Amazon Relational Database Service (Amazon RDS) DB インスタンスと DB スナップショットで使用されている暗号化キーを更新して、新しい暗号化キーを使用したいと考えています。
解決方法
Amazon RDS DB インスタンスで使用される暗号化キーを変更することはできません。ただし、RDS DB インスタンスのコピーを作成し、そのコピー用に新しい暗号化キーを選択することはできます。
注:ログに記録されていないテーブルのデータは、スナップショットを使用して復元できない場合があります。詳細については、「PostgreSQL を使用する際のベストプラクティス」をご参照ください。
新しい暗号化キーを持つ RDS DB インスタンスのコピーを作成するには、以下のステップを実行します。
- Amazon RDS コンソールを開きます。
- ナビゲーションペインで、[Databases] (データベース) を選択します。
- 手動スナップショットを作成する DB インスタンスを選択します。
- DB インスタンスの手動スナップショットを作成します。
- ナビゲーションペインで、[Snapshots] (スナップショット) を選択します。
- 作成した手動スナップショットを選択します。
- [Actions] (アクション) を選択してから、[Copy Snapshot] (スナップショットをコピー) を選択します。
- [Encryption] (暗号化) で [Enable Encryption] (暗号化を有効にする) を選択します。
- [AWS KMS Key] (AWS KMS キー) には、使用したい新しい暗号化キーを選択します。
- [Copy snapshot] (スナップショットをコピー) を選択します。
- コピーしたスナップショットを復元します。
新しい RDS DB インスタンスでは新しい暗号化キーを使用します。
新しいデータベースに必要なすべてのデータがあることと、アプリケーションが新しいデータベースを使用していることを確認してください。古い RDS DB インスタンスが不要になった場合は、インスタンスを削除できます。
関連情報
Amazon RDS リソースの暗号化
Amazon RDS DB インスタンスのバックアップと復元