[アップデート] EBS 暗号化のデフォルト値を指定できるようになりました!
本日のアップデートで EBS 暗号化のデフォルト値を設定できるようになりましたので、ご紹介します!
それでは早速、試してみましょう!
設定方法
EC2 コンソールを開き、リージョン指定のすぐ下をみると「アカウントの属性」があります。その中の Settings
をクリックします。
「EC2 settings」 のメニューが開きますので、Always Encrypt new EBS volumes
にチェックをいれます。Default encryption key
には事前に KMS で作成しておいたカスタマーマスターキー(CMK)を設定して「更新」をクリックします。
暗号化に使用する KMS がリージョナルなサービスですので、この設定もリージョンでのみ有効です。
確認してみる
AWS コンソール
以下、EC2 作成時の EBS 設定の画面です。デフォルトに設定した CMK が自動的に選択されていました。
ちなみに、EC2 起動時のルートボリューム暗号化は、先日のアップデートで対応しています。
AWS CLI
次に、AWS CLI で作成してみます。従来、暗号化指定する場合には --encrypted
や --kms-key-id
といったオプションを使用しますが、ここでは暗号化に関するオプションは何も指定せずに実行しました。
$ aws ec2 create-volume --availability-zone ap-northeast-1a --size 10 --volume-type gp2 { "AvailabilityZone": "ap-northeast-1a", "Tags": [], "Encrypted": true, "VolumeType": "gp2", "VolumeId": "vol-08050xxxxxxxxx", "State": "creating", "KmsKeyId": "arn:aws:kms:ap-northeast-1:xxxxxxxxx:key/3e751xxx-xxxx-xxxx-xxxx-xxxxxxxxxxx", "SnapshotId": "", "Iops": 100, "CreateTime": "2019-05-23T21:52:25.000Z", "Size": 10 }
上記のとおり、自動的に設定されていますね。AWS コンソールでデフォルト指定した CMK のエイリアスであることが確認できましたね!
リージョン
この機能は中国リージョンを除く、すべてのリージョンで利用可能です。
さいごに
セキュリティが求められる昨今、暗号化必須の環境も少なくないかと思います。そのような環境においては今回のアップデートで、その都度 CMK を指定する手間が省略が出来ますね。また、デフォルト設定できることでうっかりミス(設定漏れ)の発生も減らせるかと思いますので、暗号化必須の環境では設定しておくと良さそうです!
以上!大阪オフィスの丸毛(@marumo1981)でした!