# Amazon Aurora リソースの暗号化
<a name="Overview.Encryption"></a>

Amazon Aurora は、オンプレミスクライアントと Amazon Aurora 間、または Amazon Aurora と他の AWS リソース間を移動する場合でも、保管中と転送中の両方のデータを保護します。Amazon Aurora は、ログ、自動バックアップ、スナップショットなど、Amazon Aurora DB クラスター内のすべてのユーザーデータを暗号化します。

データが暗号化されると、 Amazon Aurora はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。

**注記**  
暗号化された/されていない DB のクラスターでは、AWS リージョン間でレプリケートする場合でも、ソースとリードレプリカ間で送信されるデータは暗号化されます。

**Topics**
+ [Amazon Aurora リソースの暗号化の概要](#Overview.Encryption.Overview)
+ [Amazon Aurora DB クラスターの暗号化](#Overview.Encryption.Enabling)
+ [DB クラスターの暗号化が有効になっているかの判別](#Overview.Encryption.Determining)
+ [Amazon Aurora の暗号化の可用性](#Overview.Encryption.Availability)
+ [転送中の暗号化](#Overview.Encryption.InTransit)
+ [Amazon Aurora の暗号化された DB クラスターの制限事項](#Overview.Encryption.Limitations)

## Amazon Aurora リソースの暗号化の概要
<a name="Overview.Encryption.Overview"></a>

Amazon Aurora の暗号化された DB クラスターは、基になるストレージへの不正アクセスからデータを保護することによって、データ保護の追加レイヤーを提供します。Amazon Aurora で 2026 年 2 月 18 日に作成されたすべての新しいデータベースクラスターは、業界標準の AES-256 暗号化を使用して保管中に暗号化されます。この暗号化はバックグラウンドで自動的に行われ、ユーザーによるアクションを必要とせずにデータが保護されます。これは、機密データの保護における負担と複雑な作業を減らすのにも役立ちます。保管中の暗号化を使用すると、規制要件を満たしながら、偶発的な脅威と悪意のある脅威の両方からコンプライアンスに敏感なアプリケーションとセキュリティ重視のアプリケーションを保護できます。

Amazon Aurora は、これらのリソースを暗号化するために AWS Key Management Service キーを使用します。AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。新しいデータベースクラスターを作成する場合、Amazon Aurora はデフォルトで [AWS 所有のキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-key)でサーバー側の暗号化 (SSE) を使用します。ただし、セキュリティとコンプライアンスのニーズに応じて、次の 3 つの暗号化タイプから選択できます。
+ **AWS 所有のキー (SSE-RDS)** - 表示または管理できない、完全に AWS が制御する暗号化キー。デフォルトの暗号化のために Aurora によって自動的に使用されます。
+ **AWS マネージドキー (AMK)** - このキーは AWS によって作成および管理され、アカウントに表示されますが、カスタマイズすることはできません。月額料金はかかりませんが、AWS KMS API 料金が適用されます。
+ **カスタマーマネージドキー (CMK)** - キーはお客様のアカウントに保存され、ユーザーが作成、所有、管理します。ユーザーには KMS キーに対するフルコントロールの権限があります (AWS KMS の料金が適用されます)。

AWS マネージドキーは、下位互換性のために引き続き使用できるレガシー暗号化オプションです。Amazon Aurora はデフォルトで AWS 所有のキーを使用してデータを暗号化し、追加料金や管理オーバーヘッドなしで強力なセキュリティ保護を提供します。ほとんどのユースケースでは、簡略化とコスト効率のためにデフォルトで AWS 所有のキーを使用するか、暗号化キーを完全に制御する必要がある場合はカスタマーマネージドキー (CMK) を使用することをお勧めします。キーの種類の詳細については、「[カスタマーマネージドキーと AWS マネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)」を参照してください。

**注記**  
**重要:** 2026 年 2 月 18 日より前に作成されたソースデータベースインスタンスまたはクラスターで、暗号化をオプトインしていない場合、それらのソースから作成されたスナップショット、クローン、および Amazon Aurora レプリカ (リードインスタンス) は暗号化されないままです。ただし、Amazon Aurora クラスター外の復元オペレーションと論理レプリケーションでは、暗号化されたインスタンスが生成されます。

