【徹底解説】Amazon EBSを暗号化しよう | SunnyCloud

AWSでのアプリケーション開発・AWS環境構築・導入支援～運用を
トータルサポート「Sunny Cloud」

03-5484-7811

平日 10：00 - 18：00

お問い合わせ

【徹底解説】Amazon EBSを暗号化しよう

2022年02月21日
コラム
kodera

みなさん、こんにちは。サニービュー事業部の小寺です。

Amazon Elastic Block Store（Amazon EBS）をご利用されている方は多くいらっしゃると思います。
EBSは暗号化して使われていますか？

今日は暗号化されていないディスクの暗号化の方法、暗号化されたEBSの暗号化の解除方法について解説します。

Amazon EBSとは

Amazon Elastic Block Store (Amazon EBS) は、Amazon Elastic Compute Cloud (Amazon EC2) にアタッチして利用する、使いやすく、スケーラブルで、高性能なブロックストレージサービスです。
利用用途としては、ファイルシステムやデータベース、ブロックストレージなど様々な方法があります。

Amazon EBS ボリュームは、特定のアベイラビリティーゾーンに配置され、1 つのコンポーネントに障害が発生したときにデータを保護できるように、自動的にレプリケートされます。
スナップショットを取ることにより、バックアップとしても利用することができます。
また、99.999% の可用性を維持することができます。

EBSの暗号化

EBSの暗号化により、以下のデータが暗号化されます。
・EBSに保存されるデータ
・EBSとEC2のインスタンスの間で移動するデータ
・EBSから作成されるスナップショット
・暗号化されたスナップショットから作成されたEBS

EBSを暗号化してみよう

まずは、EC2を起動するときに、デフォルトでEBSの暗号化をしてみます。
(1)AWSマネジメントコンソールより、EC2サービスへアクセスします。

(2)EC2インスタンスを起動のステップ4「ストレージの追加」の画面で「暗号化」箇所を確認します。
デフォルトでは「暗号化なし」と表示されていますので、KMSエイリアスキーから暗号化キーを選びます。
※事前に登録しておいたキーを選ぶこともできます。

(3)ステップ7「インスタンス作成の確認」の画面でストレージが「暗号化済み」となっていることを確認します。

この手順で暗号化されたEBSでEC2インスタンスが起動できます。

EBSをデフォルトで暗号化するには

上記では、EC2インスタンスを起動するときにEBSを暗号化する方法について、お伝えしました。
ここでは、全てデフォルト暗号化する方法を説明します。
(1)AWSマネジメントコンソールより、EC2サービスへアクセスします。

(2)EC2ダッシュボードで右上に表示されている「アカウントの属性」より「EBS暗号化」を選びます。

(3)「EBS暗号化」タブの「管理」をクリックします。

(4)「常に新しいEBSボリュームを暗号化」の「有効化」にチェックを入れて、「EBS暗号化を更新する」をクリックする。

(5)「EBS暗号化設定が保存されました」メッセージが表示され、「常に新しいEBSボリュームを暗号化」箇所が「有効」と表示されることを確認できます。

※ここで注意することは、デフォルトの暗号化キーとして設定しているKMS（Key Management Service）はリージョンのサービスなので、暗号化設定は指定したリージョンでのみ有効になっています。

暗号化されていないEBSを暗号化するには

暗号化されていないEBSを暗号化するときに、すぐに暗号化をすることはできません。では、どうすれば暗号化を行えばよいのでしょうか。

スナップショットを使うことで、以下の流れで暗号化を行うことができます。

①スナップショットを取得する。
②スナップショットをコピー、コピー時には暗号化を有効にする。
③コピーしたスナップショットからEBSボリュームを作成する。
④作成したEBSボリュームをEC2インスタンスにアタッチする。

では、早速試してみましょう。

(1)暗号化されていないEBSのスナップショットを取得します。

(2)スナップショットをコピーします。

(3)詳細設定の画面で「このスナップショットを暗号化」にチェックを入れ、「スナップショットをコピー」をクリックします。

(4)コピーされた暗号化されたスナップショットにチェックを入れます。

(5)アクションより「スナップショットからボリュームを作成」をクリックします。

(6)ボリューム一覧よりスナップショットから作成されたボリュームを選び、アクションより「ボリュームのアタッチ」をクリックします。

(7)「ボリュームのアタッチ」画面で、EBSをアタッチするEC2インスタンスを選び、「ボリュームのアタッチ」をクリックします。

(8)ボリュームよりアタッチされたことが確認できました。

暗号化を解除するには

暗号化されたEBSの暗号化解除をすることはできません。
どうしても暗号化されていないディスクにデータを移動させたい場合は、空のEBSを準備した上でrsyncコマンド等を使ってOSからコピーしましょう。

まとめ

いかがでしたでしょうか。
EBSをデフォルトで暗号化しておく方法と後からEBSを暗号化する方法について、お伝えしました。

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5％割引、さらに日本円の請求書による支払いが可能です！

無料相談会お問い合わせ