Amazon Elastic Block Store (Amazon EBS) で AWS KMS を使用する方法 - AWS Key Management Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Amazon Elastic Block Store (Amazon EBS) で AWS KMS を使用する方法

このトピックでは、Amazon Elastic Block Store (Amazon EBS) で AWS KMS を使用してボリュームとスナップショットを暗号化する方法について詳しく説明します。Amazon EBS ボリュームを暗号化する基本的な手順については、「Amazon EBS の暗号化」を参照してください。

Amazon EBS 暗号化

暗号化の対象となる Amazon EBS ボリュームをサポートされている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタイプにアタッチすると、そのボリュームに保管されるデータ、そのボリュームとのディスク I/O、そのボリュームから作成されたスナップショットは、すべて暗号化されます。暗号化は Amazon EC2 インスタンスをホストするサーバー側で実施されます。

この機能は、すべての Amazon EBS ボリュームタイプでサポートされます。暗号化されたボリュームには、他のボリュームにアクセスする場合と同じ方法でアクセスできます。暗号化と復号化は透過的に処理され、ユーザー、EC2 インスタンス、アプリケーションからの追加アクションは不要です。暗号化されたボリュームのスナップショットは自動的に暗号化され、暗号化されたスナップショットから作成されたボリュームも、自動的に暗号化されます。

EBS ボリュームの暗号化ステータスは、ボリュームの作成時に決定されます。既存のボリュームの暗号化ステータスを変更することはできません。ただし、暗号化されたボリュームと暗号化されていないボリューム間でデータを移行でき、スナップショットのコピー中に新しい暗号化のステータスを適用できます。

Amazon EBS は、デフォルトでオプションの暗号化をサポートしています。すべての新しいEBSボリュームとスナップショット コピーで、暗号化を自動的に有効にできます。 AWS アカウントと地域。この構成設定は、既存のボリュームまたはスナップショットには影響しません。詳細については、以下を参照してください。 デフォルトで暗号化Linux インスタンス用 Amazon EC2 ユーザーガイド または Windows インスタンスの Amazon EC2 ユーザーガイド.

使用 CMKs およびデータキー

あなたが 暗号化された Amazon EBS ボリューム、 AWS KMS カスタマーマスターキー (CMK)。デフォルトでは、 Amazon EBS は、 AWS 管理 CMK 用 Amazon EBS アカウント(aws/ebs)。ただし、 顧客管理 CMK 構築、管理します。

顧客管理による CMKを渡す必要があります Amazon EBS 使用許可 CMK を代理します。必要な権限のリストについては、以下を参照してください。 IAMユーザーに対する権限Linux インスタンス用 Amazon EC2 ユーザーガイド または Windows インスタンスの Amazon EC2 ユーザーガイド.

重要

Amazon EBS サポートのみ 対称 CMKs. を使用することはできません 非対称 CMK 暗号化する Amazon EBS ボリューム。 CMK が対称か非対称かを判断する方法については、「対称性および非対称性の特定 CMKs」を参照してください。

各ボリュームについて、 Amazon EBS 質問する AWS KMS で暗号化された一意のデータキーを生成します。 CMK 選択します。 Amazon EBS は、暗号化されたデータキーをボリュームに保存します。次に、ボリュームを Amazon EC2 インスタンス、 Amazon EBS 通話 AWS KMS データキーを復号化します。 Amazon EBS は、ハイパーバイザメモリのプレーンテキストデータキーを使用して、ボリュームに対するすべてのディスクI/Oを暗号化します。詳細については、以下を参照してください。 EBS暗号化の仕組みLinux インスタンス用 Amazon EC2 ユーザーガイド または Windows インスタンスの Amazon EC2 ユーザーガイド.

Amazon EBS の暗号化コンテキスト

AWS KMS への GenerateDataKeyWithoutPlaintext および Decrypt リクエストでは、Amazon EBS は、リクエスト内のボリュームまたはスナップショットを識別する名前と値のペアを持つ暗号化コンテキストを使用します。暗号化コンテキストの名前は変わりません。

暗号化コンテキストは、シークレットでない任意のデータを含む一連のキーと値のペアです。データを暗号化するリクエストに暗号化コンテキストを組み込むと、AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化してバインドします。データを復号化するには、同じ暗号化コンテキストに渡す必要があります。

すべてのボリュームと、Amazon EBS CreateSnapshot オペレーションで作成された暗号化されたスナップショットについては、Amazon EBS はボリューム ID を暗号化コンテキスト値として使用します。CloudTrail ログエントリの requestParameters フィールドで、暗号化コンテキストは以下のようになります。

"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }

Amazon EC2 CopySnapshot オペレーションで作成された暗号化されたスナップショットの場合、Amazon EBS はスナップショット ID を暗号化コンテキスト値として使用します。CloudTrail ログエントリの requestParameters フィールドで、暗号化コンテキストは以下のようになります。

"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }

Amazon EBS エラーの検出

暗号化された EBS ボリュームを作成する、またはボリュームを EC2 インスタンスに接続するには、 Amazon EBS および Amazon EC2 インフラストラクチャは、 CMK EBS ボリューム暗号化に指定したボリューム。が CMK は使用できません—たとえば、 キー状態 は ではありません Enabled —ボリュームの作成またはボリュームの添付に失敗する。

この場合、Amazon EBS はイベントを Amazon CloudWatch Events に送信して、ユーザーにエラーを知らせます。CloudWatch イベント では、これらのイベントに応じて自動アクションをトリガーするルールを設定できます。詳細については、以下を参照してください。 Amazon CloudWatch のイベント Amazon EBSLinux インスタンス用 Amazon EC2 ユーザーガイド、特に以下のセクション:

これらの障害を修正するには、 CMK EBS ボリューム暗号化に指定した が有効になっています。そのためには、まず 表示 CMK 現在のキー状態( ステータス 列( AWS マネジメントコンソール)。次に、以下のリンクのいずれかで情報を確認します。

暗号化された Amazon EBS ボリュームを AWS CloudFormation で作成する

AWS CloudFormation を使用して、暗号化された Amazon EBS ボリュームを作成できます。詳細については、以下を参照してください。 AWS::EC2::VolumeAWS CloudFormation ユーザーガイド.