翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EBS 暗号化の例
<a name="encryption-examples"></a>

暗号化された EBS リソースを作成すると、ボリューム作成パラメータまたは AMI やインスタンスのブロックデバイスマッピングで別の カスタマーマネージド型キー を指定しない限り、アカウントの EBS 暗号化のデフォルト KMS キー によって暗号化されます。

次の例では、ボリュームとスナップショットの暗号化状態を管理する方法を示します。暗号化のケースの完全なリストについては、[暗号化の結果の表](#ebs-volume-encryption-outcomes)を参照してください。

**Topics**
+ [

## 暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)
](#volume-account-off)
+ [

## 暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)
](#volume-account-on)
+ [

## 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)
](#snapshot-account-off)
+ [

## 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)
](#snapshot-account-on)
+ [

## 暗号化ボリュームを再暗号化する
](#reencrypt-volume)
+ [

## 暗号化スナップショットを再暗号化する
](#reencrypt-snapshot)
+ [

## 暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する
](#migrate-data-encrypted-unencrypted)
+ [

## 暗号化の結果
](#ebs-volume-encryption-outcomes)

## 暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)
<a name="volume-account-off"></a>

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットから復元されたボリュームは、デフォルトで暗号化されません。ただし、`Encrypted` パラメータと、必要に応じて `KmsKeyId` パラメータを設定して、結果のボリュームを暗号化することができます。以下の図は、そのプロセスを示したものです。

![\[暗号化されていないスナップショットからボリュームを作成する場合は、KMS キーを指定して暗号化されたボリュームを作成します。\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/images/volume-encrypt-account-off.png)


`KmsKeyId` パラメータを省略すると、結果のボリュームは EBS 暗号化のデフォルト KMS キー を使用して暗号化されます。ボリュームを別の KMS キー に暗号化するには、KMS キー ID を指定する必要があります。

詳細については、「[Amazon EBS ボリュームの作成](ebs-creating-volume.md)」を参照してください。

## 暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっている場合)
<a name="volume-account-on"></a>

デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットから復元されたボリュームには暗号化が必須であり、デフォルトの KMS キー を使用するために暗号化パラメータは必要ありません。以下の図に、このデフォルトの簡単なケースを示しています。

![\[暗号化されていないスナップショットからボリュームを作成するときに、デフォルトで暗号化が有効になっている場合、デフォルトの KMS キーを使用して暗号化されたボリュームが作成されます。\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/images/volume-encrypt-account-on.png)


復元したボリュームを対称カスタマーマネージド型暗号化キーに暗号化する場合は、[暗号化されていないボリュームを復元する (デフォルトでの暗号化が有効になっていない場合)](#volume-account-off) に示すように `Encrypted` と `KmsKeyId` の両方のパラメータを指定する必要があります。

## 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっていない場合)
<a name="snapshot-account-off"></a>

デフォルトでの暗号化を有効にしないと、暗号化されていないスナップショットのコピーは、デフォルトで暗号化されません。ただし、`Encrypted` パラメータと、必要に応じて `KmsKeyId` パラメータを設定して、結果のスナップショットを暗号化することができます。`KmsKeyId` を省略すると、結果のスナップショットはデフォルトの KMS キー に暗号化されます。ボリュームを別の対称暗号化 KMS キーに暗号化するには、KMS キー ID を指定する必要があります。

以下の図は、そのプロセスを示したものです。

![\[暗号化されていないスナップショットから暗号化されたスナップショットを作成します。\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)


EBS ボリュームを暗号化するには、暗号化されていないスナップショットを暗号化されたスナップショットにコピーし、その暗号化されたスナップショットからボリュームを作成することができます。詳細については、[Amazon EBS スナップショットのコピー](ebs-copy-snapshot.md)を参照してください。

## 暗号化されていないスナップショットをコピーする (デフォルトでの暗号化が有効になっている場合)
<a name="snapshot-account-on"></a>

デフォルトでの暗号化を有効にした場合、暗号化されていないスナップショットのコピーには暗号化が必須であり、デフォルトの KMS キー を使用する場合は、暗号化パラメータは必要ありません。このデフォルトのケースを次の図に示します。

