こんにちは、やまぐちです。

• 概要
• 結論
• プライマリボールトに保存されるバックアップの暗号化キー
  • 実際にやってみる
    • 暗号化されていない EBS ボリューム
    • KMS キー(カスタマー管理キー)で暗号化された RDS
    • AWS 所有キーで暗号化された DynamoDB(「独立した暗号化」にサポートされている状態)
• 別ボールトへコピーされるバックアップの暗号化キー
  • 「独立した暗号化」に対応していないリソースは、aws/backupで暗号化されない
  • AWS 管理キーはクロスアカウントで利用できない
  • 実際にやってみる
    • 暗号化されていない EBS ボリューム
    • カスタマー管理キーで暗号化された EBS ボリューム
    • AWS 所有キーで暗号化された DynamoDB(「独立した暗号化」にサポートされている状態)
• 論理的エアギャップボールトへコピーした場合
• 最後に

概要

今回は、AWS Backup で作成されたバックアップが、どの KMS キーで暗号化されるのかについて記載します。
単にボールトで指定した KMS キーで暗号化されるわけではなく、条件によって挙動が異なるため、ケースごとに確認する必要があります。

どの KMS キーで暗号化されるのかを把握できると、クロスリージョンやクロスアカウント間でのコピー時の考慮も可能となります。

結論

それぞれのケースでの説明をつらつらと記載しておりますので、先に結論をこの章で記載したいと思います。

プライマリボールトに保存されるバックアップは、以下のフローチャートに則って KMS キーが決定します。

一方で、クロスリージョンやクロスアカウントでバックアップがコピーされる場合は、以下のフローチャートに則って KMS キーが決定します。

プライマリボールトに保存されるバックアップの暗号化キー

プライマリボールトのバックアップが、どの KMS キーによって暗号化されるかについて記載します。

当初、私はバックアップボールトで指定した KMS キーで暗号化されるものだと考えていました。

しかしながら、すべてのリソースのバックアップがバックアップボールトで指定した KMS キーで暗号化されるわけではありません。
「独立した暗号化」に対応しているリソースであればバックアップボールトで指定した KMS キーで暗号化される形になります。

対して、「独立した暗号化」に対応していないリソースの場合はリソースの暗号化で指定されている KMS キーでバックアップが暗号化されます。

「独立した暗号化」に対応しているリソースですが、以下ドキュメントにリストで記載されています。 docs.aws.amazon.com

残念ながら、EBS (EC2 インスタンスのボリューム), RDS, Aurora などの一般的によく利用されるサービスは、2026/02/02 時点では「独立した暗号化」に対応していない形となります。
そのため、これらのリソースは AWS Backup でバックアップを作成してもリソース側で指定した KMS キーで暗号化されます。

実際にやってみる

実際に、以下3パターンで AWS Backup でバックアップを取得してどの KMS キーで暗号化されるかを見ていきたいと思います。
※バックアップボールトの KMS キーは AWS 管理キー(aws/backup)を指定しています。

• 暗号化されていない EBS ボリューム
• KMS キー(カスタマー管理キー)で暗号化された RDS
• AWS 所有キーで暗号化された DynamoDB(「独立した暗号化」にサポートされている状態)

暗号化されていない EBS ボリューム

この場合は、フローチャートでいくと「バックアップも非暗号化」になる想定です。

バックアップボールトの画面から確認すると、想定通り「暗号化されていません」というステータスでした。
EBS スナップショットの画面から確認しても、暗号化はされていませんでした。

KMS キー(カスタマー管理キー)で暗号化された RDS

この場合も、RDS は「独立した暗号化」に対応していないため、元の暗号化設定を引継ぎカスタマー管理キーで暗号化される想定です。
バックアップボールトの画面から確認すると、暗号化キーが指定されていました。
ポイントは、バックアップボールトで指定されているaws/backupで暗号化されていない点です。
yamaguchi-rds-backupという KMS キーは、RDS の DB インスタンスで指定しているものです。
リソース側で指定している KMS キーで、バックアップが取得されることがわかります。

AWS 所有キーで暗号化された DynamoDB(「独立した暗号化」にサポートされている状態)

最後に、DynamoDB のバックアップについて見ていきます。
DynamoDB は高度な機能を有効化し、「独立した暗号化」に対応している状態のためバックアップボールトで指定した KMS キーで暗号化される想定です。

復旧ポイントを確認すると、バックアップボールトで指定したaws/backupで暗号化されていました。
DynamoDB 側は AWS 所有キーで暗号化されており、リソース元の KMS キーで暗号化されていた EBS や RDS とは挙動が違うことがわかります。

別ボールトへコピーされるバックアップの暗号化キー

次に、バックアップを他リージョンや他 AWS アカウントのバックアップボールトへコピーされた際の KMS キーについて記載していきます。

基本的な挙動としては、コピー先のバックアップボールトで指定されている KMS キーでバックアップは暗号化されます。

AWS Backup は、ターゲットボールトの KMS キーを使用してコピーを暗号化します。 ドキュメントにも上記のように記載されています。 https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html#copy-encryption

