投稿日: May 23, 2019
Amazon Elastic Block Store (EBS) 暗号化をデフォルトで有効化できるようになりました。設定を有効にすれば、お客様のアカウントで新しく作成した EBS ボリュームは、すべて確実に暗号化されます。デフォルトで暗号化を実行するためのオプトイン設定は、アカウント内の個々の AWS リージョンに固有のものとなります。データの取り扱いに関する規制がますます強化される中、コンプライアンス遵守およびセキュリティ目標の達成に向けて EBS のデータを暗号化する作業は、この機能によってきわめて簡単になります。
これまでは、EBS ボリュームを新たに作成するたびに、暗号化を実行するかどうかについて明示的に指定していました。新規ボリュームをすべて確実に暗号化するためには、暗号化の実行が指定されなかった場合に作成されたインスタンスを削除する IAM ポリシーを記述するか、あるいは、暗号化されていないボリュームを検出し、暗号化されているボリュームにデータをコピーするカスタムスクリプトを維持する必要がありました。今回の対応により、リージョンごとに 1 回の API コールで、デフォルトでの EBS 暗号化が可能になります。デフォルトでの EBS 暗号化を有効にすれば、各ボリュームに対して暗号化の実行を指定しなくても、新たに作成されたボリュームはすべて暗号化されます。これにより、作成したボリュームを確実に暗号化するというワークフローが単純化されます。さらに、AWS が管理するカスタマーマスターキー (CMK) の代わりとして、カスタマー管理の CMK の 1 つを EBS 暗号化用のデフォルト CMK として設定できます。その結果、デフォルトで暗号化されたデータへのアクセス権を持つユーザーについて、よりきめ細かに管理できるようになります。
利用を開始するには、デフォルトでの EBS 暗号化の有効化に関する技術文書をご覧ください。この機能は、AWS GovCloud と中国を除くすべての商用リージョンで、AWS コマンドラインインターフェイス (CLI) または AWS SDK から追加料金なしで利用できます。