MemoryDB に保存時の暗号化

データを安全に保つために、MemoryDB と Amazon S3 には、クラスター内のデータへのアクセスを制限するさまざまな方法が用意されています。詳細については、「MemoryDB と Amazon VPC」および「MemoryDB での Identity and Access Management」を参照してください。

MemoryDB の保管時の暗号化は常に有効になっており、永続データを暗号化することでデータのセキュリティを強化します。以下の項目を暗号化します。

• トランザクションログ内のデータ

• 同期、スナップショット、およびスワップオペレーション中のディスク

• Amazon S3 に保存されたバックアップ

MemoryDB は、保管時のデフォルト (サービス管理) の暗号化だけでなく、‬‭AWS Key Management Service (KMS)‬ で独自の対称カスタマー管理カスタマールートキーを使用する機能を提供します。

データ階層化が有効なクラスター内の SSD (ソリッドステートドライブ) に保存されたデータは、デフォルトで常時暗号化されます。

転送時の暗号化については、「MemoryDBの転送時の暗号化 (TLS)」を参照してください。

AWS KMS からのカスタマーマネージドキーの使用

MemoryDB は、保管時の暗号化用の対称カスタマー管理の KMS キー (KMS キー) をサポートしています。カスタマーマネージド KMS キーは、 AWS アカウントで作成、所有、管理する暗号化キーです。詳細については、「AWS ‬Key Management Service デベロッパーガイド‭‬‬」‭の「‭‬カスタマールートキー‭」を参照してください。キーは、MemoryDB で使用する前に AWS KMS で作成する必要があります。

AWS KMS ルートキーの作成方法については、「 Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。 AWS

MemoryDB では、 AWS KMS と統合できます。詳細については、AWS Key Management Service デベロッパーガイドの「付与の使用」を参照してください。MemoryDB と AWS KMS の統合を有効にするために、お客様によるアクションは必要ありません。

kms:ViaService 条件キーは、 AWS KMS キーの使用を指定された AWS サービスからのリクエストに制限します。MemoryDB kms:ViaServiceで を使用するには、条件キー値 に両方の ViaService 名前を含めますmemorydb.amazon_region.amazonaws.com。詳細については、「kms:ViaService」を参照してください。

を使用してAWS CloudTrail、MemoryDB がユーザーに代わって に送信する AWS Key Management Service リクエストを追跡できます。カスタマーマネージドキー AWS Key Management Service に関連する へのすべての API コールには、対応する CloudTrail ログがあります。KMS API コールを呼び出すことで、MemoryDB ListGrants が作成する許可を確認することもできます。

カスタマー管理のキーを使用してクラスターが暗号化されると、クラスターのすべてのスナップショットは以下のように暗号化されます。

• 毎日の自動スナップショットは、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。

• クラスターが削除されたときに作成される最終スナップショットも、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。

• 手動で作成されたスナップショットは、デフォルトで、クラスターに関連付けられた KMS キーを使用して暗号化されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

• スナップショットをコピーするとき、デフォルトでは、ソーススナップショットに関連付けられたカスタマー管理のキーが使用されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

注記

• 選択した Amazon S3 バケットにスナップショットをエクスポートするとき、カスタマー管理のキーは使用できません。ただし、Amazon S3 にエクスポートされたすべてのスナップショットは、‭‬サーバー側の暗号化‭‬を使用して暗号化されます。‬‬‬‬‬‬ スナップショットファイルを新しい S3 オブジェクトにコピーし、カスタマー管理の KMS キーを使用して暗号化するか、KMS キーを使用してデフォルトの暗号化が設定された別の S3 バケットにコピーするか、ファイル自体の暗号化オプションを変更するかを選択できます。

• カスタマー管理のキーを使用して、暗号化にカスタマー管理のキーを使用しない手動で作成されたスナップショットを暗号化することもできます。このオプションを使用すると、データが元のクラスターで暗号化されていない場合でも、Amazon S3 に保存されているスナップショットファイルは KMS キーを使用して暗号化されます。

スナップショットから復元するときは、新しいクラスターの作成時に使用できる暗号化オプションと同様に、使用可能な暗号化オプションから選択できます。

• キーを削除するか、キーを‭無効化‭して‬、クラスターの暗号化に使用したキーの‭‬許可を取り消す‭と、クラスターは回復不可能になります。‬‬‬‬‬‬‬‬‬‬‬‬ つまり、ハードウェア障害後に変更または復旧することはできません。 AWS KMS は、少なくとも 7 日間の待機期間後にのみルートキーを削除します。キーが削除された後、別のカスタマー管理のキーを使用して、アーカイブ目的のスナップショットを作成できます。

• 自動キーローテーションでは AWS KMS ルートキーのプロパティが保持されるため、ローテーションは MemoryDB データにアクセスする機能には影響しません。暗号化された MemoryDB クラスターは、新しいルートキーの作成と古いキーへの参照の更新を伴う手動キーローテーションをサポートしません。詳細については、「AWS ‬ Key Management Service デベロッパーガイド」の「 Rotating Customer root Keys」を参照してください。

• KMS キーを使用して MemoryDB クラスターを暗号化するには、クラスターごとに 1 つの許可が必要です。この許可はクラスターの有効期間を通じて使用されます。さらに、スナップショットの作成時には、スナップショットごとに 1 つの権限が使用されます。この許可はスナップショットの作成後に無効になります。

• AWS KMS の許可と制限の詳細については、AWS 「 Key Management Service デベロッパーガイド」の「クォータ」を参照してください。

以下の資料も参照してください。

• MemoryDBの転送時の暗号化 (TLS)

• MemoryDB と Amazon VPC

• MemoryDB での Identity and Access Management