Amazon Elastic Block Store (Amazon EBS) の使用方法 AWS KMS - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Block Store (Amazon EBS) の使用方法 AWS KMS

このトピックでは、Amazon Elastic Block Store (Amazon EBS) が AWS KMS を使用してボリュームとスナップショットを暗号化する方法について説明します。Amazon EBSボリュームの暗号化に関する基本的な手順については、「Amazon EBS Encryption」を参照してください。

Amazon EBS暗号化

暗号化された Amazon EBSボリュームをサポートされている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタイプ にアタッチすると、ボリュームに保存されているデータ、ディスク I/O、およびボリュームから作成されたスナップショットはすべて暗号化されます。暗号化は、Amazon EC2インスタンスをホストするサーバーで行われます。

この機能は、すべての Amazon EBSボリュームタイプ でサポートされています。暗号化されたボリュームには、他のボリュームにアクセスするのと同じ方法でアクセスします。暗号化と復号は透過的に処理され、ユーザー、EC2インスタンス、またはアプリケーションから追加のアクションは必要ありません。暗号化されたボリュームのスナップショットは自動的に暗号化され、暗号化されたスナップショットから作成されたボリュームも、自動的に暗号化されます。

EBS ボリュームの暗号化ステータスは、ボリュームの作成時に決定されます。既存のボリュームの暗号化ステータスを変更することはできません。ただし、暗号化されたボリュームと暗号化されていないボリューム間で データを移行 し、スナップショットのコピー中に新しい暗号化ステータスを適用できます。

Amazon はデフォルトでオプションの暗号化EBSをサポートしています。 AWS アカウント および リージョンのすべての新しいEBSボリュームとスナップショットコピーで、暗号化を自動的に有効にできます。この構成設定は、既存のボリュームやスナップショットには影響しません。詳細については、「Amazon EC2ユーザーガイド」または「Amazon ユーザーガイド」の「デフォルトでの暗号化EC2」を参照してください。

KMS キーとデータキーの使用

暗号化された Amazon EBSボリューム を作成するときは、 を指定します AWS KMS key。デフォルトでは、Amazon EBSはアカウント () EBSで AWS マネージドキー for Amazon を使用しますaws/ebs。ただし、ユーザーは作成および管理するカスタマーマネージドキーを指定することができます。

カスタマーマネージドキーを使用するには、ユーザーに代わってKMSキーを使用するアクセスEBS許可を Amazon に付与する必要があります。必要なアクセス許可のリストについては、「Amazon EC2ユーザーガイド」または「Amazon ユーザーガイド」のIAM「ユーザーに対するアクセス許可」を参照してください。 EC2

重要

Amazon EBSは対称KMSキー のみをサポートしています。非対称KMSキーを使用して Amazon EBSボリュームを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、「」を参照してくださいさまざまなキータイプを特定する

ボリュームごとに、Amazon は指定したキーで暗号化された一意のデータKMSキーを生成する AWS KMS ように にEBS要求します。Amazon は、暗号化されたデータキーをボリュームとともにEBS保存します。次に、ボリュームを Amazon EC2インスタンスにアタッチすると、Amazon が AWS KMS をEBS呼び出してデータキーを復号します。Amazon EBSは、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ボリュームへのすべてのディスク I/O を暗号化します。詳細については、「Amazon EC2ユーザーガイド」または「Amazon EC2ユーザーガイド」のEBS「暗号化の仕組み」を参照してください。

Amazon EBS暗号化コンテキスト

への GenerateDataKeyWithoutPlaintextおよび Decrypt リクエストでは AWS KMS、Amazon はリクエスト内のボリュームまたはスナップショットを識別する名前と値のペアを持つ暗号化コンテキストEBSを使用します。暗号化コンテキストの名前は変わりません。

暗号化コンテキスト は、一連のキー値のペアおよび任意非シークレットデータを含みます。データを暗号化するリクエストに暗号化コンテキストを含めると、 AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化バインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

Amazon EBSCreateSnapshotオペレーションで作成されたすべてのボリュームと暗号化されたスナップショットの場合、Amazon EBS はボリューム ID を暗号化コンテキスト値として使用します。ログエントリの CloudTrail requestParametersフィールドでは、暗号化コンテキストは次のようになります。

"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }

Amazon EC2CopySnapshotオペレーションで作成された暗号化されたスナップショットの場合、Amazon EBS はスナップショット ID を暗号化コンテキスト値として使用します。ログエントリの CloudTrail requestParametersフィールドでは、暗号化コンテキストは次のようになります。

"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }

Amazon EBS障害の検出

暗号化されたEBSボリュームを作成したり、EC2インスタンスにボリュームをアタッチしたりするには、Amazon EBSと Amazon EC2インフラストラクチャが、EBSボリュームの暗号化に指定したKMSキーを使用できる必要があります。KMS キーの状態がそうでない場合など、キーが使用できない場合、Enabledボリュームの作成やボリュームアタッチメントは失敗します。

この場合、Amazon は Amazon EventBridge (以前の CloudWatch Events) にイベントEBSを送信して、障害を通知します。では EventBridge、これらのイベントに応答して自動アクションをトリガーするルールを確立できます。詳細については、「Amazon ユーザーガイド」の「Amazon CloudWatch Events for EBS Amazon」、特に以下のセクションを参照してください。 EC2

これらの障害を修正するには、EBSボリューム暗号化に指定したKMSキーが有効になっていることを確認します。これを行うには、まず KMSキーを表示して、現在のキーの状態 ( のステータス列) を決定します AWS Management Console。次に、以下のリンクのいずれかで情報を確認します。

AWS CloudFormation を使用して暗号化された Amazon EBSボリュームを作成する

を使用してAWS CloudFormation、暗号化された Amazon EBSボリュームを作成できます。詳細については、 AWS CloudFormation ユーザーガイドAWS「::EC2::Volume」を参照してください。