暗号化していないAmazon RDSを暗号化する方法

記事タイトルとURLをコピーする

こんにちは!技術2課、濱岡です!

最近、ぼっちテントを購入しました。

家で仕事をする時はぼっちテント内で仕事してます。

視界が遮れるので集中して仕事ができておすすめです。

さて今回は暗号化していないAmazon RDSを暗号化する方法をやってみます。

はじめに

RDSを暗号化していない状態で作成すると実はあとで変更ってできないんですよね。

ドキュメントにも以下のように書かれています。

Amazon RDS DB インスタンスの暗号化は、DB インスタンスの作成時にのみ有効にすることができます。作成後に暗号化を有効にすることはできません。

docs.aws.amazon.com

でも、作成後に暗号化したいってなった時はどうするのか? 実はできる方法があるので今回はその方法について書いていこうと思います。

どうやるの?

作成したRDSは暗号化はできないですが、暗号化していないRDSのスナップショットのコピーは暗号化することができます。

以下の順序でRDSを暗号化できます。

  • 暗号化したいRDSのスナップショットを取得

  • スナップショットのコピーを作成(ここで暗号化の設定をする)

  • スナップショットのコピーから復元

では実際にやってみます。

スナップショットの取得

暗号化したいRDSを選択してスナップショットの取得を押下します。

f:id:swx-hamaoka:20210808230751p:plain
RDSのスナップショット取得01

スナップショット名を記入してスナップショットの取得を押下します。

f:id:swx-hamaoka:20210808231227p:plain
RDSのスナップショット取得02

これでスナップショットの取得は完了です。

スナップショットのコピーの作成

先ほどとったスナップショットを選択してスナップショットをコピーを押下します。

f:id:swx-hamaoka:20210808232206p:plain
RDSのスナップショットのコピー01

暗号化を有効化をチェックします。今回はデフォルトのキーを選択しています。

(他の設定は環境に合わせて設定してください)

スナップショットのコピーを押下します。

f:id:swx-hamaoka:20210808232241p:plain
RDSのスナップショットのコピー02

これで暗号化されたスナップショットのコピーが作成できました!

復元

先ほどコピーしたスナップショットを選択してスナップショットを復元を押下します。

f:id:swx-hamaoka:20210808233127p:plain
RDSの復元

DBインスタンス識別子を記入します。

f:id:swx-hamaoka:20210808233432p:plain
RDSの復元02

他VPCなどの設定がありますが、それは環境に合わせてそれぞれ選択してください。 選択ができたらDBインスタンスの復元を押下します。

f:id:swx-hamaoka:20210809001456p:plain
RDSの復元03

これで暗号化ができました!

エンドポイントを変えたくない

暗号化はしたんだけど現状だとエンドポイントが違いますね。 前とエンドポイントを変えたくないんだけど、、、という場合は以下の作業を行えばOKです。

暗号化していないRDSのDBインスタンス識別子を変更

まずは暗号化していない方のRDSのDBインスタンス識別子を変更します。 暗号化していないRDS(test-rds-01)を選択して変更を押下します。

f:id:swx-hamaoka:20210808234716p:plain
RDSのDBインスタンス識別子の変更01

DBインスタンス識別子を別の名前に変更します。 今回はtest-rds-03にしました。

f:id:swx-hamaoka:20210808235152p:plain
RDSのDBインスタンス識別子の変更02

スクロールして続行を押下します。

f:id:swx-hamaoka:20210808235219p:plain
RDSのDBインスタンス識別子の変更03

すぐに適用を選択してDBインスタンスの変更を押下します。

f:id:swx-hamaoka:20210809000300p:plain
RDSのDBインスタンス識別子の変更04

これで暗号化していない方のDBインスタンス識別子の変更ができました。

暗号化したRDSのDBインスタンス識別子を前のものに変更

暗号化したRDSを選択して変更を選択します。

f:id:swx-hamaoka:20210808235900p:plain
RDSのDBインスタンス識別子の変更05

DBインスタンス識別子を暗号化していなかったRDSの名前に変更します。 今回はtest-rds-01ですね。

f:id:swx-hamaoka:20210809000521p:plain
RDSのDBインスタンス識別子の変更06

スクロールして続行を押下します。

f:id:swx-hamaoka:20210809000915p:plain
RDSのDBインスタンス識別子の変更07

すぐに適用を選択してDBインスタンスの変更を押下します。

f:id:swx-hamaoka:20210809000936p:plain
RDSのDBインスタンス識別子の変更08

これで前のエンドポイントが利用できるようになりました!

おわりに

今回は暗号化していないRDSを暗号化する方法をやってみました!

皆様の参考になれば幸いです。

濱岡智恵 (執筆記事の一覧)

クラウドインテグレーション部

プログラムを書くことが好きです