保管中の Amazon DocumentDB データの暗号化 - Amazon DocumentDB
保管時の暗号化の有効化暗号化されたクラスターの制限事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の Amazon DocumentDB データの暗号化

注記

AWS KMS は、カスタマーマスターキー (CMK) という用語を AWS KMS keyおよび KMS キーに置き換えます。この概念に変更はありません。重大な変更を防ぐために、 AWS KMS ではこの用語のバリエーションがいくつか残されています。

クラスターを作成するときに、ストレージの暗号化オプションを指定して、Amazon DocumentDB クラスター内の保存データを暗号化できます。ストレージの暗号化はクラスター全体で有効になり、プライマリインスタンスとレプリカを含むインスタンス全体に適用されます。また、クラスターのストレージボリューム、データ、インデックス、ログ、自動バックアップ、スナップショットにも適用されます。

Amazon DocumentDB は、256 ビット Advanced Encryption Standard (AES-256) を使用して、 AWS Key Management Service () に保存されている暗号化キーを使用してデータを暗号化しますAWS KMS。保存暗号化が有効な Amazon DocumentDB クラスターを使用する場合、アプリケーションロジックやクライアント接続を変更する必要はありません。Amazon DocumentDB はパフォーマンスの影響を最小限に抑えながら、データの暗号化と復号を透過的に処理します。

Amazon DocumentDB は と統合 AWS KMS され、エンベロープ暗号化と呼ばれる方法を使用してデータを保護します。Amazon DocumentDB クラスターが で暗号化されている場合 AWS KMS、Amazon DocumentDB は KMSキーを使用して暗号文データキーを生成し、ストレージボリュームを暗号化 AWS KMS するように に要求します。暗号文データキーは、定義したKMSキーを使用して暗号化され、暗号化されたデータとストレージメタデータとともに保存されます。Amazon DocumentDB は、暗号化されたデータにアクセスする必要がある場合、キーを使用して暗号文データキーを復号 AWS KMS するようにリクエストKMSし、プレーンテキストデータキーをメモリにキャッシュして、ストレージボリューム内のデータを効率的に暗号化および復号します。

Amazon DocumentDB のストレージ暗号化機能は、サポートされているすべてのインスタンスサイズと、Amazon DocumentDB AWS リージョン が利用可能なすべての で使用できます。

Amazon DocumentDB クラスターの保管時の暗号化の有効化

クラスターが または AWS Command Line Interface () を使用してプロビジョニングされている場合、Amazon DocumentDB クラスターの保管時の暗号化を有効 AWS Management Console または無効にできますAWS CLI。コンソールを使用して作成したクラスターでは、デフォルトで保管時の暗号化が有効になっています。を使用して作成したクラスターでは AWS CLI 、保管時の暗号化がデフォルトで無効になっています。したがって、保存時の暗号化は --storage-encrypted パラメータを使用して明示的に有効にする必要があります。いずれの場合も、クラスターの作成後は、保存時の暗号化オプションを変更することはできません。

Amazon DocumentDB は AWS KMS 、 を使用して暗号化キーを取得および管理し、これらのキーの使用方法を制御するポリシーを定義します。 AWS KMS キー識別子を指定しない場合、Amazon DocumentDB はデフォルトの AWS マネージドサービスKMSキーを使用します。Amazon DocumentDB は、 AWS リージョン 内の ごとに個別のKMSキーを作成します AWS アカウント。詳細については、「AWS Key Management Service の概念」を参照してください。

独自のKMSキーの作成を開始するには、「 AWS Key Management Service デベロッパーガイド」の「開始方法」を参照してください。

重要

Amazon DocumentDB は対称暗号化KMSキーのみをサポートしているため、クラスターを暗号化するには対称暗号化KMSキーを使用する必要があります。非対称KMSキーを使用して Amazon DocumentDB クラスター内のデータを暗号化しないでください。詳細については、AWS Key Management Service デベロッパーガイドの「AWS KMSの非対称キー」を参照してください。

Amazon DocumentDB がクラスターの暗号化キーにアクセスできなくなった場合、例えばキーへのアクセス権が失効した場合など、暗号化されたクラスターは終了状態になります。この場合、クラスターはバックアップからのみ復元できます。Amazon DocumentDB では、バックアップは常に 1 日間有効になります。

