Amazon EBS ボリュームの暗号化 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS ボリュームの暗号化

Amazon EBS には、ボリューム暗号化機能が用意されています。各ボリュームは AES-256-XTS を使用して暗号化されています。これには 2 つの 256 ビットボリュームキーが必要です。これは、1 つの 512 ビットボリュームキーと考えることができます。ボリュームキーは、アカウントの KMS キーで暗号化されます。Amazon EBS でボリュームを暗号化するには、アカウントの KMS キーの下にボリュームキー (VK) を生成するためのアクセス権が必要です。これを行うには、データキーを作成し、これらのボリュームキーを暗号化および復号化するために、Amazon EBS に KMS キーへのアクセス権を付与します。Amazon EBS は、KMS キー AWS KMS で を使用して AWS KMS 暗号化されたボリュームキーを生成するようになりました。

AWS KMS キーによる Amazon EBS ボリュームの暗号化。

次のワークフローでは、Amazon EBS ボリュームに書き込まれるデータが暗号化されます。

  1. Amazon EBS は、TLS セッション AWS KMS を介して を介して KMS キーで暗号化されたボリュームキーを取得し、ボリュームメタデータとともに暗号化されたキーを保存します。

  2. Amazon EBS ボリュームがマウントされると、暗号化されたボリュームキーが取得されます。

  3. TLS AWS KMS を介した の呼び出しは、暗号化されたボリュームキーを復号するために行われます。 は KMS キー AWS KMS を識別し、フリート内の HSM に内部リクエストを実行して、暗号化されたボリュームキーを復号します。 AWS KMS その後、 は、TLS セッションを介してインスタンスを含む Amazon Elastic Compute Cloud (Amazon EC2) ホストにボリュームキーを返します。

  4. ボリュームキーは、アタッチされた Amazon EBS ボリュームとの間で送受信されるすべてのデータを暗号化および復号化するために使用されます。Amazon EBS は、メモリ内のボリュームキーが使用できなくなった場合に備えて、暗号化されたボリュームキーを保持します。

Amazon EBS ボリュームを KMS キーで暗号化する方法の詳細については、AWS Key Management Service デベロッパーガイドの「Amazon Elastic Block Store が AWS KMSを使用する方法」および Amazon EC2 ユーザーガイドhttps://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.htmlの「Amazon EBS 暗号化」を参照してください。