Amazon Web Services ブログ

Amazon EC2 インスタンスの起動時にカスタム暗号化キーを使用して、暗号化された Amazon EBS ボリュームの作成が可能に

Amazon Elastic Block Store (EBS) は Amazon EBS ボリュームの暗号化ソリューションを提供するため、ブロックストレージの暗号化キーを管理するための独自のインフラストラクチャを構築、維持、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたの Amazon EBS ボリュームを作成するときにAWS Key Management Service (AWS KMS) のカスタマーマスターキー (CMK) を使用し、AWS KMS の使用に関連する 利点をすべて提供します。Amazon EBS ボリュームを暗号化するには、AWS 管理型 CMK またはカスタマー管理型 CMK のいずれかを指定できます。カスタマー管理型 CMK を使用する場合、AWS KMSでの CMK を毎年ローテーションするなど、暗号化キーをきめ細かく制御できます。CMK の作成の詳細については、のキーの作成を参照してください。

この投稿では、EC2 コンソール、AWS CLI、AWS SDK から EC2 インスタンスを起動するときに、カスタマー管理型 CMK を使用して暗号化された Amazon EBS ボリュームを作成する方法を示します。

EC2 コンソールから暗号化された Amazon EBS ボリュームを作成する

以下の手順に従って、カスタマー管理型 CMK によって暗号化された Amazon EBS ボリュームを使用して EC2 コンソールから EC2 インスタンスを起動します。

  1. AWS マネジメントコンソールにサインインし、EC2 コンソールを開きます。
  2. [Launch instance] を選択してから、ウィザードのステップ 1 で、[Amazon Machine Image (AMI)] を選択します。
  3. ウィザードのステップ 2 で、[instance type] を選択してから、ステップ 3 で追加の設定の詳細を指定します。インスタンスの設定の詳細については、インスタンスの起動を参照してください。
  4. ウィザードのステップ 4 で、インスタンスにアタッチする追加の EBS ボリュームを指定します。
  5. 暗号化された Amazon EBS ボリュームを作成するには、最初に [Add new volume] を選択して新しいボリュームを追加します。[Snapshot] 列は空白のままにします。
  6. [Encrypted] 列で、ドロップダウンメニューから CMK を選択します。このボックスにカスタム CMK キー ID の完全な Amazon リソースネーム (ARN) を貼り付けることもできます。CMK の ARN の検索の詳細については、キーの操作を参照してください。
  7. [Review and Launch] を選択します。インスタンスは、選択したキーを含む追加の Amazon EBS ボリュームで起動します。起動ウィザードの詳細については、起動ウィザードを使用したインスタンスの起動を参照してください。

AWS CLI または SDK から Amazon EBS 暗号化ボリュームを作成する

次のコマンドに示すように、Encryptedtrue に設定し、BlockDeviceMapping オブジェクトの実際のキー ID とともに kmsKeyID を追加することにより、RunInstances を使用して、追加の暗号化 Amazon EBS ボリュームでインスタンスを起動することもできます。

$> aws ec2 run-instances –image-id ami-b42209de –count 1 –instance-type m4.large –region us-east-1 –block-device-mappings file://mapping.json

この例では、mapping.json は作成する EBS ボリュームのプロパティを記述しています。


{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2",
"Encrypted": true,
"kmsKeyID": "arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef"
}
}

上記の BlockDeviceMapping で起動テンプレートを作成することにより、Auto Scaling または Spot Fleet を介して、追加の暗号化された EBS データボリュームを含むインスタンスを起動することもできます。例:

$> aws ec2 create-launch-template –MyLTName –image-id ami-b42209de –count 1 –instance-type m4.large –region us-east-1 –block-device-mappings file://mapping.json

AWS CLI または SDK を使用したインスタンスの起動の詳細については、AWS CLI コマンドリファレンスを参照してください。

このブログ投稿では、EC2 インスタンスの起動時に CMK で暗号化される Amazon EBS ボリュームを作成するためのシングルステップの合理化されたプロセスを示し、それによりインスタンス起動ワークフローを効率化しました。この機能の使用を開始するには、EC2 コンソールに移動します。

このブログ投稿に関するご意見は、以下のコメントセクションからお送りください。このブログ投稿に関して質問がある場合は、Amazon EC2 フォーラムで新しいスレッドを開始するか、AWS サポートまでお問い合わせください。

AWS セキュリティのニュースがさらに必要ですか? Twitter をフォローしてください。