EBSとは
Amazon EBS(Elastic Block Store)は、持続的で高性能なブロックストレージサービスです。
※以降、Amazon EBSのサービスそのものを指す場合は EBS、作成したボリュームを指す場合は EBSボリュームと表記します。
EBSはAmazon EC2インスタンスのデータを保存するために、Amazon EC2インスタンスにアタッチして使用します。
一度作成するとAmazon EC2インスタンスから分離することができ、他のインスタンスにアタッチして使用することもできます。
EBSには以下のような特徴があります。
耐久性と可用性 EBSボリュームは高い耐久性を持っており、自動的に複数のディスクにデータを複製することでデータの可用性と信頼性を高めています。
そのためハードウェアの障害が発生してもデータの損失のリスクが低く、さらにスナップショット機能を利用するとEBSボリュームのバックアップをAmazon S3に保存することが可能です。性能 EBSはいくつかの異なるボリュームタイプを提供しており、ユースケースや性能要件に応じて適切なものを選択できます。汎用SSD(gp2, gp3)、プロビジョンドIOPS SSD(io1, io2)、スループット最適化HDD(st1)、コールドHDD(sc1)などがあります。
柔軟性 EBSボリュームは動的にサイズを変更することが可能です。
またアタッチやデタッチ、Amazon EC2インスタンス間での移動など柔軟な操作が可能です。
これにより、運用時のワークロードの変化に柔軟に対応できます。
EBSボリューム暗号化の仕組み
EBSボリュームはデータのセキュリティとプライバシーを確保するために暗号化できます。
EBSボリュームを暗号化することで、適切な鍵を持たない第三者にとっては読み取れないデータ形式となり、不正アクセスやデータの盗難が発生した際でもデータの内容が漏洩するリスクが大幅に減少します。
そのため組織が持つセンシティブなデータや重要な情報を暗号化することは、ビジネス上のリスクを大幅に軽減する手段となります。
EBSボリューム暗号化の方法
EBSボリュームを暗号化する方法として主に以下の種類があります。
- デフォルトキーでの暗号化
- カスタムマスターキーでの暗号化
- 非暗号化ボリュームのコピーと暗号化
デフォルトキーでの暗号化
新規にEBSボリュームを作成する際に暗号化オプションを有効化し、KMSキーに (デフォルト)aws/ebsを利用してボリュームを暗号化する方法です。
とくにキーを指定しないで暗号化を行う場合、このデフォルトキーが使用されます。
このデフォルトキーはAWSが自動で管理するため、ユーザーはキーのライフサイクルやアクセス権限を設定する必要がなく、暗号化はしたいが複雑な管理はしたくない場合に選択します。
カスタムマスターキーでの暗号化
新規にEBSボリュームを作成する際に暗号化オプションを有効化し、KMSキーに AWS KMSを使用してユーザーが作成したカスタムマスターキー(CMK)を利用してボリュームを暗号化する方法です。
キーのライフサイクル管理をカスタマイズ(キーの作成、使用、ローテーション、削除)したり、特定の暗号化キーを用いた監査や管理を実施したい場合に選択します。
またカスタムマスターキーでは、KMSポリシーを使用して特定のIAMユーザーやロールに対してキーの使用許可を細かく設定できます。
デフォルトキーはシンプルで手軽な選択ですが、カスタムマスターキーはより高度な管理とカスタマイズが可能です。
画面左上のテキストボックスにKMS
を入力します。
表示されたKey Management Service
をクリックします。
キーの作成
をクリックします。
キーの設定を行います。今回は以下のように選択してください。
選択したら次へ
をクリックします。
キーの名前を入力します。
入力したら次へ
をクリックします。
あとはそのまま 次へ
をクリックし、キーを作成します。
ボリューム作成時にKMSキーとして選択できるようになります。
非暗号化EBSボリュームの暗号化
すでに運用中の非暗号化EBSボリュームを暗号化EBSボリュームとして新たに作成する方法です。
初めは暗号化の要件がなかったが、後からセキュリティポリシーやコンプライアンス要件が変わった場合などに選択します。
非暗号化EBSボリュームのスナップショットから新たにEBSボリュームを作成します。
暗号化オプションにチェックを入れ、KMSキーを選択し、暗号化が有効になったスナップショットを取得します。
ここではカスタムマスターキーを選択していますが、デフォルトキーでも作成できます。
まとめ
本稿ではEBSボリュームの暗号化の方法についてご紹介しました。
データの暗号化は組織が持つセンシティブなデータや重要な情報を保護する手段となります。
EBSボリュームを暗号化する際は組織のセキュリティ要件やデータ管理ポリシーに基づいて適切な方法を選択してください。