![\[暗号化されていないスナップショットから暗号化されたスナップショットを作成します。\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)


## 暗号化ボリュームを再暗号化する
<a name="reencrypt-volume"></a>

`CreateVolume` アクションが暗号化されたスナップショットに対して実行されるときは、別の KMS キー でそれを再暗号化することができます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キー を所有しています。ソーススナップショットは KMS キー A によって暗号化されています。ボリュームの作成中に、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に復号され、次に KMS キー B によって再暗号化されます。

![\[暗号化されたスナップショットをコピーして、そのコピーを新しい KMS キー に暗号化します。\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/images/volume-reencrypt.png)


詳細については、「[Amazon EBS ボリュームの作成](ebs-creating-volume.md)」を参照してください。

## 暗号化スナップショットを再暗号化する
<a name="reencrypt-snapshot"></a>

スナップショットをコピー時に暗号化する機能により、既に暗号化された自己所有のスナップショットに新しい対称暗号化 KMS キーを適用できます。結果として作成されたコピーから復元されたボリュームには、新しい KMS キー を使用してのみアクセスすることができます。以下の図は、そのプロセスを示したものです。この例では、KMS キー A と KMS キー B の 2 つの KMS キー を所有しています。ソーススナップショットは KMS キー A によって暗号化されています。コピー中に、パラメータとして指定された KMS キー B の KMS キー ID を使用して、ソースデータは自動的に KMS キー B によって再暗号化されます。

![\[暗号化されたスナップショットをコピーして、そのコピーを新しい KMS キー に暗号化します。\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/images/snap-reencrypt.png)


関連するシナリオでは、共有されているスナップショットのコピーに新しい暗号化パラメータを適用するよう選択できます。デフォルトでは、コピーは、スナップショットの所有者によって共有された KMS キー を使用して暗号化されます。ただし、管理する別の KMS キー を使用して、共有スナップショットのコピーを作成することをお勧めします。これにより、元の KMS キー が侵害された場合や、所有者が何らかの理由で KMS キー を無効にした場合に、ボリュームへのアクセスが保護されます。詳細については、[暗号化とスナップショットのコピー](ebs-copy-snapshot.md#creating-encrypted-snapshots)を参照してください。

## 暗号化されたボリュームと暗号化されていないボリュームとの間でデータを移行する
<a name="migrate-data-encrypted-unencrypted"></a>

暗号化されているボリュームと暗号化されていないボリュームの両方に対してアクセス許可がある場合は、これらの間で自由にデータを転送できます。EC2 では、暗号化と復号化のオペレーションが透過的に実行されます。

### Linux インスタンス
<a name="migrate-data-encrypted-unencrypted-lin"></a>

例えば、**rsync** コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは `/mnt/source` にあり、移行先のボリュームは `/mnt/destination` にマウントされています。

```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```

### Windows インスタンス
<a name="migrate-data-encrypted-unencrypted-win"></a>

例えば、**robocopy** コマンドを使用してデータをコピーします。次のコマンドでは、移行元のデータは `D:\` にあり、移行先のボリュームは `E:\` にマウントされています。

```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```

非表示のフォルダで問題が発生することを回避するために、ボリューム全体をコピーするのではなく、フォルダを使用することをお勧めします。

## 暗号化の結果
<a name="ebs-volume-encryption-outcomes"></a>



次の表に、設定可能な組み合わせごとの暗号化の結果を示します。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/encryption-examples.html)

\$1 これは、 AWS アカウントとリージョンの EBS 暗号化に使用されるデフォルトのカスタマーマネージドキーです。デフォルトでは、これは EBS AWS マネージドキー に固有のものです。または、カスタマーマネージドキーを指定できます。

\$1\$1 これは、ボリュームの起動時に指定されたカスタマーマネージド型キーです。このカスタマーマネージドキーは、 AWS アカウントとリージョンのデフォルトのカスタマーマネージドキーの代わりに使用されます。