Amazon Web Services ブログ
新機能 – 新規 EBS ボリュームのデフォルト暗号化へのオプトイン
AWS チームにいる私の同僚達は、皆さんがデータを不正アクセスから守るためのより簡単な方法を常に考えています。今回は、AWS クラウドセキュリティページ、AWS セキュリティブログ、AWS セキュリティホワイトペーパーの豊富なコレクションや、充実ぶりではそれに引けを取らない AWS のセキュリティ、アイデンティティ、コンプライアンスサービス、および個々のサービス内の広範なセキュリティ機能など、様々な方法で皆さんにご利用いただけます。本記事を読まれて思い出される方もおられるでしょう。多数の AWS サービスが、保管時およびトランジット中、ロギング、IAM ロールおよびポリシー等における暗号化をサポートしています。
デフォルト暗号化
今回お話しするのは、暗号化した Amazon EBS (Elastic Block Store) ボリュームの使用をさらにシンプルにする新機能についてです。今回の新機能は、次のような既存の EBS セキュリティ機能をベースに構築しました。
- EBS Encryption for Additional Data Protection
- Encrypting EBS Snapshots Via Copying
- Encrypted EBS Boot Volumes
- Encryption with Custom Keys at Instance Launch Time
- Sharing of Encrypted AMIs Across AWS Accounts
新規作成する EBS ボリュームはすべて暗号化された形で作成できるようになります。AWS 提供のデフォルトキーか、皆さんが作成したキーのいずれかを選んでいただけます。キーおよび EC2 の設定は個々の AWS リージョンに固有のものであるため、リージョンごとにオプトインする必要があります。
新機能により、さらに簡便簡素に新しいボリュームを暗号化された形で作成できるようにして、データ保護やコンプライアンスといった目標の達成を支援します。既存の非暗号化ボリュームはその影響を受けることはありません。
暗号化ボリュームの使用が必須の IAM ポリシーを使用する場合は、インスタンス起動の際に誤って非暗号化ボリュームが参照対象となったときに起こる起動エラーは本機能を使うことで防止できます。貴社のセキュリティチームはデフォルトで暗号化を有効にできます。開発チームとの調整は不要です。別のコードやオペレーション上の変更もありません。
暗号化 EBS ボリュームは、指定したインスタンスのスループット、ボリュームのパフォーマンス、レイテンシーを供給しますが、追加料金はありません。EC2 コンソールを開いて、自分が対象リージョンにいることを確認したら、[Settings] をクリックして開始します。
次に、[Always encrypt new EBS volumes] を選択します。
[Change the default key] をクリックして、自分のキーからデフォルトとしたいものを選択できます。
どちらの場合でも、[Update] をクリックして先に進みます。ここで、注意点があります。この設定が適用されるのは、1 つの AWS リージョンに限られます。リージョンごとに、オプションにチェックマークを付けて、キーを選択するステップを同じように繰り返す必要があります。
先に進みます。このリージョンに作成した EBS ボリュームはすべて暗号化されますが、私が何か追加の作業をする必要はありません。ボリュームを作成すると、[EC2 Settings] で選択したキーを使用できますが、別のキーの選択も可能です。
作成するスナップショットはすべて、ボリュームを暗号化する際に使用したキーで暗号化されます。
当該ボリュームをスナップショット作成のために使用する場合は、もとのキーを使用できますが、別のキーの選択も可能です。
知っておくべきこと
今回の AWS の新機能について、重要なことがいくつかあります。
古いタイプのインスタンス – 本機能を有効にすると、C1、M1、M2、T1 インスタンスは起動できなくなります。また、これらのタイプの既存のインスタンスに対して新たに暗号化した EBS ボリュームのアタッチもできません。皆さんには、新しいタイプのインスタンスへの移行をお勧めします。
AMI 共有 – 上述しましたが、暗号化された AMI は他の AWS アカウントと共有できるようにすでになっています。ただし、AMI は一般公開できません。コミュニティ AMI、Marketplace AMI、パブリックスナップショットを作成するには、別のアカウントを使用する必要があります。詳細については、How to Share Encrypted AMIs Across Accounts to Launch Encrypted EC2 Instancesをご覧ください。
その他の AWS のサービス – EBS をストレージとして使用する Amazon Relational Database Service (RDS) や Amazon WorkSpaces のような AWS のサービスでは独自の暗号化やキー管理を実行しますが、それらは本機能の影響を受けません。皆さんのアカウント内にボリュームを作成するAmazon EMR のようなサービスではその暗号化設定は自動的に維持され、常時暗号化機能が有効になっている場合に暗号化ボリュームが使用されます。
API/CLI アクセス – EC2 CLI および API からも本機能にアクセス可能です。
追加料金なし – 暗号化の有効化または使用には追加料金は発生しません。暗号化 AMI を使用していて、AWS アカウントごとに AMI を 1 つずつ作成する場合は、当該 AMI はほかのアカウントと共有できるため、ストレージの使用量および料金を低減できます。
リージョンごと – 上述しましたが、デフォルト暗号化へのオプトインはリージョンごとに可能です。
今すぐ利用可能です!
新機能は、すべてのパブリック AWS リージョンおよび GovCloud で、今すぐご利用になれます。中国国内の AWS リージョンではご利用になれません。
— Jeff;