Amazon Elastic Block Store (Amazon EBS) がAWS KMS - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Block Store (Amazon EBS) がAWS KMS

このトピックでは、以下の方法について説明します。Amazon Elastic Block Store (Amazon EBS)が使用AWS KMSボリュームとスナップショットを暗号化します。Amazon EBS ボリュームの暗号化に関する基本的な手順については、「 Amazon EBS 暗号化」を参照してください。

Amazon EBS 暗号化

暗号化された Amazon EBS ボリューム をサポートされている Amazon Elastic Compute Cloud(Amazon EC2)インスタンスタイプ, にアタッチすると、ボリュームに保存されたデータ、ディスク I/O、ボリュームから作成されたスナップショットはすべて暗号化されます。暗号化は、Amazon EC2 インスタンスをホストするサーバーで行われます。

この機能は、すべての Amazon EBS ボリュームタイプでサポートされています。暗号化されたボリュームには、他のボリュームにアクセスする場合と同じ方法でアクセスできます。暗号化と復号化は透過的に処理され、ユーザー、EC2 インスタンス、アプリケーションからの追加アクションは不要です。暗号化されたボリュームのスナップショットは自動的に暗号化され、暗号化されたスナップショットから作成されたボリュームも、自動的に暗号化されます。

EBS ボリュームの暗号化ステータスは、ボリュームの作成時に決定されます。既存のボリュームの暗号化ステータスを変更することはできません。ただし、暗号化されたボリュームと暗号化されていないボリューム間で データを移行 し、スナップショットのコピー中に新しい暗号化ステータスを適用できます。

Amazon EBS では、デフォルトでオプションの暗号化がサポートされています。すべての新しい EBS ボリュームとスナップショットコピーで暗号化を自動的に有効にできます。 AWS アカウント リージョンとリージョン。この構成設定は、既存のボリュームやスナップショットには影響しません。詳細については、「」を参照してください。デフォルトでの暗号化()Linux インスタンス用 Amazon EC2 ユーザーガイドまたはWindows インスタンス用の Amazon EC2 ユーザーガイド

CMK とデータキーの使用

ときの暗号化された Amazon EBS ボリュームを作成するを指定する場合は、AWS KMSカスタマーマスターキー (CMK)。デフォルトでは、Amazon EBS はAWS管理 CMKアカウントの Amazon EBS 用 (aws/ebs). ただし、お客様が作成および管理する、カスタマー管理の CMK を指定することはできます。

カスタマーマネージド CMK を使用するには、ユーザーに代わって CMK を使用する権限を Amazon EBS に付与する必要があります。必要なアクセス権限のリストについては、」を参照してください。IAM ユーザーのアクセス権限()Linux インスタンス用 Amazon EC2 ユーザーガイドまたはWindows インスタンス用の Amazon EC2 ユーザーガイド

重要

Amazon EBS は、 シンメトリック CMKのみをサポートします。 非対称型 CMK を使用して Amazon EBS ボリュームを暗号化することはできません。CMK が対称か非対称かを判断する方法については、「」を参照してください 対称 CMK と非対称 CMK の識別

各ボリュームについて、Amazon EBS はAWS KMS指定した CMK で暗号化された一意のデータキーを生成します。Amazon EBS は、暗号化されたデータキーをボリュームとともに保存します。次に、ボリュームを Amazon EC2 インスタンスにアタッチすると、Amazon EBS はAWS KMSデータキーを復号します。Amazon EBS は、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ボリュームへのすべてのディスク I/O を暗号化します。詳細については、「」を参照してください。EBS 暗号化の仕組み()Linux インスタンス用 Amazon EC2 ユーザーガイドまたはWindows インスタンス用の Amazon EC2 ユーザーガイド

Amazon EBS 暗号化コンテキスト

そのGenerateDataKeyWithoutPlaintextおよびDecryptリクエストをAWS KMSAmazon EBS は、リクエスト内のボリュームまたはスナップショットを識別する名前と値のペアを持つ暗号化コンテキストを使用します。暗号化コンテキストの名前は変わりません。

暗号化コンテキスト は、一連のキーと値のペアを含む任意非シークレットデータです。データを暗号化するリクエストに暗号化コンテキストを組み込むと、AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化してバインドします。データを復号化するには、同じ暗号化コンテキストに渡す必要があります。

すべてのボリュームと Amazon EBS CreateSnapshot オペレーションで作成された暗号化されたスナップショットの場合、Amazon EBS はボリューム ID を暗号化コンテキスト値として使用します。CloudTrail ログエントリの requestParameters フィールドでは、暗号化コンテキストは次のようになります。

"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }

Amazon EC2 CopySnapshot オペレーションで作成された暗号化されたスナップショットの場合、Amazon EBS はスナップショット ID を暗号化コンテキスト値として使用します。CloudTrail ログエントリの requestParameters フィールドでは、暗号化コンテキストは次のようになります。

"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }

Amazon EBS 障害の検出

暗号化された EBS ボリュームを作成するか、ボリュームを EC2 インスタンスにアタッチするには、Amazon EBS および Amazon EC2 インフラストラクチャで、EBS ボリュームの暗号化に指定した CMK を使用できる必要があります。CMK を使用できない場合( キー状態 がでない Enabled 場合など)、ボリュームの作成またはボリュームのアタッチメントが失敗します。

この場合、Amazon EBS は Amazon CloudWatch イベント にイベントを送信し、エラーを通知します。CloudWatch イベントを使用すると、これらのイベントに応答して自動アクションをトリガーするルールを設定できます。詳細については、「」を参照してください。Amazon EBS 用の Amazon CloudWatch Events()Linux インスタンス用 Amazon EC2 ユーザーガイド特に以下のセクションについて説明します。

これらのエラーを修正するには、EBS ボリュームの暗号化のために指定した CMK が有効になっていることを確認します。これを行うには、最初にCMK を表示するを使用して、現在のキーの状態を判断します (ステータス列のAWS Management Console). 次に、以下のリンクのいずれかで情報を確認します。

を使用するAWS CloudFormation暗号化された Amazon EBS ボリュームを作成する

次を使用できます。AWS CloudFormation暗号化された Amazon EBS ボリュームを作成します。詳細については、「」を参照してください。AWS::EC2::Volume()AWS CloudFormationユーザーガイド