ストレージ

Amazon EBS の暗号化とスナップショット共有 - クロスアカウント・クロスリージョンの設計

デフォルト暗号化の有効化からスナップショットのクロスアカウント共有、クロスリージョンコピーによる DR 設計までを一貫して紹介します。

約 1 分で読めます

EBS デフォルト暗号化

EBS のデフォルト暗号化をアカウントのリージョン設定で有効化すると、そのリージョンで新規作成される全 EBS ボリュームとスナップショットが自動的に暗号化されます。既存の非暗号化ボリュームには影響しません。暗号化キーは AWS マネージドキー (aws/ebs) またはカスタマーマネージドキー (CMK) を選択できます。CMK を使用すると、キーポリシーでアクセスを制御でき、キーの自動ローテーションを有効化できます。暗号化によるパフォーマンスへの影響は無視できるレベルで、Nitro ベースのインスタンスではハードウェアアクセラレーションにより暗号化のオーバーヘッドはほぼゼロです。

スナップショットのクロスアカウント共有

EBS スナップショットは他の AWS アカウントと共有できます。非暗号化スナップショットはアカウント ID を指定するだけで共有可能ですが、暗号化スナップショットの共有には追加の設定が必要です。暗号化に使用した KMS キーのキーポリシーで、共有先アカウントに kms:DescribeKey、kms:CreateGrant、kms:Decrypt の権限を付与します。AWS マネージドキー (aws/ebs) で暗号化されたスナップショットは共有できないため、クロスアカウント共有を前提とする場合は CMK で暗号化する必要があります。共有先アカウントではスナップショットからボリュームを作成する際に、自アカウントの KMS キーで再暗号化することを推奨します。

クロスリージョンコピーと DR

スナップショットのクロスリージョンコピーは DR の基本的な手法です。 DLM ポリシーでクロスリージョンコピーを有効化すると、日次スナップショットの作成と同時に DR リージョンへのコピーが自動実行されます。コピー先リージョンでの保持世代数も個別に設定でき、 DR リージョンでは直近 3 世代のみ保持するといったコスト最適化が可能です。スナップショットアーカイブは 90 日以上保持するスナップショットを低コストのアーカイブ層に移行する機能で、標準ストレージと比較して最大 75% のコスト削減が可能です。アーカイブからの復元には最大 72 時間かかるため、即時復旧が必要なスナップショットは標準層に保持します。 ストレージ設計の知見を広げたい場合はAmazon の専門書も活用できます。

EBS スナップショットの料金

EBS スナップショットは増分バックアップで、変更されたブロックのみが保存されます。ストレージ料金は 1 GB あたり月額約 0.05 ドルです。クロスリージョンコピーではコピー先リージョンのストレージ料金に加え、リージョン間のデータ転送料金 (1 GB あたり約 0.02 ドル) が発生します。DLM (Data Lifecycle Manager) でスナップショットの作成・削除を自動化し、保持期間を適切に設定することでストレージコストを管理します。EBS Snapshots Archive は 1 GB あたり月額約 0.0125 ドルで、90 日以上保持するスナップショットのコストを 75% 削減できます。

まとめ

EBS の暗号化とスナップショット管理は、データ保護と DR の基盤です。デフォルト暗号化で全ボリュームの暗号化を強制し、KMS キーでアクセスを制御します。スナップショットのクロスアカウント共有とクロスリージョンコピーで、マルチアカウント・マルチリージョンのバックアップ戦略を構築し、EBS Snapshot Archive で長期保存コストを最大 75% 削減します。

関連するサービス

Amazon EBSEC2 インスタンスに接続して使うブロックストレージサービスAWS KMSデータの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービスAmazon EC2クラウド上で仮想サーバーを提供するコンピュートサービス

関連する記事

Amazon EBS のボリューム設計と運用 - gp3 ・ io2 の選定基準とスナップショット戦略gp3・io2 のボリュームタイプ選定基準を明確にし、IOPS・スループットの設計指針とスナップショットによるバックアップ戦略を実践的に紹介します。機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護するAWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。Amazon EC2 インスタンスの選び方 - インスタンスファミリーと購入オプションの最適化インスタンスファミリーの特徴と Graviton プロセッサの性能優位性を整理し、オンデマンド・リザーブド・スポットの購入オプションを使い分ける指針を紹介します。

同じテーマの記事

AWS Backup Gateway でオンプレミス VMware VM を保護 - ハイブリッドバックアップ戦略vSphere 環境にゲートウェイをデプロイし、オンプレミスの VMware VM を AWS Backup のバックアッププランで一元管理する。クロスリージョンコピーによる DR 対策も紹介します。一元バックアップ管理 - AWS Backup で実現するデータ保護戦略AWS Backup を活用した一元的なバックアップ管理を解説します。EC2、RDS、DynamoDB、EFS、S3 など複数の AWS サービスのバックアップを統合管理し、コンプライアンス要件を満たすデータ保護戦略の構築方法を紹介します。Amazon EBS のボリューム設計と運用 - gp3 ・ io2 の選定基準とスナップショット戦略gp3・io2 のボリュームタイプ選定基準を明確にし、IOPS・スループットの設計指針とスナップショットによるバックアップ戦略を実践的に紹介します。EBS スナップショットは増分なのに全復元できる仕組み - ブロックレベルの差分管理の裏側EBS スナップショットが増分バックアップでありながら任意のスナップショットから完全なボリュームを復元できる仕組みを、ブロックレベルの差分管理、S3 への保存構造、高速スナップショット復元の内部動作から解説します。Amazon EFS で構築する共有ファイルストレージ - Lambda ・ ECS ・ EC2 からのマウントと設計指針パフォーマンスモードとスループットモードの選定基準を明確にし、ライフサイクル管理による IA 階層への自動移行でコストを最適化する手法を紹介します。Amazon FSx で選ぶマネージドファイルシステム - Lustre、Windows、ONTAP、OpenZFS の使い分けLustre・Windows・ONTAP・OpenZFS の 4 タイプの特徴と使い分けを整理し、S3 連携とパフォーマンス設計の指針を紹介します。Amazon S3 Glacier のアーカイブ戦略 - ストレージクラスの選定と取り出しオプションInstant Retrieval・Flexible Retrieval・Deep Archive の選定基準を明確にし、ライフサイクルポリシーによる自動階層化と Vault Lock のコンプライアンス対応を紹介します。ハイブリッドストレージ - AWS Storage Gateway によるオンプレミスとクラウドの統合AWS Storage Gateway を使ったオンプレミスとクラウドストレージの統合を解説。S3 File Gateway ・ FSx File Gateway ・ Volume Gateway ・ Tape Gateway の 4 タイプの使い分けと導入パターンを紹介します。

内容が近い記事・サービス

EBS スナップショットは増分なのに全復元できる仕組み - ブロックレベルの差分管理の裏側EBS スナップショットが増分バックアップでありながら任意のスナップショットから完全なボリュームを復元できる仕組みを、ブロックレベルの差分管理、S3 への保存構造、高速スナップショット復元の内部動作から解説します。Amazon EBSEC2 インスタンスにアタッチして使用するブロックストレージサービスで、SSD と HDD の複数のボリュームタイプから用途に応じて選択できるAWS Backup による一元バックアップ管理 - バックアッププランとクロスリージョン保護EC2・RDS・DynamoDB など複数サービスのバックアップを統一ポリシーで一元管理する。Vault Lock による WORM 保護と復元テストの自動化を紹介します。