[アップデート]AWS Fargateがデフォルトでエフェメラルストレージが暗号化されるようになりました

2020.05.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部の島川です。

先日、Fargateのプラットフォーム1.4がリリースされましたが、ここにもう一つ嬉しい機能が追加されました。今すぐ使い始められます。

特に追加の作業は不要で、起動するだけでこの機能が適用されます。サービスを起動中の方は再起動をするだけでOKです。ちなみにこちらは暗号化方式としてAES-256が採用されています。

何が嬉しいのか

PCI DSS、HIPAA等ではセキュリティ、コンプライアンス要件を満たすためにデータ全体を暗号化する必要があります。Fargateのエフェメラルストレージもその一つです。今まではこの暗号化をアプリ側で実装する必要がありましたが、その必要がなくなります。

適用範囲について(2020/05/29現在)

FargateはECSとEKSで利用ができますが、暗号化の適用範囲が異なります。 参考:https://aws.amazon.com/jp/blogs/containers/introducing-server-side-encryption-ephemeral-storage-using-aws-fargate-managed-keys-aws-fargate-platform-version-1-4/

  • ECS
    • エフェメラルストレージ、EFSどちらも対応
  • EKSポッド
    • エフェメラルストレージのみ対応。EFSは絶賛対応中(#826)

今後の動き

この暗号化はこちらからは見えないAWSのサービスキーを利用されて実装されていますが、今後はAWSのマネジメントキーサービスのKMSやユーザーで管理できるCMSにも対応予定とのことです。(#915)