ただし、この仕様を暗記するだけではいけません。
この仕様に加えて、以下の2点についても考慮する必要があります。

• 「独立した暗号化」に対応していないサービスは、aws/backupで暗号化されない
• AWS 管理キーはクロスアカウントで利用できない
  

「独立した暗号化」に対応していないリソースは、aws/backupで暗号化されない

コピー先ボールトの KMS キーをaws/backupで指定した状態で、「独立した暗号化」にサポートされていないリソースのバックアップをコピーする場合には注意が必要です。

同一アカウント内の別リージョンでのコピーを想定した場合、コピー先のバックアップはそのリソースのデフォルトキーで暗号化されます。
例えば、aws/ebsで暗号化された EBS ボリュームの場合ですと以下のような挙動となります。

1. プライマリボールトのバックアップは、aws/ebsで暗号化される
2. コピー先のバックアップも、aws/backupではなくaws/ebsで暗号化される
   ※「独立した暗号化」に対応していないリソースのため、aws/backupでは暗号化されない

仮にコピー先ボールトがカスタマー管理キーの場合は、バックアップもカスタマー管理キーで暗号化されます。
コピー先のバックアップボールトで指定されている KMS キーでバックアップは暗号化される仕様そのままという形です。

AWS 管理キーはクロスアカウントで利用できない

ここまでは、同一 AWS アカウント内の別リージョン間でのコピーを前提とした内容で記載してきましたが、クロスアカウントの場合はさらなる考慮が必要です。

aws/ebsやaws/rdsなど、各サービスごとに用意されている AWS 管理キーはキーポリシーの編集ができないため、他アカウントからこのキーを利用することはできません。
そのため、AWS 管理キーで暗号化されたリソースを別 AWS アカウントのボールトへコピーすることは不可ということになります。

この場合は、バックアップ取得元のリソースの KMS キーをカスタマー管理キーに変更するか、以下ブログにあるように中間ボールトを用意する方法を検討する必要があります。

aws.amazon.com

実際にやってみる

先ほどと同じように、今度は以下の3パターンで動作を確認してみたいと思います。

• 暗号化されていない EBS ボリューム
• カスタマー管理キーで暗号化された EBS ボリューム
• AWS 所有キーで暗号化された DynamoDB(「独立した暗号化」にサポートされている状態)

※コピー先バックアップボールトの KMS キーは AWS 管理キー(aws/backup)を指定しています。
また、今回は同一 AWS アカウント内の別リージョンでのコピーで試しています。

暗号化されていない EBS ボリューム

プライマリのバックアップボールトでは、バックアップは暗号化されていませんでした。
バックアップを同一アカウント内の別リージョンへコピーした場合は、aws/ebsで暗号化される想定となります。

コピー先ボールトの復元ポイントを確認すると、暗号化されていました！
バックアップボールトでは、aws/backupを指定していましたが「独立した暗号化」に対応していないサービスのため、想定通りaws/ebsで暗号化されました。

カスタマー管理キーで暗号化された EBS ボリューム

では、カスタマー管理キーで暗号化された EBS ボリュームの場合も見ていきます。

プライマリボールトにあるバックアップは、EBS ボリュームで暗号化しているカスタマー管理キーで暗号化されていました。
バックアップを同一アカウント内の別リージョンへコピーした場合は、先ほどと同様にaws/ebsで暗号化される想定となります。

コピー先ボールトの復元ポイントを確認すると、暗号化されていない場合と同じくaws/ebsで暗号化されていました。

コピー先ボールトをカスタマー管理キーで指定していると、このカスタマー管理キーで復元ポイントが暗号化されます。

AWS 所有キーで暗号化された DynamoDB(「独立した暗号化」にサポートされている状態)

「独立した暗号化」に対応した DynamoDB の場合はどうでしょうか。
プライマリボールトは、バックアップボールトで指定したaws/backupで暗号化されていました。
バックアップを同一アカウント内の別リージョンへコピーした場合は、aws/backupで暗号化される想定です。
コピー先ボールトの復元ポイントを確認すると、想定通りボールトで指定していたaws/backupで暗号化されていました。

論理的エアギャップボールトへコピーした場合

コピー先が論理的エアギャップボールトの場合も、論理的エアギャップボールトで指定した KMS キーで暗号化されます。

ただし、以下リソースの非暗号化スナップショットは論理的エアギャップボールトへコピーできない仕様となっています。

• Amazon Aurora
• Amazon DocumentDB
• Amazon Neptune

暗号化されていない Amazon Aurora、Amazon DocumentDB、Amazon Neptune クラスターは、暗号化されていない DB クラスタースナップショットの暗号化をサポートしていないため、論理エアギャップボールトではサポートされていません。 docs.aws.amazon.com

最後に

今回は、AWS Backup でバックアップを作成した場合にどの KMS キーで暗号化されるのかについてまとめてみました。

単に、ボールトで指定した KMS キーで暗号化されるパターンだけではなく「独立した暗号化」「プライマリボールト」「コピー先ボールト」などに着目する必要がありました。
今回提示したフローチャートを参考に、まとめられると理解が深まるかもしれません。

それでは、またどこかで～