Amazon Web Services ブログ

Amazon RDS の更新 – 暗号化されたスナップショットの共有、既存のインスタンスの暗号化

 

Amazon RDS の更新 – 暗号化されたスナップショットの共有、既存のインスタンスの暗号化 当社では、ご使用の AWS 環境をできるだけ簡単に保護できるようにしたいと考えています。この分野での最近の発表には、暗号化された EBS ブートボリュームAmazon Aurora での保管時の暗号化、複数の異なるサービスにわたる AWS Key Management Service (KMS) のサポートがありました。今日は、Amazon Relational Database Service (RDS) に保存されたデータに関するいくつかの追加オプションについて説明します。暗号化されたデータベーススナップショットを他の AWS アカウントと共有できるようになりました。また、暗号化されていないデータベースインスタンスに暗号化を追加することも可能になりました。暗号化されたスナップショットの共有 データベースインスタンスに対して保管時の暗号化を使用すると、インスタンスから自動および手動で作成されたデータベーススナップショットも暗号化されます。これまで、暗号化されたスナップショットは単一の AWS アカウントでのみ使用可能で、共有はできませんでした。今回、暗号化されたスナップショットを最大 20 の別の AWS アカウントと共有する機能を提供します。これを行うには、AWS Management ConsoleAWS Command Line Interface (CLI)RDS API のいずれかを使用します。暗号化されたスナップショットは AWS リージョン内で共有できますが、パブリックで共有することはできません。既存の共有機能と同様に、今回のリリースは手動作成のスナップショットに適用されます。暗号化されたスナップショットを共有するには、スナップショットを選択して Share Snapshot をクリックします。これにより Manage Snapshot Permissions ページが開きます。1 つ以上のアカウント ID を入力し (1 つ入力するごとに Add をクリック)、すべて入力したら Save をクリックします。

アカウントは、自社が所有するもの (たとえば開発用、テスト用、ステージング用、本番用に個別のアカウントがある場合) またはビジネスパートナーが所有するものを指定できます。重要なデータベースを別の AWS アカウントにバックアップするのがベストプラクティスですが、この新機能を使用して実装できると同時に、保管時の暗号化のメリットも享受できます。

Save をクリックすると、他のアカウントが共有スナップショットにアクセスできるようになります。それらのアカウントを特定する最も簡単な方法としては、RDS コンソールにアクセスし、Shared with Me を使用してリストをフィルタします。スナップショットは、新しい RDS データベースインスタンスを作成するのに使用できます。 詳細については、「DB スナップショットの共有」を参照してください。 既存のデータベースインスタンスへの暗号化の追加 KMS キーを使用して、暗号化されていないデータベースインスタンスに保管時の暗号化を追加できるようになりました。これは、複数のステップから成るシンプルなプロセスです。

  1. 暗号化されていないデータベースインスタンスのスナップショットを作成します。
  2. このスナップショットを、新規の暗号化されたスナップショットにコピーします。暗号化を有効にし、任意の KMS キーを指定します。
  3. 暗号化されたスナップショットを新規のデータベースインスタンスにリストアします。
  4. 新しいデータベースインスタンスのエンドポイントを参照するように、アプリケーションを更新します。

これで必要な作業は終わりです。同様の手順で、既存のデータベースインスタンスの暗号化キーを変更できます。詳細については、「DB スナップショットのコピー」を参照してください。