翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Elastic Block Store (Amazon EBS) が を使用する方法 AWS KMS
<a name="services-ebs"></a>

このトピックでは、[Amazon Elastic Block Store (Amazon EBS) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)が を使用してボリュームとスナップショット AWS KMS を暗号化する方法について詳しく説明します。Amazon EBS ボリュームの暗号化に関する基本的な手順については、「[Amazon EBS 暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」を参照してください。

**Topics**
+ [Amazon EBS 暗号化](#ebs-encrypt)
+ [KMS キーとデータキーを使用する](#ebs-cmk)
+ [Amazon EBS 暗号化コンテキスト](#ebs-encryption-context)
+ [Amazon EBS 障害の検出](#ebs-failures)
+ [AWS CloudFormation を使用して暗号化された Amazon EBS ボリュームを作成する](#ebs-encryption-using-cloudformation)

## Amazon EBS 暗号化
<a name="ebs-encrypt"></a>

暗号化された Amazon EBS ボリューム [をサポートされている Amazon Elastic Compute Cloud（Amazon EC2）インスタンスタイプ](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption_supported_instances) にアタッチすると、ボリュームに保存されたデータ、ディスク I/O、ボリュームから作成されたスナップショットはすべて暗号化されます。暗号化は、Amazon EC2 インスタンスをホストするサーバーで行われます。

この機能は、すべての [Amazon EBS ボリュームタイプ](https://docs.aws.amazon.com/ebs-encryption-requirements.html#ebs-encryption-volume-types)でサポートされています。暗号化されたボリュームには、他のボリュームにアクセスする場合と同じ方法でアクセスできます。暗号化と復号化は透過的に処理され、ユーザー、EC2 インスタンス、アプリケーションからの追加アクションは不要です。暗号化されたボリュームのスナップショットは自動的に暗号化され、暗号化されたスナップショットから作成されたボリュームも、自動的に暗号化されます。

EBS ボリュームの暗号化ステータスは、ボリュームの作成時に決定されます。既存のボリュームの暗号化ステータスを変更することはできません。ただし、暗号化されたボリュームと暗号化されていないボリューム間で [データを移行](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) し、スナップショットのコピー中に新しい暗号化ステータスを適用できます。

Amazon EBS では、デフォルトでオプションの暗号化がサポートされています。 AWS アカウント および リージョンのすべての新しい EBS ボリュームとスナップショットコピーで、暗号化を自動的に有効にできます。この構成設定は、既存のボリュームやスナップショットには影響しません。詳細については、「Amazon EBS ユーザーガイド」の「[Amazon EBS encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)」を参照してください。

## KMS キーとデータキーを使用する
<a name="ebs-cmk"></a>

[暗号化 Amazon EBS ボリュームを作成する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html)ときは、 AWS KMS keyを指定します。デフォルトでは、Amazon EBS はアカウント (`aws/ebs`) の Amazon EBS 用 [AWS マネージドキー](concepts.md#aws-managed-key) を使用します。ただし、ユーザーは作成および管理する[カスタマーマネージドキー](concepts.md#customer-mgn-key)を指定することができます。

カスタマーマネージドキーを使用するには、ユーザーに代わって KMS キーを使用する許可を Amazon EBS に付与する必要があります。詳細については、「Amazon EBS ユーザーガイド」の「[How Amazon EBS encryption works](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html)」を参照してください。

**重要**  
Amazon EBS は、[対称 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)のみをサポートします。[非対称 KMS キー](symmetric-asymmetric.md)を使用して Amazon EBS ボリュームを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、[さまざまなキータイプの特定](identify-key-types.md) を参照してください。

ボリュームごとに、Amazon EBS は指定した KMS キーで暗号化された一意のデータキーを生成する AWS KMS ように に求めます。Amazon EBS は、暗号化されたデータキーをボリュームとともに保存します。次に、ボリュームを Amazon EC2 インスタンスにアタッチすると、Amazon EBS は AWS KMS を呼び出してデータキーを復号します。Amazon EBS は、ハイパーバイザーメモリ内のプレーンテキストデータキーを使用して、ボリュームへのすべてのディスク I/O を暗号化します。詳細については、[Amazon EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#how-ebs-encryption-works) *ユーザーガイド」または「Amazon EC2 ユーザーガイド」の「EBS 暗号化の仕組み*」を参照してください。 [Amazon EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#how-ebs-encryption-works)

## Amazon EBS 暗号化コンテキスト
<a name="ebs-encryption-context"></a>

[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext) および [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストで AWS KMS、Amazon EBS はリクエスト内のボリュームまたはスナップショットを識別する名前と値のペアを持つ暗号化コンテキストを使用します。暗号化コンテキストの名前は変わりません。

[暗号化コンテキスト](encrypt_context.md)は、一連のキー値のペアおよび任意非シークレットデータを含みます。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS 暗号化バインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

すべてのボリュームと Amazon EBS [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html) オペレーションで作成された暗号化されたスナップショットの場合、Amazon EBS はボリューム ID を暗号化コンテキスト値として使用します。CloudTrail ログエントリの `requestParameters` フィールドでは、暗号化コンテキストは次のようになります。

```
"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}
```

Amazon EC2 [CopySnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopySnapshot.html) オペレーションで作成された暗号化されたスナップショットの場合、Amazon EBS はスナップショット ID を暗号化コンテキスト値として使用します。CloudTrail ログエントリの `requestParameters` フィールドでは、暗号化コンテキストは次のようになります。

```
"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}
```

## Amazon EBS 障害の検出
<a name="ebs-failures"></a>

暗号化された EBS ボリュームを作成するか、ボリュームを EC2 インスタンスにアタッチするには、Amazon EBS および Amazon EC2 インフラストラクチャで、EBS ボリュームの暗号化に指定した KMS キーを使用できる必要があります。KMS キーを使用できない場合 ([キーステータス](key-state.md)が `Enabled` ではない場合など)、ボリュームの作成またはボリュームのアタッチメントは失敗します。

 この場合、Amazon EBS はイベントを Amazon EventBridge (旧 CloudWatch Events) に送信して、失敗についてユーザーに通知します。EventBridge では、これらのイベントに応じて自動アクションをトリガーするルールを設定できます。詳細については、「Amazon EC2 ユーザーガイド」の「[Amazon CloudWatch Events for Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html)」を参照してください。特に以下のセクションを確認してください。
+ [ボリュームのアタッチ時または再アタッチ時の無効な暗号化キー](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#attach-fail-key)
+ [ボリューム作成時の無効な暗号化キー](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#create-fail-key)

これらの障害を修正するには、EBS ボリューム暗号化のために指定した KMS キーが有効になっていることを確認します。これを行うには、まず [KMS キーを表示](viewing-keys.md)して、現在のキーの状態 ( の **Status** 列 AWS マネジメントコンソール) を確認します。次に、以下のリンクのいずれかで情報を確認します。
+ KMS キーのキーステータスが無効になっている場合は、[有効](enabling-keys.md)にします。
+ KMS キーのキーステータスがインポート保留中になっている場合は、[キーマテリアルをインポート](importing-keys.md)します。
+ KMS キーのキーステータスが削除保留中になっている場合は、[キーの削除をキャンセル](deleting-keys-scheduling-key-deletion.md)します。

## AWS CloudFormation を使用して暗号化された Amazon EBS ボリュームを作成する
<a name="ebs-encryption-using-cloudformation"></a>

[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) を使用して、暗号化された Amazon EBS ボリュームを作成できます。詳細については、*AWS CloudFormation ユーザーガイド*の [AWS::EC2::Volume](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-ebs-volume.html) を参照してください。