作成した新しい Amazon Elastic Block Storage (Amazon EBS) ボリュームを手動で暗号化しています。ですが、新しい Amazon EBS ボリュームとスナップショットコピーを自動的に暗号化したいと考えています。
簡単な説明
新しく作成された Amazon EBS ボリュームは、デフォルトでは暗号化されません。ただし、指定されたリージョン内で作成された新しい EBS ボリュームと スナップショットコピーのデフォルトの暗号化を有効にすることはできます。デフォルトの暗号化を有効にするには、Amazon Elastic Compute Cloud (Amazon EC2) コンソールを使用してください。
デフォルトの暗号化を有効にする前に、次の点を考慮してください。
- デフォルトの暗号化はリージョンに固有の設定です。リージョンで暗号化を有効にすると、そのリージョンで個々のボリュームまたはスナップショットの暗号化を無効にすることはできません。
- デフォルトの暗号化を有効にしたあとは、インスタンスタイプが Amazon EBS 暗号化をサポートしている場合にのみ、インスタンスを起動できます。
- デフォルトの暗号化を有効にしても、暗号化されていない既存のリソースや暗号化されたリソースは変更されません。デフォルトの暗号化を有効にした後に作成したボリュームとスナップショットコピーのみが暗号化されます。
- デフォルトの暗号化が有効の状態で、AWS Server Migration Service でサービスを移行する際にデルタレプリケーションに失敗する場合は、デフォルトの暗号化を無効にしてください。リフトアンドシフト移行では、AWS Application Migration Service (AWS MGN) を使用するのがベストプラクティスです。
解決方法
- Amazon EC2 コンソールを開きます。
- ナビゲーションバーで、[Region] (リージョン) を選択します。
- ナビゲーションペインで、[EC2 Dashboard] (EC2 ダッシュボード) を選択します。
- 右上隅にある [Account Attributes] (アカウント属性)、[EBS encryption] (EBS 暗号化) を選択します。
- [Manage] (管理) をクリックします。
- [Always encrypt new EBS volumes] (常に新しい EBS ボリュームを暗号化する) で [Enable] (有効にする) を選択します。
- [Default encryption key] (既定の暗号化キー) を選択し、任意のキーを選択し、デフォルトとして設定します。
- [Update EBS encryption] (EBS 暗号化の更新) を選択します。
必要に応じて、他のリージョンでこれらの手順を繰り返します。
**注:**デフォルトの暗号化キーとしてデフォルトのサービスキー (aws/ebs) を選択する場合、暗号化されたボリュームをアカウント間で共有することはできません。AWS KMS キーの詳細については、「AWS KMS の概念」を参照してください。