自動キーローテーションを有効化した KMS キーで RDS を暗号化してみた
はじめに
こんにちは、山本翔大です。
SAA の学習中に Key Management Service ( KMS ) に興味を持ったため、実際に KMS を使用して RDS の暗号化を試してみました。また、KMS キーには自動キーローテーションを設定することで、一定期間ごとに暗号鍵が更新されるようにします。そのため、仮に鍵が漏えいしても長期間悪用されるリスクが下がります。
やってみた
1.KMS キーの作成
まず、 KMS キーを作成します。
キーの設定は以下のとおりです。
- キーのタイプ:対称
- キーの使用法:暗号化および復号化
- エイリアス(キーの名前)、説明:任意
RDS の暗号化には非対称キーを使用することはできないため注意してください。
キーの管理アクセス許可と使用アクセス許可は、自分の IAM ユーザーを選択してください。
キーポリシーには上記の設定内容が反映されています。内容を確認してから、キーを作成してください。
2.自動キーローテーションの有効化
キーを作成したら、自動キーローテーションを設定します。
作成したキーをクリックし、キーマテリアルとローテーションから編集をクリックしキーローテーションを有効に設定します。
また、必要に応じてローテーション期間を 90 日〜 2,560 日の間で設定してください。デフォルトでは 365 日(1年)ごとにローテーションが実行されます。
3.データベースの作成
次に、データベースを作成し、KMS キーで暗号化します。
データベースの設定は以下のとおりです。
- データベースの作成方法:標準作成
- エンジン:MySQL
- テンプレート:無料利用枠
- ストレージの自動スケーリング:チェックを外す
設定を終えたら「追加設定」から暗号化を有効化し、 KMS キーをデフォルトから先ほど作成した KMS キーに変更します。
変更が完了したら、画面右下から「データベースの作成」をクリックしてください。
以上で設定は完了です。作成したデータベースの設定を確認すると、作成済みの KMS キーで暗号化されていることがわかります。
おわりに
今回は、 KMS キーを使用して暗号化を行いました。
自動キーローテーションを使用することで、よりセキュリティを強化できます。設定も簡単なので、ぜひ試してみてください。
なお、使用済みの KMS キーを削除するには、最短で 7 日間の待機期間が必要なので、ご注意ください。
参考資料
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。
