暗号化されたEBSスナップショットを別リージョンへコピー

AWS運用自動化サービス「Cloud Automator」

こんにちは、技術1課の小倉です。
2019年12月に課が変わりました。業務内容が大きく変わり、新しく覚えなければいけないことが多いので、勉強の日々を過ごしています。

今年の5月にAWS 認定ソリューションアーキテクト – プロフェッショナルの有効期限が切れるので、更新のための勉強も進めています。整理のために勉強している内容をまとめておきます。

EBSスナップショットの暗号化

EBSのスナップショットを暗号化する理由としては、意図せず権限をパブリックに変更できないようにするためがあります。
権限をパブリックにしてしまうと、すべてのAWSアカウント上で、そのスナップショットを使ってEBSボリュームを作成できるようになります。もし、そのスナップショットに重要なデータが入っていたら、情報が漏洩してしまいます。

暗号化されていないEBSボリュームのスナップショットを暗号化するには以下の手順が必要です。

  • 暗号化されていないスナップショットの作成
  • 作成したスナップショットを暗号化してコピー

まず、EBSボリュームからスナップショットを作成します。
ナビゲーションペインの[ボリューム]を選択し、[アクション] – [スナップショットの作成]をクリックします。

スナップショットの作成画面になるので、[スナップショットの作成]をクリックします。
ここでは暗号化の指定はできません。

[閉じる]をクリックします。
ナビゲーションペインの[スナップショット]をクリックすると作成したスナップショットを確認できます。

作成したスナップショットをコピーします。
対象のスナップショットを選択し、[アクション] – [コピー]をクリックします。

スナップショットのコピー画面で以下を選択し、[コピー]をクリックします。
 送信先リージョン : 送信元リージョンと一緒
 暗号化 : チェック入れる
 マスターキー : KMSキー(ogurakms)を指定

閉じるをクリックします。
これでスナップショットを暗号化することができました。

暗号化されたEBSスナップショットを別リージョンへコピー

暗号化されたスナップショットを選択して、[アクション] – [コピー]をクリックします。
(コピー元は東京リージョン)

スナップショットのコピー画面で以下を選択し、[コピー]をクリックします。
 送信先リージョン : Asia Pacific (Seoul)
 暗号化 : チェック(変更不可)
 マスターキー : KMSキー(ogurasoul)を指定
 ※KMSキーはソウルリージョンのキーです。

閉じるをクリックします。
ソウルリージョンにスナップショットがコピーされました。

手順はとても簡単ですが、リージョン間をコピーしているときは暗号化されているのかという疑問がでてきます。KMSキーは作成したリージョンでしか使えません。ですから、リージョン間コピーするときは以下の動きをしているはずです。

 東京リージョンのスナップショットを東京リージョンのKMSキーで復号
  ↓ リージョン間コピー
 ソウルリージョンにコピーされたスナップショットをソウルリージョンのKMSキーで暗号化

ドキュメントを確認するとコピーはS3のSSE-S3を使って暗号化しているとのことです。
Amazon EBS スナップショットのコピー

1 つの AWS リージョンから別のリージョン、または同じリージョン内にスナップショットをコピーできます。Amazon S3 サーバー側暗号化 (256 ビット AES) により、スナップショットの送信中データがコピー操作中に保護されます。スナップショットコピーは、元のスナップショットの ID とは異なる ID を受け取ります。

また、アカウント間の暗号化されたEBSスナップショットのコピーは手順が異なりますが、AWSの公式ブログに手順が書いてありますので、こちらを参考にしてみてください。
【新機能】 暗号化された EBS スナップショットのクロスアカウントコピー

まとめ

EBSスナップショットの暗号化について理解が深まりました。
今後は学んだことを定期的にアウトプットしていきます。

AWS運用自動化サービス「Cloud Automator」