こんにちは！カスタマーサクセス本部の加治屋です。

本記事では、AWS環境において、既存の暗号化されていないAmazon EBSボリュームを暗号化する手順について解説します。
この作業にはEC2インスタンスの停止・再起動が必要となります。

手順

作業全体の流れは以下の通りです。

1. 既存のEBSボリュームからスナップショットを作成する。
2. 作成したスナップショットを元に、暗号化を有効にした新しいEBSボリュームを作成する。
3. 稼働中のインスタンスから古いボリュームをデタッチし、新しく作成した暗号化ボリュームをアタッチする。

Step 1: スナップショットの作成

まず、対象となるEBSボリュームのスナップショットを作成します。

1. AWS マネージメントコンソールにログインして、EC2のコンソール画面に移動します。

2. 暗号化したいEC2を選択し、「ストレージ」タブに移動し、ボリュームIDをクリックします。

3. EBSボリュームの画面に移動するので、「アクション」>「スナップショットの作成」を実行します。

4. （任意）必要に応じて説明やタグを設定し、「スナップショットの作成」をクリックします。

Step 2: 暗号化ボリュームの作成

ボリューム作成の開始

次に、作成したスナップショットから新しいボリュームを作成します。

1. 画面左のナビゲーションペインから「Elastic Block Store」>「スナップショット」画面に移動します。
2. 先ほど作成したスナップショットを選択し、「アクション」>「ボリュームの作成」を選びます。

ボリューム設定の入力

以下の設定項目を入力します。

• ボリュームタイプ、サイズ等：これらの項目は、スナップショットの元となったボリュームの設定が引き継がれます。必要な場合のみ変更してください。

• アベイラビリティーゾーン (AZ)：【要注意ポイント】

  • ボリュームタイプやサイズとは異なり、AZは元のボリュームの設定が引き継がれません。デフォルトのAZが自動的に選択されます。
  • 確認せず進めると後の工程でエラーが出るため、必ずアタッチしたいEC2インスタンスが稼働しているAZを正しく選択してください。

• 暗号化：「このボリュームを暗号化する」にチェックを入れます。

• KMSキー：暗号化に使用するKMSキーを選択します。デフォルトのキー（aws/ebs）または独自に作成したCMKを指定します。

ボリュームの作成を実行

• 設定後、「ボリュームの作成」を実行します。これで、暗号化された新しいボリュームが作成されます。
  • アタッチしたいEC2と同じアベイラビリティゾーンに作成されていること、「暗号化済み」となっていることを確認してください。

Step 3: ボリュームの入れ替え（デタッチ＆アタッチ）

最後に、古いボリュームと新しい暗号化ボリュームを入れ替えます。

1. 対象のEC2インスタンスを停止します。

2. インスタンスにアタッチされている、元の暗号化されていないボリュームをデタッチします。この時、デバイス名（例: /dev/xvda や /dev/sdf）を控えておきます。

3. Step 2で作成した暗号化ボリュームを、インスタンスにアタッチします。元のボリュームと同じデバイス名を指定してください。

4. インスタンスを起動し、OSが正常に起動すること、ボリュームが正しくマウントされていることを確認します。

以上で既存EBSボリュームの暗号化作業は完了です！

【補足】AZ選択ミスによるエラー例

スナップショットからボリュームを作成する際にアベイラビリティゾーンの指定を間違えると、暗号化したボリュームのアタッチ時に 「（暗号化ボリュームのAZ）に、一致する実行中または停止中のインスタンスはありません。」というエラーが出ます。 上記画像のようなエラーが出た際には、作成した新しいボリュームとアタッチしたいEC2インスタンスが、同じアベイラビリティーゾーンに存在するかを確認してみてください。