Aurora で describe-db-clusters の StorageEncrypted が false を返すのに暗号化されているのはなぜですか
困っていた内容
新しく作成した Amazon Aurora DB クラスターに対して describe-db-clusters を実行すると、StorageEncrypted が false を返します。
コンソールの「設定」タブでは暗号化キーに「AWS 所有 KMS キー」と表示されているのに、CLI の結果だけを見ると暗号化されていないように見えています。
実際には、このクラスターは暗号化されているのでしょうか?
どう対応すればいいの?
2026 年 2 月 18 日以降、Aurora の新規クラスターはデフォルトで暗号化される
2026 年 2 月 18 日以降に作成した Aurora DB クラスターは、明示的に暗号化の設定をしていなくても、AWS 所有のキーを使って暗号化されるようになりました。
2026 年 2 月 18 日以降に作成されたすべての新しい DB クラスターは、デフォルトで AWS 所有のキーで暗号化されます。
StorageEncrypted が false を返すのは仕様どおり
StorageEncrypted フィールドは、クラスター作成時に --storage-encrypted パラメータを明示的に指定したかどうかを示します。
AWS 所有キーによるデフォルト暗号化はこのパラメータを指定せずに行われるため、この値は false を返します。
これは期待された動作であり、StorageEncrypted が false であっても、クラスターは実際には暗号化されている場合があります。
StorageEncryptionType フィールドで暗号化の状態を確認する
暗号化されているかどうかを明確に判断するには、StorageEncryptionType フィールドを確認します。
詳細は以下の AWS ブログをご参照ください。
aws rds describe-db-clusters \
--db-cluster-identifier my-aurora-cluster \
--query 'DBClusters[*].StorageEncryptionType'
StorageEncryptionType 出力フィールド
データが保管時に暗号化されているかどうかをより明確に把握できるようにするために、Amazon Aurora はすべての describe API で StorageEncryptionType という追加の出力フィールドを公開するようになりました。このフィールドで設定される値は以下です。
- sse-rds (サーバーサイド暗号化): インスタンスやクラスターが AWS 所有キーで暗号化されていることを示します。
- sse-kms (AWS マネージドキーまたはカスタマーマネージドキー): インスタンスやクラスターが AWS マネージドキーまたはカスタマーマネージドキーで暗号化されていることを示します。
- none: インスタンスやクラスターがデフォルトでは暗号化が無効だった時期に作成され、暗号化されていないことを示します。
AWS 所有キーで新しいクラスターを作成すると、StorageEncrypted フィールドは false と表示され、StorageEncryptionType フィールドは sse-rds と表示されます。これは、データベースの暗号化を明示的に選択しなかったものの、AWS 所有キーでデータは保管時に暗号化されていることを示します。
StorageEncryptionType が sse-rds であれば、AWS 所有キーによって暗号化されています。
StorageEncrypted だけを見て「暗号化されていない」と判断しないようにご留意ください。
参考情報
