Amazon EBS 暗号化の例 - Amazon EBS
暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合) 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)暗号化ボリュームを再暗号化する暗号化スナップショットを再暗号化する暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する暗号化の結果

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS 暗号化の例

暗号化された EBS リソースを作成すると、ボリューム作成パラメータまたは KMS またはインスタンスのブロックデバイスマッピングで別のカスタマーマネージドキーを指定しない限り、EBS 暗号化用のアカウントのデフォルトの AMI キーによって暗号化されます。

次の例では、ボリュームとスナップショットの暗号化状態を管理する方法を示します。暗号化のケースの完全なリストについては、暗号化の結果の表を参照してください。

暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットから復元されたボリュームは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のボリュームを暗号化することができます。以下の図は、そのプロセスを示したものです。

暗号化されていないスナップショットからボリュームを作成するときは、KMS キーを指定して暗号化されたボリュームを作成します。

KmsKeyId パラメータを省略すると、結果のボリュームは KMS 暗号化用のデフォルトの EBS キーを使用して暗号化されます。ボリュームを別の KMS キーに暗号化するには、KMS キー ID を指定する必要があります。

詳細については、「Amazon EBS ボリュームを作成する」を参照してください。

暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)

デフォルトで暗号化を有効にしている場合、暗号化されていないスナップショットから復元されたボリュームには暗号化が必須であり、デフォルトの KMS キーを使用するための暗号化パラメータは必要ありません。以下の図に、このデフォルトの簡単なケースを示しています。

暗号化されていないスナップショットからボリュームを作成するときに、デフォルトで暗号化が有効になっている場合、デフォルトの KMS キーを使用して暗号化されたボリュームが作成されます。

復元したボリュームを対称カスタマーマネージド型暗号化キーに暗号化する場合は、暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合) に示すように EncryptedKmsKeyId の両方のパラメータを指定する必要があります。

暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットのコピーは、デフォルトで暗号化されません。ただし、Encrypted パラメータと、必要に応じて KmsKeyId パラメータを設定して、結果のスナップショットを暗号化することができます。を省略するとKmsKeyId、結果のスナップショットはデフォルトの KMS キーで暗号化されます。ボリュームを別の対称暗号化 KMS キーに暗号化するには、KMS キー ID を指定する必要があります。

以下の図は、そのプロセスを示したものです。

暗号化されていないスナップショットから暗号化されたスナップショットを作成します。

EBS ボリュームを暗号化するには、暗号化されていないスナップショットを暗号化されたスナップショットにコピーし、暗号化されたスナップショットからボリュームを作成します。詳細については、「Amazon EBS スナップショットのコピー」を参照してください。

暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)

暗号化をデフォルトで有効にした場合、暗号化されていないスナップショットのコピーには暗号化が必須であり、デフォルトの KMS キーを使用する場合は暗号化パラメータは必要ありません。このデフォルトのケースを次の図に示します。

暗号化されていないスナップショットから暗号化されたスナップショットを作成します。

暗号化ボリュームを再暗号化する

CreateVolume アクションが暗号化されたスナップショットで動作する場合、別の KMS キーで再暗号化することもできます。以下の図は、そのプロセスを示したものです。この例では、KMS KMSキー A と KMS キー B の 2 つの Word キーを所有しています。ソーススナップショットは KMS キー A によって暗号化されます。ボリュームの作成時に、KMS キー B の KMS キー ID をパラメータとして指定すると、ソースデータは自動的に復号化され、KMS キー B によって再暗号化されます。

暗号化されたスナップショットをコピーし、新しい KMS キーにコピーを暗号化します。

詳細については、「Amazon EBS ボリュームを作成する」を参照してください。

暗号化スナップショットを再暗号化する

コピー中にスナップショットを暗号化する機能により、所有している既に暗号化されたスナップショットに新しい対称暗号化 KMS キーを適用できます。結果のコピーから復元されたボリュームには、新しい KMS キーを使用してのみアクセスできます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キーを所有しています。ソーススナップショットは KMS キー A によって暗号化されます。コピー中、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に KMS キー B によって再暗号化されます。

暗号化されたスナップショットをコピーし、新しい KMS キーにコピーを暗号化します。

関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。デフォルトでは、コピーはスナップショットの所有者が共有する KMS キーで暗号化されます。ただし、管理している別の KMS キーを使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元の KMS キーが侵害された場合、または所有者が何らかの理由で KMS キーを取り消した場合に、ボリュームへのアクセスが保護されます。詳細については、「暗号化とスナップショットのコピー」を参照してください。

暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 は、暗号化および復号オペレーションを透過的に実行します。

例えば、rsync コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは /mnt/source にあり、移行先のボリュームは /mnt/destination にマウントされています。

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

例えば、robocopy コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは D:\ にあり、移行先のボリュームは E:\ にマウントされています。

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

非表示のフォルダで問題が発生することを回避するために、ボリューム全体をコピーするのではなく、フォルダを使用することをお勧めします。

暗号化の結果

次の表に、設定可能な組み合わせごとの暗号化の結果を示します。

EBS 暗号化が有効になっていますか? デフォルトで暗号化が有効になっていますか? ボリュームのソース デフォルト (カスタマーマネージド型キーの指定なし) カスタム (カスタマーマネージド型キーの指定あり)
いいえ いいえ 新しい (空の) ボリューム 暗号化されていない 該当なし
いいえ いいえ 所有する暗号化されていないスナップショット 暗号化されていない
いいえ いいえ お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
いいえ いいえ お客様と共有されている暗号化されていないスナップショット 暗号化されていない
いいえ いいえ お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化*
はい いいえ 新しいボリューム デフォルトのカスタマーマネージド型キーで暗号化 指定したカスタマーマネージド型キーにより暗号化 **
はい いいえ 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい いいえ お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
はい いいえ お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい いいえ お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい 新しい (空の) ボリューム デフォルトのカスタマーマネージド型キーで暗号化 該当なし
いいえ はい 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
いいえ はい お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
いいえ はい お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい 新しいボリューム デフォルトのカスタマーマネージド型キーで暗号化 指定したカスタマーマネージド型キーにより暗号化
はい はい 所有する暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい お客様が所有する暗号化されたスナップショット 同じキーで暗号化されている
はい はい お客様と共有されている暗号化されていないスナップショット デフォルトのカスタマーマネージド型キーで暗号化
はい はい お客様と共有されている暗号化されたスナップショット デフォルトのカスタマーマネージド型キーで暗号化

* これは、 AWS アカウントとリージョンの EBS 暗号化に使用されるデフォルトのカスタマーマネージドキーです。デフォルトでは、これは EBS AWS マネージドキー に固有のものです。または、カスタマーマネージドキーを指定できます。

** これは、ボリュームの起動時に指定されたカスタマーマネージド型キーです。このカスタマーマネージドキーは、 AWS アカウントとリージョンのデフォルトのカスタマーマネージドキーの代わりに使用されます。