Amazon EBS の暗号化とスナップショット共有 - クロスアカウント・クロスリージョンの設計

デフォルト暗号化の有効化からスナップショットのクロスアカウント共有、クロスリージョンコピーによる DR 設計までを一貫して紹介します。

EBS デフォルト暗号化

EBS のデフォルト暗号化をアカウントのリージョン設定で有効化すると、そのリージョンで新規作成される全 EBS ボリュームとスナップショットが自動的に暗号化されます。既存の非暗号化ボリュームには影響しません。暗号化キーは AWS マネージドキー (aws/ebs) またはカスタマーマネージドキー (CMK) を選択できます。CMK を使用すると、キーポリシーでアクセスを制御でき、キーの自動ローテーションを有効化できます。暗号化によるパフォーマンスへの影響は無視できるレベルで、Nitro ベースのインスタンスではハードウェアアクセラレーションにより暗号化のオーバーヘッドはほぼゼロです。

スナップショットのクロスアカウント共有

EBS スナップショットは他の AWS アカウントと共有できます。非暗号化スナップショットはアカウント ID を指定するだけで共有可能ですが、暗号化スナップショットの共有には追加の設定が必要です。暗号化に使用した KMS キーのキーポリシーで、共有先アカウントに kms:DescribeKey、kms:CreateGrant、kms:Decrypt の権限を付与します。AWS マネージドキー (aws/ebs) で暗号化されたスナップショットは共有できないため、クロスアカウント共有を前提とする場合は CMK で暗号化する必要があります。共有先アカウントではスナップショットからボリュームを作成する際に、自アカウントの KMS キーで再暗号化することを推奨します。

クロスリージョンコピーと DR

スナップショットのクロスリージョンコピーは DR の基本的な手法です。 DLM ポリシーでクロスリージョンコピーを有効化すると、日次スナップショットの作成と同時に DR リージョンへのコピーが自動実行されます。コピー先リージョンでの保持世代数も個別に設定でき、 DR リージョンでは直近 3 世代のみ保持するといったコスト最適化が可能です。スナップショットアーカイブは 90 日以上保持するスナップショットを低コストのアーカイブ層に移行する機能で、標準ストレージと比較して最大 75% のコスト削減が可能です。アーカイブからの復元には最大 72 時間かかるため、即時復旧が必要なスナップショットは標準層に保持します。 ストレージ設計の知見を広げたい場合はAmazon の専門書も活用できます。

EBS スナップショットの料金

EBS スナップショットは増分バックアップで、変更されたブロックのみが保存されます。ストレージ料金は 1 GB あたり月額約 0.05 ドルです。クロスリージョンコピーではコピー先リージョンのストレージ料金に加え、リージョン間のデータ転送料金 (1 GB あたり約 0.02 ドル) が発生します。DLM (Data Lifecycle Manager) でスナップショットの作成・削除を自動化し、保持期間を適切に設定することでストレージコストを管理します。EBS Snapshots Archive は 1 GB あたり月額約 0.0125 ドルで、90 日以上保持するスナップショットのコストを 75% 削減できます。

暗号化の仕組みと鍵管理

EBS の暗号化は、ボリュームに保存されるデータと、そこから取得されるスナップショットを透過的に暗号化します。暗号化や復号はバックグラウンドで自動的に行われるため、アプリケーション側で特別な処理は不要です。暗号化に使う鍵は KMS で管理し、誰がその鍵を使って復号できるかを権限で制御します。アカウント全体でデフォルトの暗号化を有効にしておけば、新しく作るボリュームが自動的に暗号化され、暗号化漏れを防げます。鍵の管理とアクセス制御を適切に設計することが、保存データを保護するうえでの中核になります。

スナップショットの運用とライフサイクル

スナップショットを手作業で取得・管理するのは手間がかかり、取り忘れや消し忘れが起きがちです。スナップショットのライフサイクルを自動化する仕組みを使えば、定期的な取得と、古いものの自動削除をルールに沿って実行できます。これにより、一定のバックアップ世代を保ちつつ、不要なスナップショットの蓄積によるコスト増を防げます。復元を高速化する機能を使えば、スナップショットからボリュームを作る際の初期の性能低下を避けられます。取得・保持・削除を自動化し、いざというときに速やかに復元できる体制を整えることが、運用の安定につながります。

共有時のセキュリティ注意

スナップショットを他のアカウントと共有する際は、セキュリティに注意が必要です。暗号化されたスナップショットを共有するには、暗号化に使った鍵の利用も相手に許可する必要があり、誰と共有するかを慎重に判断します。暗号化されたスナップショットは、誰でもアクセスできる公開状態にはできないため、機密データの意図しない流出を防げます。共有する際は、相手側で自分たちの鍵で再暗号化してもらうと、鍵の管理を分離できます。共有の操作は記録され、後から追跡できます。共有範囲を最小限にし、鍵の権限まで含めて管理することが、安全な共有の前提です。

バックアップ戦略への統合

EBS のスナップショットは、組織全体のバックアップ戦略の一部として位置づけると効果的です。バックアップを一元管理する仕組みを使えば、EBS だけでなく他のサービスのバックアップも、共通のポリシーで管理できます。どれだけのデータ損失を許容できるか、どれだけ早く復旧する必要があるか、という目標に基づいて、取得の頻度と保持期間を設計します。災害対策では、スナップショットを別のリージョンや別のアカウントへ複製し、リージョン規模の障害にも備えます。個別の判断ではなく、目標から逆算したバックアップ設計が、確実な復旧を支えます。

まとめ

EBS の暗号化とスナップショット管理は、データ保護と DR の基盤です。デフォルト暗号化で全ボリュームの暗号化を強制し、KMS キーでアクセスを制御します。スナップショットのクロスアカウント共有とクロスリージョンコピーで、マルチアカウント・マルチリージョンのバックアップ戦略を構築し、EBS Snapshot Archive で長期保存コストを最大 75% 削減します。