 Amazon Aurora の暗号化された DB クラスターでは、すべての DB インスタンス、ログ、バックアップ、スナップショットが暗号化されます。暗号化の可用性と制限の詳細については、「[Amazon Aurora の暗号化の可用性](#Overview.Encryption.Availability)」および「[Amazon Aurora の暗号化された DB クラスターの制限事項](#Overview.Encryption.Limitations)」を参照してください。

暗号化された DB クラスターを作成するときは、カスタマーマネージドキーを選択するか、Amazon Aurora の AWS マネージドキー を選択して DB クラスターを暗号化できます。カスタマーマネージドキーのキー識別子を指定しない場合、Amazon Aurora は新しい DB クラスターに AWS マネージドキー を使用します。Amazon Aurora は、Amazon Aurora 用の AWS マネージドキー を AWS アカウントに作成します。AWS アカウントには、AWS リージョンごとに Amazon Aurora の AWS マネージドキー が別々にあります。

Amazon Aurora リソースの暗号化と復号に使用するカスタマーマネージドキーを管理するには、[AWS Key Management Service (AWS KMS) ](https://docs.aws.amazon.com/kms/latest/developerguide/) を使用します。

AWS KMS を使用して、カスタマーマネージドキーを作成し、これらのカスタマーマネージドキーの使用を制御するポリシーを定義できます。AWS KMS は CloudTrail をサポートしているため、KMS キーの使用状況を監査して、カスタマーマネージドキーが適切に使用されていることを確認できます。カスタマーマネージドキーは、Amazon Aurora およびサポートされている AWS のサービス (Amazon S3、Amazon EBS、Amazon Redshift など) で使用できます。AWS KMS と統合しているサービスのリストについては、「[AWS サービス統合](https://aws.amazon.com/kms/features/#AWS_Service_Integration)」を参照ください。KMS キーの使用に関する考慮事項: 
+ 暗号化された DB インスタンスを作成したら、そのインスタンスで使用されている KMS キーを変更することはできません。したがって、暗号化された DB インスタンスを作成する前に、KMS キーの要件を必ず確認してください。DB クラスターの暗号化キーを変更する必要がある場合は、次の手順に従います。
  + クラスターの手動スナップショットを作成します。
  + スナップショットを復元し、復元オペレーション中に希望する KMS キーによる暗号化を有効にします。
+ 暗号化されていないスナップショットを復元し、暗号化を選択しない場合、作成されたデータベースクラスターは、保管時のデフォルトの暗号化 (AWS 所有のキー) を使用して暗号化されます。
+ スナップショットを共有する AWS アカウントの AWS マネージドキー を使って暗号化されたスナップショットを共有することはできません。
+ DB クラスター内の各 DB インスタンスは、同じ KMS キーを使用して暗号化されたストレージを共有します。

**重要**  
KMS キーを無効にすると、Amazon Aurora は DB インスタンス用の KMS キーにアクセスできなくなる場合があります。このような場合、暗号化された DB クラスターは `inaccessible-encryption-credentials-recoverable` 状態になります。DB クラスターは 7 日間この状態のままであり、その間、インスタンスは停止します。この間に DB クラスターに対して行われた API コールは成功しない場合があります。DB クラスターを復旧するには、KMS キーを有効にして、この DB インスタンスを再起動します。AWS マネジメントコンソール、AWS CLI、または RDS API から KMS キーを有効にできます。AWS CLI コマンド [start-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/start-db-cluster.html) または AWS マネジメントコンソール を使用して DB クラスターを再起動します。  
`inaccessible-encryption-credentials-recoverable` 状態は、停止できる DB クラスターにのみ適用されます。この回復可能な状態は、クロスリージョンリードレプリカを持つクラスターなど、停止できないインスタンスには適用されません。詳細については、「[Aurora DB クラスターの停止と起動に関する制約事項](aurora-cluster-stop-start.md#aurora-cluster-stop-limitations)」を参照してください。  
DB クラスターが 7 日以内に復旧されない場合、終了 `inaccessible-encryption-credentials` 状態になります。この状態では、DB クラスターは使用できなくなり、バックアップからのみ DB クラスターを復元できます。データベース内のデータの消失を防ぐために、バックアップは常に有効にしておくことを強くお勧めします。  
DB クラスターの作成中に、Aurora は呼び出し元のプリンシパルが KMS キーにアクセスできるかどうかを確認し、DB クラスターの存続期間全体に使用する KMS キーから許可を生成します。呼び出し元のプリンシパルの KMS キーへのアクセス権を取り消しても、実行中のデータベースには影響しません。スナップショットを別のアカウントにコピーするなど、クロスアカウントシナリオで KMS キーを使用する場合は、KMS キーを他のアカウントと共有する必要があります。別の KMS キーを指定せずにスナップショットから DB クラスターを作成すると、新しいクラスターはソースアカウントの KMS キーを使用します。DB クラスターの作成後にキーへのアクセス権を取り消しても、クラスターには影響しません。ただし、キーを無効にすると、そのキーで暗号化されたすべての DB クラスターに影響します。これを防ぐには、スナップショットのコピー操作時に別のキーを指定します。

