Amazon Web Services ブログ

【新機能】 暗号化された EBS スナップショットのクロスアカウントコピー

AWS は既に、 Amazon Elastic Block Store (EBS) ボリュームとスナップショットの暗号化をサポートし、AWS Key Management Service (KMS)によって暗号化キーの保管、管理が行うことができます。また、他の AWS アカウントへの EBS スナップショットのコピーをサポートし、スナップショットから新しいボリュームを作成することができます。本日、暗号化された EBS スナップショットをAWS リージョン間で移動できる柔軟性とともに、アカウント間でコピーする機能が追加されました。

このアナウンスは、3つの重要な AWS のベストプラクティスのもとに作られました。

  1. 定期的にEBS ボリュームのバックアップを取得する
  2. 環境(開発、テスト、ステージング、本番)毎にアカウントを作成し、複数アカウントを利用する
  3. バックアップを含めた、データ(保管時のデータ)の暗号化を行う

暗号化された EBS ボリュームとスナップショット

では、実際にこの機能を利用してみたいと思います。まずは、振り返りの意味もこめて、IAM コンソールを使って、暗号化キーを作成します。

 

そして、暗号化キーを指定し(他のアカウントにコピーを行う場合、カスタムキーを利用する必要があります)、暗号化された EBS ボリュームを作成します。

続けて、暗号化された EBS スナップショットをボリュームから作成できます。

 

今ご覧いただいたように、私は既に長いボリュームIDとスナップショットID を私のAWS アカウントで有効にしています(こちらに関しての詳細は、They’re Here – Longer EBS and Storage Gateway Resource IDs Now Available をご確認ください)。

クロスアカウントコピー

今までご覧いただいたことに、何も新しいものはありませんでした。では、新しい部分に入っていきましょう!他のアカウントに暗号化された EBS スナップショットのコピーを作成するには、下記の4つのシンプルなステップを実施する必要があります:

  1. スナップショットに関連づけられたカスタムキーを共有先アカウントと共有する
  2. 暗号化された EBS スナップショットを相手先アカウントと共有する
  3. 共有先アカウントで、スナップショットのコピーを作成する
  4. 新しいボリュームを作成するために作成したコピーを利用する

上記の最初の2ステップを実施するには、共有先アカウント番号が必要です。ここから、IAM コンソールを通じて、どのように共有先アカウントにカスタムキーを共有するかを記していきます:

そして、暗号化された EBS スナップショットを共有します。共有するスナップショットを選択し、Modify Permissions(権限の変更)をクリックします。

共有先のアカウント番号を入力し、Save(保存)をクリックします。

 

 

暗号化されたスナップショットを一般公開することは出来ないので、ご注意ください。

次のステップに移る前に、少し権限について補足させてください!下記に、ポリシーやロールを設定するために知っておくべきことを記しました:

Source Account(スナップショットの共有元アカウント) – 共有元アカウントのIAM ユーザー、ロールは、 ModifySnapshotAttribute 関数を呼び出すことが出来る必要があり、オリジナルのスナップショットに関連づけられる鍵に対して、 DescribeKeyReEncypt 操作を実行できる必要があります。

Target Account(スナップショットの共有先アカウント) –共有先アカウントのIAM ユーザー、ロールは、オリジナルのスナップショットに関連づけられる鍵に対して、DescribeKey, CreateGrant, Decrypt の操作を実行できる必要があります。加えて、CopySnapshot の呼び出しに関連づけられた鍵に対して、CreateGrant, Encrypt, Decrypt, DescribeKeyGenerateDataKeyWithoutPlaintext 操作を実行できる必要があります。

では話を戻して、スナップショットのコピーを行いましょう。

共有先アカウントに切替え、 Snapshots(スナップショット) タブを表示し、Private Snapshots(プライベートスナップショット) をクリックします。スナップショット ID (スナップショット名はタグとして保存されますが、コピーされません)経由で、共有されたスナップショットを確認し、チェックボックスで選択し、Action(アクション) から Copy(コピー) をクリックします:

 

コピーされるスナップショットに使用する暗号化キーを選択します(ここでは、アジアパシフィック(東京)リージョンにスナップショットをコピーします)。

コピーに対して新しい鍵を利用することで、2つのアカウント間での分離レベルが高くなります。コピー操作中に、新しい鍵を使ってデータは再暗号化されます。

今すぐご利用可能です

この機能は AWS Key Management Service (KMS)が利用可能な全リージョンで利用可能です。データボリューム、ルートボリュームで利用できるように設計され、全てのボリュームタイプで利用可能ですが、現時点では暗号化されたAMIを共有するために利用することは出来ません。スナップショットをコピーし、新しいイメージとして登録することで、スナップショットを利用して、暗号化されたブートボリュームを作成できます。

— Jeff; (翻訳は江川が担当しました。原文はこちら)