デフォルトで Amazon EBS の暗号化を有効化
作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。例えば、Amazon EBS は、インスタンスの起動時に作成された EBS ボリュームと、暗号化されていないスナップショットからコピーしたスナップショットを暗号化します。暗号化されていない EBS リソースから暗号化された EBS リソースへの移行の例については、暗号化されていないリソースの暗号化を参照してください。
デフォルトでは、暗号化は既存の EBS ボリュームまたはスナップショットには影響しません。
考慮事項
- Console
-
リージョンの暗号化をデフォルトで有効にするには
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。 -
ナビゲーションバーから、使用するリージョンを選択します。
-
ナビゲーションペインの [EC2 ダッシュボード] を選択します。
-
ページの右上で、[アカウントの属性]、[データ保護とセキュリティ] の順に選択します。
-
[EBS 暗号化] セクションで、[管理] を選択します。
-
[Enable] (有効化) を選択します。デフォルトの暗号化キーとして、ユーザーの代わりに作成したエイリアス
aws/ebsと共に AWS マネージドキー をそのまま維持するか、対称カスタマーマネージド型暗号化キーを選択します。 -
[Update EBS encryption] (EBS 暗号化を更新する) を選択します。
- AWS CLI
-
デフォルトの暗号化設定を表示するには
get-ebs-encryption-by-default コマンドを使用します。
-
特定のリージョンの場合
aws ec2 get-ebs-encryption-by-default --regionregion -
アカウントの全リージョンの場合
echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done
暗号化をデフォルトで有効にするには
enable-ebs-encryption-by-default コマンドを使用します。
-
特定のリージョンの場合
aws ec2 enable-ebs-encryption-by-default --regionregion -
アカウントの全リージョンの場合
echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done
暗号化をデフォルトで無効にするには
disable-ebs-encryption-by-default コマンドを使用します。
-
特定のリージョンの場合
aws ec2 disable-ebs-encryption-by-default --regionregion -
アカウントの全リージョンの場合
echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done
-
- PowerShell
-
デフォルトの暗号化設定を表示するには
Get-EC2EbsEncryptionByDefault コマンドレットを使用します。
-
特定のリージョンの場合
Get-EC2EbsEncryptionByDefault -Regionregion -
アカウントの全リージョンの場合
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで有効にするには
Enable-EC2EbsEncryptionByDefault コマンドレットを使用します。
-
特定のリージョンの場合
Enable-EC2EbsEncryptionByDefault -Regionregion -
アカウントの全リージョンの場合
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
暗号化をデフォルトで無効にするには
Disable-EC2EbsEncryptionByDefault コマンドレットを使用します。
-
特定のリージョンの場合
Disable-EC2EbsEncryptionByDefault -Regionregion -
アカウントの全リージョンの場合
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
-
既存のスナップショットまたは暗号化されたボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。
