Amazon IAM編 Key Management Service (KMS)②


こんにちは!Narimasaです!

今回は前回に引き続き「AWS re: Invent 2014」で発表された新サービスの「AWS Key Management Service (KMS)」を使って、データの暗号化を行います。

S3オブジェクトの暗号化

まずは、S3バケットにオブジェクトをアップロードする際にKeyを用いて暗号化する手順を紹介します。

アップロード画面の下部「Set Details」をクリックします。
S3upload

「Use Server Side Encryption」→「Use an AWS Key Management Service master key」の順に選択し、「Master Key:」から作成した鍵を選択することができます。
前回の記事で作成した鍵の他に、各サービスにデフォルトでマスターキーも用意されています。
[KMS2-02 S3-Key]

この設定を施した状態でオブジェクトを「Make Public」しても、下記のように表示され、中身を見ることは出来ません。
Keysetting

EBSボリュームの暗号化

続いてEBSボリュームを作成する際に暗号化設定をする手順を紹介します。

EC2コンソールの「Volumes」から「Create Volume」を選択します。
「Create Volume」画面の「Encryption」項目にチェックを入れると「MasterKey」の入力ができます。
EBSMasterKey

これだけでEBSボリュームのデータ暗号化ができます。

注意点としては以下があります。
・ルートボリュームは暗号化できません。
・EC2インスタンス作成設定時には、Master Keyを選択することが出来ないようです。
・また、EBSの仕様上T2インスタンスとHS1インスタンスにはデータ暗号化をしたEBSボリュームはアタッチすることが出来ません。

Redshiftのデータベース暗号化

最後にRedshiftのデータベースを暗号化する手順を紹介します。

新規にRedshiftを作成する際は「additional configuration」の画面で暗号化の設定が可能です。
「Encrypt Database」の項目に「KMS」欄が追加されているのでチェックを入れるとMaster Keyの指定ができます。
Redshift

その他、RDSのOracleやSQLserverでもKMSによる暗号化が可能とのことですが、そちらは別の機会に紹介させて頂きます。
次回もお楽しみに!