作成する新しい Amazon Elastic Block Storage (Amazon EBS) ボリュームは、手動で暗号化しています。しかし、新しい Amazon EBS ボリュームとスナップショットのコピーを自動的に暗号化するようにしたいです。
簡単な説明
新しく作成された Amazon EBS ボリュームは、デフォルトでは暗号化されません。ただし、指定したリージョン内で作成された新しい EBS ボリュームと Snapshot コピーでは、デフォルトの暗号化を有効にできます。暗号化をデフォルトで有効にするには、Amazon Elastic Compute Cloud (Amazon EC2) コンソールを使用します。
暗号化をデフォルトで有効にする前に、次の点に注意してください。
- デフォルトでの暗号化は、リージョン固有の設定です。リージョンで暗号化を有効にすると、そのリージョンの個々のボリュームまたはスナップショットの暗号化を無効にすることはできません。
- デフォルトで暗号化を有効にすると、インスタンスタイプが Amazon EBS 暗号化をサポートしている場合にのみインスタンスを起動できます。
- デフォルトでの暗号化を有効にしても、その変更は既存の暗号化されていないリソースと暗号化されたリソースには影響しません。暗号化設定の変更は、デフォルトでの暗号化を有効にした後に作成したボリュームと Snapshot コピーにのみ影響します。
- 暗号化がデフォルトで有効になっていて、AWS Server Migration Service を使用するときにデルタレプリケーションが失敗した場合は、デフォルトでの暗号化を無効にしてください。リフトアンドシフト移行では、Application Migration Service を使用するのがベストプラクティスです。
解決策
暗号化をデフォルトで有効にするには、次の手順を実行します。
- Amazon EC2 コンソールを開きます。
- 適切なリージョンを選択します。
- ナビゲーションペインで [EC2 ダッシュボード] を選択します。
- [データ保護とセキュリティ] を選択します。
- [EBS 暗号化] セクションで [管理] を選択します。
- [新しい EBS ボリュームを常に暗号化する] で [有効] を選択します。
- [デフォルトの暗号化キー] で任意のキーを選択し、デフォルトとして設定します。
- [EBS 暗号化の更新] を選択します。
必要に応じて、他のリージョンでもこの手順を繰り返します。
注: デフォルトのサービスキー (aws/ebs) をデフォルトの暗号化キーとして選択した場合、暗号化されたボリュームをアカウント間で共有することはできません。AWS KMS キーの詳細については、「AWS KMS の概念」を参照してください。