Amazon EC2 と Amazon EBS の暗号化のベストプラクティス

Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。仮想サーバーを必要な数だけ起動して、迅速にスケールアップまたはスケールダウンができます。Amazon Elastic Block Store (Amazon EBS) は、EC2 インスタンスで使用するためのブロックレベルのストレージボリュームを提供します。

これらのサービスでは、以下の暗号化のベストプラクティスを検討してください。

• すべての EBS ボリュームに適切なデータ分類キーと値をタグ付けします。これにより、ポリシーに従って、適切なセキュリティと暗号化の要件を決定して実装できます。

• 暗号化ポリシーと技術的実現可能性に応じて、EC2 インスタンス間、または EC2 インスタンスとオンプレミスネットワーク間で転送中のデータの暗号化を設定します。

• EC2 インスタンスのブートボリュームとデータ EBS ボリュームの両方を暗号化します。暗号化された EBS ボリュームは次のデータを保護します。

  • ボリューム内で保管中のデータ

  • ボリュームとインスタンスの間で移動されるすべてのデータ

  • ボリュームから作成されたすべてのスナップショット

  • それらのスナップショットから作成されたすべてのボリューム

  詳細については、「EBS 暗号化のしくみ」を参照してください。

• 現在の でアカウントの EBS ボリュームの暗号化をデフォルトで有効にします AWS リージョン。こうすることで、新しい EBS ボリュームとスナップショットコピーはすべて強制的に暗号化されます。これは既存の EBS ボリュームまたはスナップショットには影響しません。詳細については、「デフォルトで暗号化を有効にする」を参照してください。

• Amazon EC2 インスタンスのインスタンスストアルートボリュームを暗号化します。こうすることで、オペレーティングシステムで保存されている設定ファイルやデータの保護に役立ちます。詳細については、Amazon EC2 インスタンスストア暗号化で保管中のデータを保護する方法」（AWS ブログ記事) を参照してください。

• で AWS Config、暗号化ボリュームルールを実装して、適切な暗号化設定を検証して適用する自動チェックを実行します。