Amazon Web Services ブログ

私たちは、皆様のAWS環境を可能な限り簡単にセキュアな状態に出来るようにすることを臨んでいます。セキュリティ関連の最近のリリースでは、EBSブートボリュームの暗号化機能、Amazon Auroraの透過的暗号化機能やAWS Key Management Service (KMS) 対応サービスの拡充を行いました。

本日、Amazon Relational Database Service (RDS)に新しいデータ保護の機能を追加しました。暗号化されたデータベーススナップショットを他のAWSアカウントと共有することが可能になりました。また、暗号化されていない既存のDBインスタンスを暗号化する機能も追加しました。

暗号化されたスナップショットの共有

透過的暗号化機能をデータベースインスタンスで利用すると、そのインスタンスの自動・マニュアルスナップショットも暗号化されます。 今までは、暗号化済スナップショットは1つのAWSアカウント内のみ利用可能で、他のAWSアカウントと共有することが出来ませんでした。今日、暗号化済スナップショットを20 AWSアカウントまで共有頂けるようになりました。AWSマネージメントコンソールやAWS Command Line Interface (CLI)、RDS APIを利用して操作が可能です。暗号化済スナップショットの共有は同一AWSリージョン内で可能で、public共有を行うことは出来ません。また、本日のリリースはマニュアルスナップショットに適用されます。

暗号化済スナップショットを共有するために、Share Snapshotを選択します。 Manage Snapshot Permissionsページが開くので、共有を行いたいアカウントIDを入力します(Addボタンをクリックして追加します)。最後に、Saveボタンをクリックして完了です:

皆様の組織内で所有されているアカウント(皆様のアカウントが、開発・テスト・ステージング・本番環境と分かれているものと想定しています)やビジネスパートナーとの共有にご利用頂けます。ミッションクリティカルなデータベースを別のAWSアカウントにバックアップすることはベストプラクティスとしてご提供しています。そして、こちらの新機能で透過的暗号化の利点を得やすくなったと思います。

Saveボタンをクリックした後、他のアカウントが共有されたスナップショットにアクセス出来るようになります。共有されたは、RDSコンソールで Shared with Meでフィルターすると簡単に見つけることが出来ます。

スナップショットは新規にRDSデータベースインスタンスを作成する際にご利用いただけます。スナップショットの共有について詳細はドキュメントをご覧ください。

既存のデータベースを暗号化する

既に起動している暗号化されていないデータベースインスタンスをKMS keyを用いて暗号化出来るようになりました。簡単な数ステップで利用可能です:

• 暗号化されてないないデータベースインスタンスのスナップショットを取得

• スナップショットを暗号化スナップショットに新規にコピーし、暗号化を有効に利用するKMS keyを指定する

• 暗号化済スナップショットを新規データベースインスタンスにリストアする

• アプリケーションが接続する接続先を新しいデータベースインスタンスに変更する

これで完了です！同様の方法で既に起動しているデータベースインスタンスの暗号化keyを変更することも可能です。詳細はドキュメントをご覧ください。

-- Jeff  (翻訳は星野が行いました。原文はこちら)