EBSボリュームの暗号化方法について

EBSとは

Amazon EBS（Elastic Block Store）は、持続的で高性能なブロックストレージサービスです。
※以降、Amazon EBSのサービスそのものを指す場合は EBS、作成したボリュームを指す場合は EBSボリュームと表記します。
EBSはAmazon EC2インスタンスのデータを保存するために、Amazon EC2インスタンスにアタッチして使用します。
一度作成するとAmazon EC2インスタンスから分離することができ、他のインスタンスにアタッチして使用することもできます。
EBSには以下のような特徴があります。

耐久性と可用性 EBSボリュームは高い耐久性を持っており、自動的に複数のディスクにデータを複製することでデータの可用性と信頼性を高めています。
そのためハードウェアの障害が発生してもデータの損失のリスクが低く、さらにスナップショット機能を利用するとEBSボリュームのバックアップをAmazon S3に保存することが可能です。
性能 EBSはいくつかの異なるボリュームタイプを提供しており、ユースケースや性能要件に応じて適切なものを選択できます。汎用SSD（gp2, gp3）、プロビジョンドIOPS SSD（io1, io2）、スループット最適化HDD（st1）、コールドHDD（sc1）などがあります。
柔軟性 EBSボリュームは動的にサイズを変更することが可能です。
またアタッチやデタッチ、Amazon EC2インスタンス間での移動など柔軟な操作が可能です。
これにより、運用時のワークロードの変化に柔軟に対応できます。

EBSボリューム暗号化の仕組み

EBSボリュームはデータのセキュリティとプライバシーを確保するために暗号化できます。
EBSボリュームを暗号化することで、適切な鍵を持たない第三者にとっては読み取れないデータ形式となり、不正アクセスやデータの盗難が発生した際でもデータの内容が漏洩するリスクが大幅に減少します。
そのため組織が持つセンシティブなデータや重要な情報を暗号化することは、ビジネス上のリスクを大幅に軽減する手段となります。

EBSボリューム暗号化の方法

EBSボリュームを暗号化する方法として主に以下の種類があります。

デフォルトキーでの暗号化
カスタムマスターキーでの暗号化
非暗号化ボリュームのコピーと暗号化

デフォルトキーでの暗号化

新規にEBSボリュームを作成する際に暗号化オプションを有効化し、KMSキーに (デフォルト)aws/ebsを利用してボリュームを暗号化する方法です。
とくにキーを指定しないで暗号化を行う場合、このデフォルトキーが使用されます。
このデフォルトキーはAWSが自動で管理するため、ユーザーはキーのライフサイクルやアクセス権限を設定する必要がなく、暗号化はしたいが複雑な管理はしたくない場合に選択します。

defaultkey

カスタムマスターキーでの暗号化

新規にEBSボリュームを作成する際に暗号化オプションを有効化し、KMSキーに AWS KMSを使用してユーザーが作成したカスタムマスターキー（CMK）を利用してボリュームを暗号化する方法です。
キーのライフサイクル管理をカスタマイズ（キーの作成、使用、ローテーション、削除）したり、特定の暗号化キーを用いた監査や管理を実施したい場合に選択します。
またカスタムマスターキーでは、KMSポリシーを使用して特定のIAMユーザーやロールに対してキーの使用許可を細かく設定できます。
デフォルトキーはシンプルで手軽な選択ですが、カスタムマスターキーはより高度な管理とカスタマイズが可能です。

画面左上のテキストボックスにKMSを入力します。
表示されたKey Management Serviceをクリックします。

kmsselect