Amazon EBS 暗号化に使用される AWS KMS キーをローテーション

暗号化のベストプラクティスでは、暗号化キーの広範な再利用を推奨していません。

Amazon EBS の暗号化に使用する新しい暗号化マテリアルを作成するには、カスタマーマネージドキーを作成し、アプリケーションを変更してその新しい KMS キーを使用するか、または、既存のカスタマーマネージドキーの自動キーローテーションを有効にすることができます。

カスタマーマネージドキーの自動キーローテーションを有効にすると、AWS KMS は KMS キーの新しい暗号化マテリアルを毎年生成します。AWS KMS は暗号化マテリアルの過去のバージョンをすべて保存するため、その KMS キーマテリアルで以前に暗号化されたすべてのボリュームとスナップショットを復号化し、使用することができます。AWS KMS は、KMS キーを削除しない限り、ローテーションされたキーマテリアルを一切削除しません。

ローテーションされたカスタマーマネージドキーを使用して新しいボリュームまたはスナップショットを暗号化する場合、AWS KMS は現在の (新しい) キーマテリアルを使用します。ローテーションされたカスタマーマネージドキーを使用してボリュームまたはスナップショットを復号化する場合、AWS KMS はそれを暗号化するために使用された暗号化マテリアルバージョンを使用します。ボリュームまたはスナップショットが以前のバージョンの暗号化マテリアルで暗号化されている場合、AWS KMS は引き続きその以前のバージョンを使用して復号します。AWS KMS は、キーローテーション後に新しい暗号化マテリアルを使用するために、以前に暗号化されたボリュームまたはスナップショットを再暗号化しません。これらは、最初に暗号化された暗号化マテリアルで暗号化されたままです。ローテーションされたカスタマーマネージドキーは、コード変更なしで安全にアプリケーションと AWS サービスで使用できます。

詳細については、「AWS Key Management Service デベロッパーガイド」の「How key rotation works」を参照してください。