSキーとして指定することもできます。独自のKMSキーを使用すると、KMSキーを作成、ローテーション、無効化する機能など、柔軟性が高まります。

重要

Amazon EBS は非対称暗号化KMSキーをサポートしていません。詳細については、「 AWS Key Management Service デベロッパーガイド」の「対称暗号化KMSキーと非対称暗号化キーの使用」を参照してください。

Amazon EC2 console
リージョンのEBS暗号化用にデフォルトKMSキーを設定するには
  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションバーから、使用するリージョンを選択します。

  3. ナビゲーションペインから、EC2ダッシュボード を選択します。

  4. ページの右上で、[アカウントの属性][データ保護とセキュリティ] の順に選択します。

  5. EBS 暗号化セクションで、 の管理を選択します

  6. [Default encryption key] (デフォルトの暗号化キー) で、対称カスタマーマネージド型暗号化キーを選択します。

  7. EBS 暗号化の更新 を選択します。

デフォルトで暗号化の有効化

作成した新しいEBSボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。例えば、Amazon はインスタンスの起動時に作成されたEBSボリュームと、EBS暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていないリソースから暗号化されたEBSリソースに移行する例については、「」を参照してください暗号化されていないリソースの暗号化

デフォルトでは、暗号化は既存のEBSボリュームやスナップショットには影響しません。

考慮事項
  • デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョン内の個々のボリュームまたはスナップショットに対して無効にすることはできません。

  • Amazon EBS 暗号化は、すべての現行世代および旧世代のインスタンスタイプでデフォルトでサポートされています。

  • スナップショットをコピーして新しいKMSキーに暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。

  • AWS Server Migration Service (SMS) を使用してサーバーを移行する場合は、デフォルトで暗号化を有効にしないでください。デフォルトでの暗号化がすでに有効になっていて、デルタレプリケーションエラーが発生している場合は、デフォルトでの暗号化を無効にしてください。代わりに、レプリケーションジョブの作成時にAMI暗号化を有効にします。

Amazon EC2 console
リージョンの暗号化をデフォルトで有効にするには
  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションバーから、使用するリージョンを選択します。

  3. ナビゲーションペインから、EC2ダッシュボード を選択します。

  4. ページの右上で、[アカウントの属性][データ保護とセキュリティ] の順に選択します。

  5. EBS 暗号化セクションで、 の管理を選択します

  6. [Enable] (有効化) を選択します。デフォルトの暗号化キーとしてユーザーに代わってaws/ebs作成されたエイリアス AWS マネージドキー で を保持するか、対称カスタマーマネージド暗号化キーを選択します。

  7. EBS 暗号化の更新 を選択します。

AWS CLI
デフォルトの暗号化設定を表示するには
  • 特定のリージョンの場合

    $ aws ec2 get-ebs-encryption-by-default --region region
  • アカウントの全リージョンの場合

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
暗号化をデフォルトで有効にするには
  • 特定のリージョンの場合

    $ aws ec2 enable-ebs-encryption-by-default --region region
  • アカウントの全リージョンの場合

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
暗号化をデフォルトで無効にするには
  • 特定のリージョンの場合

    $ aws ec2 disable-ebs-encryption-by-default --region region
  • アカウントの全リージョンの場合

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
PowerShell
デフォルトの暗号化設定を表示するには
  • 特定のリージョンの場合

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region
  • アカウントの全リージョンの場合

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで有効にするには
  • 特定のリージョンの場合

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
  • アカウントの全リージョンの場合

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで無効にするには
  • 特定のリージョンの場合

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
  • アカウントの全リージョンの場合

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

既存のスナップショットまたは暗号化されたボリュームに関連付けられているKMSキーを変更することはできません。ただし、スナップショットのコピーオペレーション中に別のKMSキーを関連付けて、コピーされたスナップショットが新しいKMSキーによって暗号化されるようにすることができます。

API および を使用してデフォルトで暗号化を管理する CLI

暗号化は、以下のAPIアクションとCLIコマンドKMSを使用して、デフォルトで管理できます。Amazon APIsの EC2と は のエイリアスを AWS マネージドキー として AWS KMS 参照alias/aws/ebsし、コンソールはこのエイリアスを AWS KMS として表示することに注意してくださいaws/ebs

API アクション CLI コマンド 説明

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-デフォルト

デフォルトでの暗号化を無効にします。

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-デフォルト

デフォルトでの暗号化を有効にします。

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

デフォルトKMSキーについて説明します。

GetEbsEncryptionByDefault

get-ebs-encryption-by-デフォルト

デフォルトの暗号化が有効かどうかを示します。

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

EBS ボリュームの暗号化に使用されるデフォルトKMSキーを変更します。

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-キー ID

EBS ボリュームの暗号化に使用されるデフォルトKMSキー AWS マネージドキー として をリセットします。