翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EBS 暗号化の要件
開始する前に、以下の要件が満たされていることを確認します。
**Topics**
+ [サポートされるボリュームタイプ](#ebs-encryption-volume-types)
+ [サポートされるインスタンスタイプ](#ebs-encryption_supported_instances)
+ [ユーザーのアクセス許可](#ebs-encryption-permissions)
+ [インスタンスの権限](#ebs-encryption-instance-permissions)
## サポートされるボリュームタイプ
暗号化は、すべての EBS ボリュームタイプでサポートされます。暗号化されたボリュームでは、暗号化されていないボリュームと同じ IOPS パフォーマンスが期待できます。遅延に対する影響は最小限に抑えられます。暗号化されていないボリュームにアクセスするのと同じ方法で、暗号化されたボリュームにアクセスできます。暗号化と復号は透過的に処理され、ユーザーやアプリケーションから追加の操作を必要としません。
## サポートされるインスタンスタイプ
Amazon EBS 暗号化は、すべての[現行世代](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances)および[前世代](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances)のインスタンスタイプで利用できます。
## ユーザーのアクセス許可
EBS 暗号化に KMS キーを使用する場合、KMS キーポリシーは、必要な AWS KMS アクションにアクセスできるすべてのユーザーがこの KMS キーを使用して EBS リソースを暗号化または復号できるようにします。EBS 暗号化を使用するには、次のアクションを呼び出す許可をユーザーに付与する必要があります。
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:ReEncrypt`
**ヒント**
最小権限のプリンシパルに従うには、`kms:CreateGrant` へのフルアクセスを許可しないでください。代わりに、次の例に示すように、 AWS サービスによってユーザーに代わって権限が作成された場合にのみ、 `kms:GrantIsForAWSResource`条件キーを使用して KMS キーに対する権限の作成をユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
詳細については、 *AWS Key Management Service デベロッパーガイド*の「デフォルトキー[ポリシー」セクションの AWS 「アカウントへのアクセスを許可し、IAM ポリシーを有効にする](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam)」を参照してください。 ****
## インスタンスの権限
インスタンスが暗号化された AMI、ボリューム、またはスナップショットと通信しようとすると、インスタンスの ID 専用ロールに KMS キーグラントが発行されます。ID 専用ロールは、インスタンスがユーザーに代わって暗号化された AMI、ボリューム、またはスナップショットを操作するために使用する IAM ロールです。
ID のみのロールは、手動で作成または削除する必要はなく、ポリシーも関連付けられていません。また、ID のみのロール認証情報にはアクセスできません。
**注記**
ID 専用ロールは、インスタンス上のアプリケーションが Amazon S3 オブジェクトや Dynamo DB テーブルなどの他の AWS KMS 暗号化されたリソースにアクセスするために使用されません。これらのオペレーションは、Amazon EC2 インスタンスロールの認証情報、またはインスタンスで設定したその他の AWS 認証情報を使用して実行されます。
ID のみのロールには、[サービスコントロールポリシー](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) と [KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) キーポリシーが適用されます。SCP キーまたは KMS キーが KMS キーへの ID 専用ロールアクセスを拒否すると、暗号化されたボリュームで、または暗号化された AMI やスナップショットを使用して EC2 インスタンスを起動できないことがあります。
`aws:SourceIp`、、、または `aws:SourceVpce` AWS グローバル条件キーを使用してネットワークの場所に基づいてアクセスを拒否する SCP `aws:VpcSourceIp``aws:SourceVpc`またはキーポリシーを作成する場合は、これらのポリシーステートメントがインスタンスのみのロールに適用されないようにする必要があります。ポリシーの例については、「[データペリメータポリシーの例](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main)」を参照してください。
ID 専用ロール ARN は次の形式を使用します:
```
arn:{{aws-partition}}:iam::{{account_id}}:role/aws:ec2-infrastructure/{{instance_id}}
```
キーグラントがインスタンスに発行されると、キーグラントはそのインスタンス固有のロール割り当てセッションに発行されます。被付与者のプリンシパル ARN は以下の形式を使用します:
```
arn:{{aws-partition}}:sts::{{account_id}}:assumed-role/aws:ec2-infrastructure/{{instance_id}}
```