データ保護において、暗号化は重要なポイントです。これまで我々は、お客様がクラウドに格納するデータを暗号化する作業を簡単にするために、数々の機能を発表してきました。そのうちの多くはAWS Key Management Service(KMS)を利用するようになっています。下記はその一例です。
- Amazon Auroraにおけるリソースの暗号化
- Amazon WorkSpacesにおけるストレージボリュームの暗号化
- AWS CloudTrailにおけるSSE-KMSによるログの暗号化
- Amazon EMRに統合されたS3の暗号化
- Amazon RDSにおけるKMSによる暗号化
- Elastic Transcoderにおける暗号化
- EBSデータボリュームの暗号化
各機能に関してはAWS Key Management Serviceが提供する機能の詳細ページをご参照ください。これまで多くのお客様から、データの暗号化が簡単になったとのお声を頂いています。これらの機能は面倒な作業をAWSに任せて、お客様は必要に応じて機能をオンにすれば良くなったということを意味します。
暗号化されたEBSブートボリューム
本日、ブートボリュームであるEBSの暗号化機能をリリースいたしました。この機能は、最近追加された暗号化されたEBSスナップショットのコピー機能をベースとしています。
お客様は暗号化されたEBSボリュームをブートボリュームとして利用するAmazon Machine Image(AMI)を作成し、このAMIからEC2インスタンスを起動できるようになります。ストレージに書き込まれたデータは暗号化が施されます。また、EBSボリュームとEC2インスタンス間のデータ転送経路においても同様です。データは必要に応じてEC2インスタンス内部で復号化され、復号化されたデータはメモリだけに保持されます。
この機能はお客様のセキュリティやコンプライアンス、監査といった業務に役に立つでしょう。EBSに書き込まれたすべてのデータが、格納先がブートボリュームであってもデータボリュームであっても、暗号化されていることを簡単に確認することができるようになるからです。さらに、この機能はKMSを利用していますので、すべてのユーザの暗号化キー利用状況を追跡し、必要に応じて監査することが可能です。
EBS-backed AMIは少なくともひとつのEBSスナップショットを参照します。最初のひとつはブートボリュームですが、場合によってはこれに加えてデータボリューム用に別のスナップショットを参照しているかもしれません。AMIからインスタンスを起動すると、AMIが参照するEBSスナップショットからEBSボリュームが作成されます。データボリュームの暗号化は既にサポートされていますので、今回のリリースによって全ボリュームが暗号化されたAMIを作成できるようになったことになります。ちなみにもし必要ならば、それぞれのボリュームに対して個別のカスタマーマスターキーを利用することも可能です。
暗号化されたブートボリュームを作成する
暗号化されたブートボリュームは、既存のAMI(LinuxでもWindowsでもOKです)から作成します。元となるAMIは利用者自身が所有しているものか、パブリックかつ特別な利用料が不要であり直接利用可能なものである必要があります。もしそれ以外のAMIから起動したインスタンスのブートボリュームを暗号化したい場合、一度インスタンスを普通に起動し、それをご自身でAMI化してください。(たとえばAWSが提供しているWindowsのAMIでは、この操作が必要になります)。ブートボリュームが暗号化されたAMIはプライベートなものとなり、別のAWSアカウントに共有することはできませんので注意が必要です。
AMIと暗号化されたスナップショットの準備ができたら、ec2-copy-imageコマンドを利用して新たなAMIを作成することができます。
$ ec2-copy-image -r source_region -s source_ami_id \[-n ami_name][-d ami_description][-c token] \[--encrypted][--kmsKeyID keyid]パラメータとして--encryptedを指定したものの、--kmsKeyIDによるキーの指定を行わなかった場合、そのAWSアカウントにおけるデフォルトのEBSカスタマキーが利用されます。こちらがAmazon Linux AMIのコピーを作成する場合のサンプルです。
$ ec2-copy-image -r us-east-1 -s ami-60b6c60a \
--encrypted --kmsKeyId arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456-a12b-a123b4cd56efもちろん暗号化されたブートボリュームをもつAMIは、コンソールからでも作成できます。
暗号化されたブートボリュームを利用する
AMIが作成できたら、あとはいつも通りにインスタンスを起動して利用するだけです。アプリケーションコードや運用手順などの変更は必要ありません。
すぐにご利用いただけます
この新機能は中国(北京)を除くすべてのリージョンで本日からご利用頂けます。本機能の利用に伴う追加料金はございません。
— Jeff;(翻訳は小林が担当しました。原文はNew – Encrypted EBS Boot Volumesです。)