翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # デフォルトで Amazon EBS の暗号化を有効化 作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。例えば、Amazon EBS は、インスタンスの起動時に作成された EBS ボリュームと、暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていない EBS リソースから暗号化された EBS リソースへの移行の例については、[暗号化されていないリソースの暗号化](ebs-encryption.md#encrypt-unencrypted)を参照してください。 デフォルトでは、暗号化は既存の EBS ボリュームまたはスナップショットには影響しません。 **考慮事項** + デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョン内の個々のボリュームまたはスナップショットに対して無効にすることはできません。 + デフォルトで Amazon EBS 暗号化は、すべての[現行世代](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances)および[前世代](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances)のインスタンスタイプでサポートされています。 + スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。 ------ #### [ Console ] **リージョンの暗号化をデフォルトで有効にするには** 1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。 1. ナビゲーションバーから、使用するリージョンを選択します。 1. ナビゲーションペインの [**EC2 ダッシュボード**] を選択します。 1. ページの右上で、**[アカウントの属性]**、**[データ保護とセキュリティ]** の順に選択します。 1. **[EBS 暗号化]** セクションで、**[管理]** を選択します。 1. **[Enable]** (有効化) を選択します。は、デフォルトの暗号化キーとしてユーザーに代わって`aws/ebs`作成されたエイリアス AWS マネージドキー で保持するか、対称カスタマーマネージド暗号化キーを選択します。 1. **[Update EBS encryption]** (EBS 暗号化を更新する) を選択します。 ------ #### [ AWS CLI ] **デフォルトの暗号化設定を表示するには** [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html) コマンドを使用します。 + 特定のリージョンの場合 ``` aws ec2 get-ebs-encryption-by-default --region region ``` + アカウントの全リージョンの場合 ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **暗号化をデフォルトで有効にするには** [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html) コマンドを使用します。 + 特定のリージョンの場合 ``` aws ec2 enable-ebs-encryption-by-default --region region ``` + アカウントの全リージョンの場合 ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **暗号化をデフォルトで無効にするには** [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html) コマンドを使用します。 + 特定のリージョンの場合 ``` aws ec2 disable-ebs-encryption-by-default --region region ``` + アカウントの全リージョンの場合 ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` ------ #### [ PowerShell ] **デフォルトの暗号化設定を表示するには** [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html) コマンドレットを使用します。 + 特定のリージョンの場合 ``` Get-EC2EbsEncryptionByDefault -Region region ``` + アカウントの全リージョンの場合 ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **暗号化をデフォルトで有効にするには** [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html) コマンドレットを使用します。 + 特定のリージョンの場合 ``` Enable-EC2EbsEncryptionByDefault -Region region ``` + アカウントの全リージョンの場合 ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **暗号化をデフォルトで無効にするには** [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html) コマンドレットを使用します。 + 特定のリージョンの場合 ``` Disable-EC2EbsEncryptionByDefault -Region region ``` + アカウントの全リージョンの場合 ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` ------ 既存のスナップショットまたは暗号化されたボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。