KMS キーの詳細については、「AWS Key Management Service デベロッパーガイド**」の「[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)」と「[AWS KMS key 管理](Overview.Encryption.Keys.md)」を参照してください。

## Amazon Aurora DB クラスターの暗号化
<a name="Overview.Encryption.Enabling"></a>

2026 年 2 月 18 日以降に作成されたすべての新しい DB クラスターは、デフォルトで AWS 所有のキーで暗号化されます。

AWS マネージドキー またはカスタマーマネージドキーを使用して新しい DB クラスターを暗号化するには、コンソールでオプションを選択します。DB クラスターの作成については、「[Amazon Aurora DB クラスターの作成](Aurora.CreateInstance.md)」を参照してください。

[create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html) AWS CLI コマンドを使用して、暗号化された DB クラスターを作成するには、`--storage-encrypted` パラメータを設定します。[CreateDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) API オペレーションを使用する場合は、`StorageEncrypted` パラメータを true に設定します。

暗号化された DB クラスターを作成したら、その DB クラスターで使用されている KMS キーを変更することはできません。したがって、暗号化された DB クラスターを作成する前に、KMS キーの要件を必ず確認してください。

AWS CLI `create-db-cluster` コマンドを使用して、カスタマーマネージドキーで暗号化された DB クラスターを作成する場合は、`--kms-key-id` パラメータを KMS キーの任意のキー識別子に設定します。Amazon RDS API `CreateDBInstance` オペレーションを使用する場合は、`KmsKeyId` パラメータを KMS キーの任意のキー識別子に設定します。カスタマーマネージドキーを別の AWS アカウントで使用するには、キー ARN またはエイリアス ARN を指定します。

## DB クラスターの暗号化が有効になっているかの判別
<a name="Overview.Encryption.Determining"></a>

AWS マネジメントコンソール、AWS CLI、または RDS API を使用して、DB クラスターの保存時の暗号化が有効になっているか判断できます。

### コンソール
<a name="Overview.Encryption.Determining.CON"></a>

**DB クラスターの保存時の暗号化が有効になっているかどうかを判別するため。**

1. AWS マネジメントコンソール にサインインし、Amazon RDS コンソール ([https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)) を開きます。

1. ナビゲーションペインで、**[データベース]** を選択します。

1. チェックして詳細を表示したい DB クラスターの名前を選択します。

1. **Configuration (設定)**タブを選択して**Encryption (暗号化)**値をチェックします。  
![\[DB クラスターの保存時の暗号化のチェック\]](http://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/images/encryption-aurora-instance.png)

### AWS CLI
<a name="Overview.Encryption.Determining.CLI"></a>

AWS CLI を使用して DB クラスターの保存時の暗号化が有効になっているか判断するには、以下のオプションで [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html) コマンドを呼び起こします: 
+ `--db-cluster-identifier` - DB クラスターの名前。

次の例では、`mydb` DB クラスターの保存時の暗号化に関して `TRUE` または `FALSE` のいずれかを返すクエリを使用しています。

**Example**  

```
1. aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text
```

### RDS API
<a name="Overview.Encryption.Determining.API"></a>

Amazon RDS API を使用して DB クラスターの保管時の暗号化が有効であるかを判断するには、以下のパラメータで [DescribeDBClusters](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBClusters.html) オペレーションを呼び起こします。
+ `DBClusterIdentifier` - DB クラスターの名前。

