Amazon EBS 暗号化の使用 - Amazon EBS
EBS 暗号化の KMS キーの選択デフォルトで暗号化の有効化API および CLI を使用してデフォルトの暗号化の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS 暗号化の使用

次の手順に従って Amazon EBS 暗号化を使用します。

EBS 暗号化の KMS キーの選択

Amazon EBS は、 AWS リソースを保存する各リージョン AWS マネージドキー に一意の を自動的に作成します。この KMS キー にはエイリアス alias/aws/ebs があります。デフォルトでは、Amazon EBS は暗号化にこの KMS キー を使用します。または、作成した対称カスタマーマネージド型暗号化キーを EBS 暗号化のデフォルトの KMS キーとして指定することもできます。独自の KMS キー を使用することにより、KMS キー の作成、更新、無効化ができるなど、より高い柔軟性が得られます。

重要

Amazon EBS は非対称暗号化 KMS キーをサポートしていません。詳細については、「AWS Key Management Service デベロッパーガイド」の 「対称および非対称暗号化 KMS キーの使用」を参照してください。

Amazon EC2 console
リージョンの EBS 暗号化用にデフォルト KMS キー を設定するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションバーから、使用するリージョンを選択します。

  3. ナビゲーションペインの [EC2 ダッシュボード] を選択します。

  4. ページの右上で、[アカウントの属性][データ保護とセキュリティ] の順に選択します。

  5. [管理] を選択します。

  6. [Default encryption key] (デフォルトの暗号化キー) で、対称カスタマーマネージド型暗号化キーを選択します。

  7. [Update EBS encryption] (EBS 暗号化を更新する) を選択します。

デフォルトで暗号化の有効化

作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。例えば、Amazon EBS は、インスタンスの起動時に作成された EBS ボリュームと、暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていない EBS リソースから暗号化された EBS リソースへの移行の例については、暗号化されていないリソースの暗号化を参照してください。

デフォルトでは、暗号化は既存の EBS ボリュームまたはスナップショットには影響しません。

考慮事項

  • デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョン内の個々のボリュームまたはスナップショットに対して無効にすることはできません。

  • デフォルトで Amazon EBS 暗号化は、すべての現行世代および前世代のインスタンスタイプでサポートされています。

  • スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。

  • AWS Server Migration Service (SMS) を使用してサーバーを移行する場合は、デフォルトで暗号化を有効にしないでください。デフォルトでの暗号化がすでに有効になっていて、デルタレプリケーションエラーが発生している場合は、デフォルトでの暗号化を無効にしてください。代わりに、レプリケーションジョブの作成時に AMI 暗号化を有効にします。

Amazon EC2 console
リージョンの暗号化をデフォルトで有効にするには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションバーから、使用するリージョンを選択します。

  3. ナビゲーションペインの [EC2 ダッシュボード] を選択します。

  4. ページの右上で、[アカウントの属性][データ保護とセキュリティ] の順に選択します。

  5. [Manage] (管理) を選択します。

  6. [Enable] (有効化) を選択します。は、デフォルトの暗号化キーとしてユーザーに代わってalias/aws/ebs作成されたエイリアス AWS マネージドキー で保持するか、対称カスタマーマネージド暗号化キーを選択します。

  7. [Update EBS encryption] (EBS 暗号化を更新する) を選択します。

AWS CLI
デフォルトの暗号化設定を表示するには

  • 特定のリージョンの場合

    $ aws ec2 get-ebs-encryption-by-default --region region

  • アカウントの全リージョンの場合

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
暗号化をデフォルトで有効にするには

  • 特定のリージョンの場合

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • アカウントの全リージョンの場合

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
暗号化をデフォルトで無効にするには

  • 特定のリージョンの場合

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • アカウントの全リージョンの場合

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
PowerShell
デフォルトの暗号化設定を表示するには

  • 特定のリージョンの場合

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • アカウントの全リージョンの場合

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで有効にするには

  • 特定のリージョンの場合

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • アカウントの全リージョンの場合

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで無効にするには

  • 特定のリージョンの場合

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • アカウントの全リージョンの場合

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

既存のスナップショットまたは暗号化されたボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。

API および CLI を使用してデフォルトの暗号化の設定

以下の API アクションおよび CLI コマンドを使用して、デフォルトで暗号化およびデフォルトの KMS キー を管理できます。

API アクション CLI コマンド 説明

DisableEbsEncryptionByDefault

 disable-ebs-encryption-by-デフォルト

デフォルトでの暗号化を無効にします。

EnableEbsEncryptionByDefault

 enable-ebs-encryption-by-デフォルト

デフォルトでの暗号化を有効にします。

GetEbsDefaultKmsKeyId

 get-ebs-default-kms-key-id

デフォルトの KMS キー について説明します。

GetEbsEncryptionByDefault

 get-ebs-encryption-by-デフォルト

デフォルトの暗号化が有効かどうかを示します。

ModifyEbsDefaultKmsKeyId

 modify-ebs-default-kms-key-id

EBS ボリュームの暗号化に使用されるデフォルトの KMS キー を変更します。

ResetEbsDefaultKmsKeyId

 reset-ebs-default-kms-key-id

EBS ボリュームの暗号化に使用されるデフォルトの KMS キー AWS マネージドキー として をリセットします。