![[アップデート] AWS Backup の「論理的にエアギャップのあるボールト」に KMS のカスタマーマネージドキーを指定できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61c3c74c9fbde5b3bc234043f3ce3128/3c555f171fd799831bf6aeb586ca13bf/aws-backup?w=3840&fm=webp)
[アップデート] AWS Backup の「論理的にエアギャップのあるボールト」に KMS のカスタマーマネージドキーを指定できるようになりました
いわさです。
AWS Backup には「論理的にエアギャップのあるボールト」というボールト(バックアップを保存する論理的なコンテナ)があります。
論理的にエアギャップのあるボールトは、標準ボールトよりもセキュリティ強化され、他のアカウントとボールトアクセスを共有できる特殊なボールトになっています。
この論理的にエアギャップのあるボールトですが、これまでは暗号化のキーに AWS マネージドキーのみが指定可能でした。
Logically air-gapped vault の場合は AWS マネージドな暗号キーが使用されるため、ユーザーマネージドなキーの指定が出来ません。
こちらが、先日のアップデートでカスタマーマネージドキーも利用できるようになりました。
これにより鍵管理やアルゴリズムの要件を満たすことが出来るようになります。
また、コンソールによるとエアギャップボールトでカスタマーマネージドキーを使う場合は、鍵を管理するアカウントに関しての推奨事項もあるようです。
今回こちらの指定方法などを確認してみましたので紹介します。
作成してみる
AWS Backup コンソールから新規ボールトを作成してみましょう。
ボールトタイプに「論理的にエアギャップのあるボールト」を指定します。
お、暗号化キーの指定が出来るようになっていますね。
デフォルトでは「AWS 所有キー」になっていますが、「顧客管理キー」というのが選択できます。
こちらを選択してみましょう。
推奨事項のメッセージが表示されました。
ベストプラクティスとして別組織別アカウントで作成したカスタママネージドキーの使用が推奨されているとのこと。
エアギャップボールトの用途が、アカウントやバックアップにアクセスできなくなってしまった場合でも別のアカウントで復元できるようにするためのセカンダリボールトとしての役割が想定されていることから、キーにアクセスできなくなる自体も想定したほうが良いという感じなのでしょうかね。
キーを指定します。
ARN で指定するのですが、同一アカウント内であればリスト表示される中から選択が出来ました。
コンソールに従って外部管理のキーを使う場合は事前に共有設定をした上で ARN を直接入力することになると思います。
作成後のエアギャップボールトの詳細画面です。
KMS 暗号化キー ID の部分にキー ID とともに「顧客管理」と表示されていますね。AWS マネージドキーかカスタマーマネージドキーかは、ここで判断すれば良さそうです。
さいごに
本日は AWS Backup の「論理的にエアギャップのあるボールト」に KMS のカスタマーマネージドキーを指定できるようになったので使ってみました。
これまでエアギャップボールトを使いたかったが、AWS マネージドキーのみの制約で暗号キーの要件を満たせなかったという方はぜひこれを機に再検討してみてください。
昨今ランサムウェア対策が求められていますし、標準ボールト以上の保護機能を持っているこのエアギャップボールトは注目したいですね。