## Amazon Aurora の暗号化の可用性
<a name="Overview.Encryption.Availability"></a>

Amazon Aurora 暗号化は、現在すべてのデータベースエンジンおよびストレージタイプに使用できます。

**注記**  
Amazon Aurora 暗号化は、db.t2.micro DB インスタンスクラスでは使用できません。

## 転送中の暗号化
<a name="Overview.Encryption.InTransit"></a>

**物理レイヤーでの暗号化**  
AWS グローバルネットワーク上の AWS リージョンを流れるすべてのデータは、AWS の安全な施設を離れる前に、物理層で自動的に暗号化されます。AZ 間のトラフィックはすべて暗号化されます。追加的な暗号化レイヤーでは、このセクションに記載されているもの以外にも、保護が提供されている場合があります。

**Amazon VPC ピアリングおよび Transit Gateway のクロスリージョンピアリング接続によって得られる暗号化**  
Amazon VPC およびTransit Gateway のピアリング接続を使用する、すべてのクロスリージョントラフィックは、リージョンからの送信時に自動的に一括で暗号化されます。すべてのトラフィックにおける物理レイヤーには、そのトラフィックが AWS の保護された設備を離れる前に、追加の暗号化レイヤーが自動的に提供されています。

**インスタンス間での暗号化**  
AWS では、すべてのタイプの DB インスタンス間において安全でプライベートな接続を提供しています。さらに、一部のインスタンスタイプでは、基盤となる Nitro System ハードウェアのオフロード機能を使用して、インスタンス間の転送中のトラフィックを自動的に暗号化します。この暗号化では、256 ビットの暗号化による関連データによる認証暗号化 (AEAD) アルゴリズムを使用します。ネットワークのパフォーマンスには影響しません。インスタンス間でこの追加の転送中トラフィック暗号化をサポートするには、次の要件を満たす必要があります。  
+ インスタンスは、次のインスタンスタイプを使用します。
  + **汎用**: M6i、M6id、M6in、M6idn、M7g
  + **メモリ最適化**: R6i、R6id、R6in、R6idn、R7g、X2idn、X2iedn、X2iezn
+ 各インスタンスは同じ AWS リージョンにあるものとします。
+ 各インスタンスは同じ VPC 内、あるいはピア接続された VPC 内にあり、トラフィックは仮想ネットワークのデバイスもしくはサービス (ロードバランサーや Transit Gateway など) を通過しないものとします。

## Amazon Aurora の暗号化された DB クラスターの制限事項
<a name="Overview.Encryption.Limitations"></a>

Amazon Aurora の暗号化された DB クラスターには、以下の制限事項があります。
+ 暗号化された DB クラスターの暗号化をオフにすることはできません。
+ 暗号化されていない既存のクラスターがある場合、そのクラスターから作成されたすべてのスナップショットも暗号化されません。暗号化されていないクラスターから暗号化されたスナップショットを作成するには、スナップショットをコピーし、コピー操作中にカスタマーマネージドキーを指定する必要があります。カスタマーマネージドキーを指定せずに、暗号化されていないスナップショットから暗号化されたスナップショットを作成することはできません。
+ 暗号化されていない DB の暗号化されたスナップショットを作成することはできません。
+ 暗号化された DB クラスターのスナップショットは、DB クラスターと同じ KMS キーを使用して暗号化する必要があります。
+ 暗号化されていない DB クラスターを暗号化された DB クラスターに変換することはできません。ただし、暗号化されていないスナップショットを暗号化された Aurora DB クラスターに復元することはできます。それを行うには、暗号化されていないスナップショットから復元するときに、KMS キーを指定します。
+ 暗号化されていない既存のクラスターがある場合、そのクラスターから作成された Amazon Aurora レプリカ (リードインスタンス) も暗号化されません。暗号化されていないクラスターから暗号化されたクラスターを作成するには、データベースクラスターを復元する必要があります。復元されたクラスターは、デフォルトで復元オペレーション後に暗号化されます。
+ ある AWS リージョンから別のリージョンに暗号化されたスナップショットをコピーするには、送信先 AWS リージョンの KMS キーを指定する必要があります。これは、KMS キーが、作成される AWS リージョンに固有のものであるためです。

  ソーススナップショットはコピープロセス全体で暗号化されたままになります。Amazon Auroraは、コピー処理中にエンベロープ暗号化を使用してデータを保護します。エンベロープ暗号化の仕組みの詳細については、*AWS Key Management Service デベロッパーガイド*の「[エンベロープ暗号化](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)」を参照してください。
+ 暗号化された DB クラスターの暗号化を解除することはできません。ただし、暗号化された DB クラスターからデータをエクスポートし、暗号化されていない DB クラスターにデータをインポートすることはできます。