[アップデート] EBS 暗号化のデフォルト値を指定できるようになりました!

EBS 暗号化のデフォルト値を指定することが出来るようになりました!
2019.05.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

本日のアップデートで EBS 暗号化のデフォルト値を設定できるようになりましたので、ご紹介します!

それでは早速、試してみましょう!

設定方法

EC2 コンソールを開き、リージョン指定のすぐ下をみると「アカウントの属性」があります。その中の Settings をクリックします。

「EC2 settings」 のメニューが開きますので、Always Encrypt new EBS volumes にチェックをいれます。Default encryption key には事前に KMS で作成しておいたカスタマーマスターキー(CMK)を設定して「更新」をクリックします。

暗号化に使用する KMS がリージョナルなサービスですので、この設定もリージョンでのみ有効です。

確認してみる

AWS コンソール

以下、EC2 作成時の EBS 設定の画面です。デフォルトに設定した CMK が自動的に選択されていました。

ちなみに、EC2 起動時のルートボリューム暗号化は、先日のアップデートで対応しています。

[アップデート] これは簡単!EC2 起動時にルートボリュームを1ステップで暗号化できるようになりました!

AWS CLI

次に、AWS CLI で作成してみます。従来、暗号化指定する場合には --encrypted--kms-key-id といったオプションを使用しますが、ここでは暗号化に関するオプションは何も指定せずに実行しました。

$ aws ec2 create-volume --availability-zone ap-northeast-1a --size 10 --volume-type gp2
{
    "AvailabilityZone": "ap-northeast-1a",
    "Tags": [],
    "Encrypted": true,
    "VolumeType": "gp2",
    "VolumeId": "vol-08050xxxxxxxxx",
    "State": "creating",
    "KmsKeyId": "arn:aws:kms:ap-northeast-1:xxxxxxxxx:key/3e751xxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
    "SnapshotId": "",
    "Iops": 100,
    "CreateTime": "2019-05-23T21:52:25.000Z",
    "Size": 10
}

上記のとおり、自動的に設定されていますね。AWS コンソールでデフォルト指定した CMK のエイリアスであることが確認できましたね!

リージョン

この機能は中国リージョンを除く、すべてのリージョンで利用可能です。

さいごに

セキュリティが求められる昨今、暗号化必須の環境も少なくないかと思います。そのような環境においては今回のアップデートで、その都度 CMK を指定する手間が省略が出来ますね。また、デフォルト設定できることでうっかりミス(設定漏れ)の発生も減らせるかと思いますので、暗号化必須の環境では設定しておくと良さそうです!

以上!大阪オフィスの丸毛(@marumo1981)でした!