Amazon Relational Database Service (Amazon RDS) が AWS KMS を使用する方法 - AWS Key Management Service

Amazon Relational Database Service (Amazon RDS) が AWS KMS を使用する方法

Amazon Relational Database Service (Amazon RDS) を使用して、クラウドでリレーショナルデータベースをセットアップ、運用、スケーリングできます。オプションで、Amazon RDS DB インスタンスに保存されているデータを、AWS KMS の AWS KMS key (KMS キー) で暗号化することを選択できます。KMS キーで Amazon RDS リソースを暗号化する方法については、「Amazon RDS ユーザーガイド」の「Amazon RDS リソースの暗号化」を参照してください。

重要

Amazon RDS は、対称 KMS キーのみをサポートします。非対称 KMS キーを使用して、Amazon RDS データベースのデータを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、非対称 KMS キーの識別 を参照してください。

Amazon RDS は、 Amazon Elastic Block Store(Amazon EBS)暗号化 に基づいて構築され、データベースボリュームの完全なディスク暗号化を提供します。Amazon EBS が AWS KMS を使用してボリュームを暗号化する方法の詳細については、Amazon Elastic Block Store (Amazon EBS) が AWS KMS を使用する方法 を参照してください 。

Amazon RDS で暗号化された DB インスタンスを作成すると、Amazon RDS はお客様の代わりに暗号化された EBS ボリュームを作成し、データベースを保存します。ボリュームに保存中のデータ、データベーススナップショット、自動バックアップ、リードレプリカはすべて、DB インスタンス作成時に指定した KMS キーによって暗号化されます。

Amazon RDS 暗号化コンテキスト

Amazon RDS が KMS キーを使用する場合、または Amazon EBS が Amazon RDS の代わりに KMS キーを使用する場合、サービスは暗号化コンテキストを指定します。暗号化コンテキストは、データの整合性を保証するために AWS KMS で使用される追加の認証データ (AAD) です。暗号化オペレーションで暗号化コンテキストを指定すると、サービスは復号オペレーションでも同じ暗号化コンテキストを指定する必要があります。そうしないと、復号は失敗します。暗号化コンテキストは AWS CloudTrail ログにも書き込まれるため、特定の KMS キーが使用された理由を理解するのに役立ちます。CloudTrail ログには KMS キーの使用を説明する多くのエントリが含まれている場合があります。各ログエントリの暗号化コンテキストは、その特定の使用理由を判断するのに役立ちます。

Amazon RDS は、少なくとも、次の JSON 形式の例のように、暗号化コンテキストに DB インスタンス ID を常に使用します。

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

この暗号化コンテキストにより、KMS キーが使用された DB インスタンスを識別することができます。

KMS キーが特定の DB インスタンスと特定の EBS ボリュームに使用されると、次の JSON 形式の例のように、DB インスタンス ID と EBS ボリューム ID の両方が暗号化コンテキストに使用されます。

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }