AMI 暗号化時に使用した KMS キーを使ってクロスアカウント先で EC2 インスタンスを起動させる方法 – マネジメントコンソール編

暗号化された AMI を他のアカウントから起動する際、暗号元の KMS キーを使用することができます。
2022.08.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

カナダ・バンクーバーオフィスの山口です。

困っていた内容

暗号化されている AMI を他のアカウントと共有しました。AMI 共有先アカウントで AMI から EC2 インスタンスを起動する際は、KMS キーを新たに作成したり既存の KMS キーを使用するのではなく、AMI 共有元アカウントで AMI 暗号化時に使用した KMS キーを使って立ち上げたいです。

準備

暗号化された AMI を使い他のアカウントで EC2 インスタンスを起動するには、いくつかの事前準備が必要となります。

上記ブログより以下の項目をご参照ください。

・事前作業

・ソースアカウント側 (111111111111) での作業 - (Step.1 〜 Step.3)

・ターゲットアカウント側 (999999999999) での作業 - (Step.4)

どう対応すればいいの?

ここからは AMI 共有先アカウントであるターゲットアカウント (999999999999) で作業を行います。

まず、EC2 コンソール画面左のナビゲーションペインで AMI をクリックし、ソースアカウント (111111111111) より共有されている AMI を選択します。(他のアカウントから共有された AMI は「プライベートイメージ」の中にあります。)

次に、画面右上の「AMI からインスタンスを起動」をクリックします。

EC2 インスタンスの詳細な設定をしていきます。ストレージ (ボリューム) の項目で、以下の手順でソースアカウント (111111111111) で作成したカスタマーマネージド KMS キーを指定します。


インスタンスタイプやネットワーク等の他の全ての設定を終えたら、インスタンスを起動します。

動作確認

EC2 インスタンスが起動したら、ストレージの「KMS キー ID」の項目を確認します。そうすると、ソースアカウント (111111111111) にて AMI の暗号化時に使用したカスタマーマネージド KMS キーが指定されているのがわかります。

このブログが少しでも皆様のお役に立つことができたら幸いです。

参考資料

How to share encrypted AMIs across accounts to launch encrypted EC2 instances
AMI 暗号化時に使用した KMS キーを使ってクロスアカウント先で EC2 インスタンスを起動させてみた – CLI 編