type
status
date
slug
summary
tags
category
icon
password
书籍
理論
Amazon Elastic Block Store(Amazon EBS)ボリュームの暗号化は、データの保護とコンプライアンス要件を満たすために重要です。
EBSボリュームの暗号化方法:
- デフォルトでの暗号化の有効化:
- AWSアカウントで新規に作成されるEBSボリュームを自動的に暗号化する設定です。
- これにより、手動で暗号化を設定する手間が省け、セキュリティポリシーの遵守が容易になります。
- 設定方法は、AWSマネジメントコンソールの「アカウントの属性」から「EBS暗号化」を選択し、「常に新しいEBSボリュームを暗号化」を有効化します。
- 詳細な手順は、AWS公式ドキュメントをご参照ください。
- 既存のEBSボリュームの暗号化:
- 既存の非暗号化ボリュームを暗号化するには、スナップショットを利用します。
- 手順は以下の通りです:
- 非暗号化ボリュームのスナップショットを作成します。
- そのスナップショットをコピーし、コピー時に暗号化を有効にします。
- 暗号化されたスナップショットから新しいEBSボリュームを作成します。
- 新しい暗号化されたボリュームをEC2インスタンスにアタッチします。
- この方法により、既存のデータを暗号化された状態で保護できます。
注意点:
- デフォルトでの暗号化はリージョン固有の設定であり、各リージョンごとに有効化する必要があります。
- 暗号化されたEBSボリュームから作成されたスナップショットも暗号化されますが、暗号化されていないスナップショットからは暗号化されたボリュームを直接作成することはできません。
- 暗号化されたEBSボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有することは可能です。
これらの方法を活用することで、EBSボリュームの暗号化を効果的に管理し、データのセキュリティを強化できます。
実践
略
一問道場
ある企業のコンプライアンス監査により、AWSアカウントで作成された一部のAmazon Elastic Block Store(Amazon EBS)ボリュームが暗号化されていないことが判明しました。ソリューションアーキテクトは、新規作成されるすべてのEBSボリュームを暗号化するソリューションを実装する必要があります。最も労力をかけずにこの要件を満たすソリューションはどれですか?
A. Amazon EventBridgeルールを作成して、暗号化されていないEBSボリュームの作成を検出します。非準拠のボリュームを削除するAWS Lambda関数を呼び出します。
B. AWS Audit Managerをデータ暗号化とともに使用します。
C. AWS Configルールを作成して、新しいEBSボリュームの作成を検出します。AWS Systems Manager Automationを使用してボリュームを暗号化します。
D. すべてのAWSリージョンでEBSのデフォルト暗号化をオンにします。
解説
最も労力をかけずにこの要件を満たすソリューションは、Dの「すべてのAWSリージョンでEBSのデフォルト暗号化をオンにする」です。
EBSのデフォルト暗号化を有効にすると、新規に作成されるすべてのEBSボリュームが自動的に暗号化されます。
この設定はリージョンごとに行う必要があります。
設定方法は以下の通りです:
- EC2ダッシュボードにアクセスします。
- 右上の「アカウントの属性」から「EBS暗号化」を選択します。
- 「管理」をクリックします。
- 「常に新しいEBSボリュームを暗号化」のチェックボックスをオンにし、デフォルトの暗号化キーを設定します。
- 「EBS暗号化を更新する」をクリックして設定を保存します。
この設定により、以降に作成されるEBSボリュームはすべて指定したKMSキーで暗号化されます。
既存の非暗号化ボリュームに対しては、手動で暗号化を行う必要があります。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/176d7ae8-88e2-8088-b983-eff0793b6089
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