また、暗号化された Amazon DocumentDB クラスターのキーを無効にすると、最終的にそのクラスタに対する読み取りおよび書き込みのアクセス権は失われます。Amazon DocumentDB で、アクセスできないキーで暗号化されたクラスターが発生すると、クラスターが終了状態になります。この場合、クラスターは使用できなくなり、データベースの現在の状態を復元することはできません。クラスターを復元するには、Amazon DocumentDB の暗号化キーへのアクセスを再び有効にした後、バックアップからクラスターを復元します。

重要

暗号化されたクラスターのKMSキーは、作成後に変更することはできません。暗号化されたクラスターを作成する前に、暗号化キーの要件を確認してください。

Using the AWS Management Console

保管時の暗号化オプションは、クラスターの作成時に指定します。 AWS Management Consoleを使用してクラスターを作成すると、保管時の暗号化がデフォルトで有効になります。クラスターの作成後に変更することはできません。

クラスターの作成時に保管時の暗号化オプションを指定するには

  1. Amazon DocumentDB クラスターの作成は、開始方法 セクションで説明されています。ただし、ステップ 6 では、[クラスターの作成] を選択しないでください。

  2. [Authentication (認証)] セクションの下で、[Show advanced settings (詳細設定の表示)] を選択します。

  3. E ncryption-at-restセクションまで下にスクロールします。

  4. 保存時の暗号化オプションを選択します。どちらのオプションを選択しても、クラスターの作成後に変更することはできません。

    • このクラスターを保管時に暗号化するには、[暗号化の有効化] を選択します。

    • このクラスターで保存されているデータを暗号化しない場合は、[暗号化の無効化] を選択します。

  5. 必要なプライマリキーを選択します。Amazon DocumentDB は AWS Key Management Service 、 (AWS KMS) を使用して暗号化キーを取得および管理し、これらのキーの使用方法を制御するポリシーを定義します。 AWS KMS キー識別子を指定しない場合、Amazon DocumentDB はデフォルトの AWS マネージドサービスKMSキーを使用します。詳細については、「AWS Key Management Service の概念」を参照してください。

    注記

    暗号化されたクラスターを作成した後は、そのクラスターのKMSキーを変更することはできません。暗号化されたクラスターを作成する前に、暗号化キーの要件を確認してください。

  6. 必要に応じて他のセクションを完了し、クラスターを作成します。

Using the AWS CLI

を使用して Amazon DocumentDB クラスターを暗号化するには AWS CLI、クラスターの作成時に --storage-encryptedオプションを指定する必要があります。を使用して作成された Amazon DocumentDB クラスターは、デフォルトではストレージ暗号化を有効に AWS CLI しません。

次の例では、ストレージ暗号化を有効にした Amazon DocumentDB クラスターを作成します。

Linux、macOS、Unix の場合:

aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted

Windows の場合:

aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted

暗号化された Amazon DocumentDB クラスターを作成するときに、次の例のようにキー AWS KMS 識別子を指定できます。

Linux、macOS、Unix の場合:

aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted \
      --kms-key-id key-arn-or-alias

Windows の場合:

aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted ^
      --kms-key-id key-arn-or-alias
注記

暗号化されたクラスターを作成した後は、そのクラスターのKMSキーを変更することはできません。暗号化されたクラスターを作成する前に、暗号化キーの要件を確認してください。

Amazon DocumentDB 暗号化クラスターの制限事項

Amazon DocumentDB の暗号化されたクラスターには、以下の制限事項があります。

  • Amazon DocumentDB クラスターのストレージの暗号化を有効または無効にできるのは、クラスターの作成後ではなく作成時のみです。ただし、暗号化されていないクラスターのスナップショットを作成し、暗号化されていないスナップショットを新しいクラスターとして復元する際に保存時の暗号化オプションを指定します。

    詳細については、次のトピックを参照してください。

  • ストレージの暗号化を有効にした Amazon DocumentDB クラスターを変更して暗号化を無効にすることはできません。

  • Amazon DocumentDB クラスター内のすべてのインスタンス、自動バックアップ、スナップショット、インデックスは、同じKMSキーで暗号化されます。