Amazon Web Services ブログ

AWSはデータの保護について、真剣に取り組んでいます！ここ数年の間にも、セキュリティや暗号化機能をAWSの様々な部分に、いくつも追加してきました。 Amazon S3およびAmazon Glacierのサーバーサイドの暗号化、 Amazon Redshiftのマルチティアの暗号化、 Amazon RDSを介したOracleおよび SQL Serverデータベースの透過的なデータの暗号化といった、クラウドに保存されているデータを保護しますし、 CloudFront、 Amazon RDS、 Elastic Load Balancing でSSL/TLSを広範にサポートすることで、転送中のデータも保護します。

本日、EBSのデータボリュームおよびそれに関連づけられたスナップショットの暗号化をサポートすることで、さらに別の選択肢をご提供できるようになりました。 簡単なオプションを設定することにより、EBSボリューム上に保存されたデータを、保管時および転送時ともに暗号化することができます。 暗号化されたEBSボリュームを作成し、サポートされるインスタンスタイプにアタッチすると、ボリューム上のデータ、ディスクI/O、ボリュームから作成されたスナップショットの全てが暗号化されます。 暗号化は、EC2インスタンスとEBSストレージ間を移動する際にデータの暗号化を提供し、EC2インスタンスをホストするサーバー上で行われます。

暗号化の有効化
EBSの暗号化は、新しいボリュームを作成する際に有効にすることができます。:

各ボリュームの暗号化の状況はコンソールから確認することができます。:

重要な詳細
プロビジョンドIOPS (PIOPS)ボリュームに暗号化を追加する場合、プロビジョンされた性能に影響を与えません。 暗号化はI/Oの遅延にはほとんど影響を与えません。

暗号化されたEBSボリュームから取ったスナップショットも暗号化され、必要に応じてAWSリージョン間を転送することができます。 暗号化されたスナップショットは他のAWSアカウントと共有することはできません。また、一般に公開することもできません。

前に述べたとおり、データはEC2インスタンスを離れる前に暗号化されます。これを効率的かつ低レイテンシーで行うために、EBS暗号化の機能はEC2のM3、C3、R3、CR1、G2、I2インスタンスのみでご利用いただけます。 他のインスタンスタイプには暗号化されたEBSボリュームをアタッチすることはできません。

さらに、既存のEBSボリュームの暗号化を有効にすることはできません。 その代わり、新しく暗号化されたボリュームを作成し、お好みのファイルファイル操作ツールを使って、古いボリュームからデータをコピーすることができます。 Rsync (Linux) や Robocopy (Windows) はオススメのツールですが、他にもたくさんの選択肢があります。

新規に作成された各ボリュームには、固有の256ビットのAESキーを取得します。暗号化されたスナップショットから作成したボリュームは、キーを共有しています。 暗号化鍵を皆様自身で管理する必要はありません。不正アクセスを防止するために強力な論理的、物理的なセキュリティ制御を実装しているAWS独自の鍵管理インフラストラクチャーによって保護されているからです。 データと関連する鍵は業界標準のAES-256アルゴリズムを用いて暗号化されています。

今すぐ暗号化を！
EBS encryptionは8つ全てのAWSリージョンでご利用いただけますので、今すぐお試しいただけます！暗号化は無料で行えますし、公開されているEBSのService Level Agreement (SLA)にも影響を与えません。

-- Jeff;

この記事はAWSシニアエバンジェリスト Jeff BarrのAmazon Web Services Blogの記事、 New EBS Encryption for Additional Data Protectionを 堀内康弘 (Facebook, Twitter)が翻訳したものです。