ストレージ

Amazon EBS の暗号化とスナップショット共有 - クロスアカウント・クロスリージョンの設計

EBS のデフォルト暗号化、スナップショットのクロスアカウント共有、クロスリージョンコピーによる DR 設計を解説します。

約 1 分で読めます

EBS デフォルト暗号化

この記事は約 3 分で読めます。 EBS のデフォルト暗号化をアカウントのリージョン設定で有効化すると、そのリージョンで新規作成される全 EBS ボリュームとスナップショットが自動的に暗号化されます。既存の非暗号化ボリュームには影響しません。暗号化キーは AWS マネージドキー (aws/ebs) またはカスタマーマネージドキー (CMK) を選択できます。CMK を使用すると、キーポリシーでアクセスを制御でき、キーの自動ローテーションを有効化できます。暗号化によるパフォーマンスへの影響は無視できるレベルで、Nitro ベースのインスタンスではハードウェアアクセラレーションにより暗号化のオーバーヘッドはほぼゼロです。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

スナップショットのクロスアカウント共有

EBS スナップショットは他の AWS アカウントと共有できます。非暗号化スナップショットはアカウント ID を指定するだけで共有可能ですが、暗号化スナップショットの共有には追加の設定が必要です。暗号化に使用した KMS キーのキーポリシーで、共有先アカウントに kms:DescribeKey、kms:CreateGrant、kms:Decrypt の権限を付与します。AWS マネージドキー (aws/ebs) で暗号化されたスナップショットは共有できないため、クロスアカウント共有を前提とする場合は CMK で暗号化する必要があります。共有先アカウントではスナップショットからボリュームを作成する際に、自アカウントの KMS キーで再暗号化することを推奨します。

クロスリージョンコピーと DR

スナップショットのクロスリージョンコピーは DR の基本的な手法です。DLM ポリシーでクロスリージョンコピーを有効化すると、日次スナップショットの作成と同時に DR リージョンへのコピーが自動実行されます。コピー先リージョンでの保持世代数も個別に設定でき、DR リージョンでは直近 3 世代のみ保持するといったコスト最適化が可能です。スナップショットアーカイブは 90 日以上保持するスナップショットを低コストのアーカイブ層に移行する機能で、標準ストレージと比較して最大 75% のコスト削減が可能です。アーカイブからの復元には最大 72 時間かかるため、即時復旧が必要なスナップショットは標準層に保持します。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ

EBS の暗号化とスナップショット管理は、データ保護と DR の基盤です。デフォルト暗号化で全ボリュームの暗号化を強制し、DLM でスナップショットのライフサイクルとクロスリージョンコピーを自動化します。クロスアカウント共有では CMK の使用とキーポリシーの適切な設定が重要です。

AWS の優位点

  • アカウントレベルでデフォルト暗号化を有効化すると、新規作成される全 EBS ボリュームが自動的に KMS で暗号化される
  • 暗号化されたスナップショットを他アカウントと共有する際は、KMS キーポリシーでクロスアカウントの Decrypt 権限を付与する必要がある
  • クロスリージョンスナップショットコピーで DR リージョンにバックアップを配置し、リージョン障害時の復旧に備えられる
  • Data Lifecycle Manager (DLM) でスナップショットのクロスリージョンコピーを自動化し、手動操作なしで DR 体制を維持できる
  • スナップショットアーカイブで長期保存のスナップショットを最大 75% 安価なストレージ層に移行できる

関連するサービス

Amazon EBS EC2 インスタンスに接続して使うブロックストレージサービス AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon EC2 クラウド上で仮想サーバーを提供するコンピュートサービス

関連する比較記事

Amazon EBS のボリューム設計と運用 - gp3・io2 の選定基準とスナップショット戦略 Amazon EBS のボリュームタイプ選定、IOPS・スループットの設計指針、スナップショットによるバックアップ戦略を実践的に解説します。

同じテーマの記事

AWS Backup Gateway でオンプレミス VMware VM を保護 - ハイブリッドバックアップ戦略 Backup Gateway による VMware 仮想マシンのバックアップ、リストア、AWS Backup との統合を解説します。 一元バックアップ管理 - AWS Backup で実現するデータ保護戦略 AWS Backup を活用した一元的なバックアップ管理を解説します。EC2、RDS、DynamoDB、EFS、S3 など複数の AWS サービスのバックアップを統合管理し、コンプライアンス要件を満たすデータ保護戦略の構築方法を紹介します。 Amazon Data Lifecycle Manager で自動化する EBS スナップショット管理 - ポリシー設計と保持戦略 DLM による EBS スナップショットの自動作成、保持ポリシー、クロスリージョンコピーの設定を解説します。 Amazon EBS のボリューム設計と運用 - gp3・io2 の選定基準とスナップショット戦略 Amazon EBS のボリュームタイプ選定、IOPS・スループットの設計指針、スナップショットによるバックアップ戦略を実践的に解説します。 Amazon EFS で構築する共有ファイルストレージ - Lambda・ECS・EC2 からのマウントと設計指針 Amazon EFS のパフォーマンスモード選定、Lambda・ECS・EC2 からのマウント方法、ライフサイクル管理によるコスト最適化を解説します。 Amazon FSx で選ぶマネージドファイルシステム - Lustre、Windows、ONTAP、OpenZFS の使い分け FSx の 4 つのファイルシステムタイプの特徴と使い分け、S3 連携、パフォーマンス設計を解説します。 Amazon S3 Glacier のアーカイブ戦略 - ストレージクラスの選定と取り出しオプション S3 Glacier Instant Retrieval、Flexible Retrieval、Deep Archive の選定基準、ライフサイクルポリシーによる自動階層化を解説します。 ハイブリッドストレージ - AWS Storage Gateway によるオンプレミスとクラウドの統合 AWS Storage Gateway を使ったオンプレミスとクラウドストレージの統合を解説。S3 File Gateway・FSx File Gateway・Volume Gateway・Tape Gateway の 4 タイプの使い分けと導入パターンを紹介します。 マネージドファイルシステム - Amazon FSx と EFS で実現する高性能な共有ストレージ Amazon FSx と Amazon EFS を活用したマネージドファイルシステムの構築・運用方法を解説します。 オブジェクトストレージ戦略 - Amazon S3 で実現するデータ管理の最適化 Amazon S3 を活用したオブジェクトストレージ戦略を解説します。 Amazon S3 のストレージ設計 - ストレージクラスの使い分けとライフサイクルポリシー S3 のストレージクラス選定、ライフサイクルポリシー、Intelligent-Tiering によるコスト最適化を解説します。