既存 EBS ボリュームを暗号化したい

既存 EBS ボリュームを暗号化したい

#EBS
#AWS
#初心者向け
#暗号化
さすけ / パオの人

さすけ / パオの人

facebook logohatena logotwitter logo
Clock Icon2024.11.29

はじめに

こんにちは、「パオの人」ことさすけです!
EBS のデフォルト暗号化が有効化されていない場合、後から EBS ボリュームのデフォルト暗号化を有効化したとしても既存の EBS ボリュームでは暗号化されませんよね。

既存の EBS ボリュームを暗号化したい方は多いと思いますので、簡単にブログにまとめておこうかと思います。

既存 EBS ボリュームの暗号化はできるの?

結論からいうと できます!
ただし、前提として 既存の EBS ボリュームを直接暗号化することはできません[1]
しかし、暗号化する手段が全くないわけではありません。「暗号化されていない EBS ボリュームからスナップショットを作成し、スナップショットから EBS を作成する際に暗号化する」という手法が一般的です。

文章ではあまりピンとこない方も多いと思いますので、早速検証に入っていきましょう。

検証

検証手順としては、ざっと以下の通りです。

  • EBS ボリュームからスナップショットを作成
  • スナップショットから暗号化済み EBS ボリュームを作成
  • インスタンスから元の EBS ボリュームをデタッチし、新しい EBS ボリュームをアタッチ

さて、それぞれの検証手順を詳しくみていきましょう!

作成された EBS ボリュームからスナップショットを作成

EC2 インスタンスを未作成の方は、検証用の EC2 インスタンスをあらかじめ作成しておいてください。
私は TestEncryptEBS という名前のインスタンスを作成しておきました。

当該インスタンスを選択し「ストレージ」タブの「ボリューム ID」をクリックしてください。
すると、インスタンスにアタッチされている EBS ボリュームに移動することができます。

Photokako-mosaic-oRMNscU1TMFZa7Fn

移動したら、以下のように 当該 EBS ボリュームを選択し、「アクション」から「スナップショットの作成」を押してください。

無題のプレゼンテーション (2)

次の画面で、説明を書いて「スナップショットを作成」を押せば、スナップショットが作成されます。
今回は検証ですので、説明には EC2 インスタンス名と同様の TestEncryptEBS を記載しておきました。

image-4

これで、スナップショットの作成が完了しました。

スナップショットから暗号化済み EBS ボリュームを作成

次に、先ほど作成したスナップショットから暗号化した EBS ボリュームを作成します。
当該スナップショットを選択し「アクション」から「スナップショットからボリュームを作成」を選択したください。

無題のプレゼンテーション (4)

すると以下のような画面に遷移します。
ここで、アベイラビリティーゾーンを選択し「このボリュームを暗号化する」にチェックを入れます。

※ EC2 インスタンスと同じアベイラビリティーゾーンを選択してください。

今回はデフォルト暗号化を使用するため KMS キーは「(デフォルト)aws/ebs」を選択しますが、任意の KMS キーなどを指定することもできます。

image-5

ボリュームを確認すると以下画像のように暗号化済み EBS ボリュームが作成されていました。

無題のプレゼンテーション (6)

インスタンスから元の EBS ボリュームをデタッチし、新しい EBS ボリュームをアタッチ

さて、いよいよ最後です。
まずは EC2 インスタンスを停止しましょう。当該インスタンスを選択し「インスタンスの状態」から「インスタンスを停止」を押してください。

無題のプレゼンテーション (7)

無事インスタンスが停止したら、元の EBS ボリューム(暗号化なし)をデタッチしましょう。
当該 EBS ボリュームを選択し「アクション」から「ボリュームのデタッチ」を選択してください。

image-6

次に、新しく作成した EBS ボリューム(暗号化済み)を EC2 インスタンスにアタッチしましょう。
当該 EBS ボリュームを選択し「アクション」から「ボリュームのアタッチ」を選択してください。

image-7

以下のような画面に遷移しますので、当該インスタンスを選択し、デバイス名でルートボリューム(/dev/xvda)を選択、「ボリュームのアタッチ」を押します。

image-8

以上で暗号化ボリュームに置き換えが完了しました!
お疲れ様です!!

まとめ

今回は EBS ボリュームの暗号化について検証していきました。
結構長くなりましたね、、ただやっていること自体はそこまで難しくないので、ぜひ試してみてください!

改めて、お疲れ様でした!!

参考資料

[1] Amazon EBS 暗号化 - Amazon EBS

アノテーション株式会社

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS 入門ブログリレー 2024〜 Amazon EBS 編〜

AWS 入門ブログリレー 2024〜 Amazon EBS 編〜

User avatar
平木佳介
2024.05.14
システムログに Cannot open access to console, the root account is locked. のエラーが出力され接続できない

システムログに Cannot open access to console, the root account is locked. のエラーが出力され接続できない

User avatar
若山俊介
2024.04.27
Windows Server に EBS ボリュームを追加し新しいドライブとして使用できるようにする

Windows Server に EBS ボリュームを追加し新しいドライブとして使用できるようにする

User avatar
emi
2024.02.23
[アップデート] CloudFormation で EBS のブロックパブリックアクセスを管理できるようになりました

[アップデート] CloudFormation で EBS のブロックパブリックアクセスを管理できるようになりました

User avatar
平木佳介
2023.12.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.