Key Management Service (KMS) を使用して Elastic Compute Service (ECS) クラウドディスクを暗号化します。これにより、コンプライアンス要件を満たし、物理的な盗難や不正アクセスなどのセキュリティ脅威からデータを保護できます。暗号化により、データの機密性と完全性が保証されます。
暗号化と復号の仕組み
暗号化されたクラウドディスクは、2 層のキーシステムを使用してデータを保護します。
データキー: クラウドディスク上のデータの暗号化と復号に使用されます。
KMS キー: KMS に保存され、データキーの暗号化と復号に使用されます。
暗号化されたクラウドディスクを作成すると、KMS キーによって暗号化されたデータキーがクラウドディスクと共に保存されます。インスタンスが起動すると、ECS は KMS にデータキーの復号をリクエストします。その後、ECS は復号されたプレーンテキストのデータキーをメモリにロードして、データを暗号化および復号します。
暗号化されたクラウドディスクの作成
暗号化されたクラウドディスクを作成します。
重要暗号化は元に戻せません。一度暗号化されたクラウドディスクは、暗号化されていない状態に戻すことはできません。
コンソール
クラウドディスクを作成する際、[暗号化] チェックボックスを選択し、KMS キーのドロップダウンリストからキーを選択できます。KMS は 2 種類のキーを提供します。
サービスキー: ECS のためにクラウドサービスによって自動的に作成および管理されるキーです。キーエイリアスは
alias/acs/ecsです。サービスキーは使いやすく、基本的な暗号化のニーズを満たし、キーのライフサイクル管理は不要です。カスタマーマスターキー (CMK): KMS で作成またはインポートするキーで、完全な制御が可能です。CMK は、キーのローテーション、無効化、削除など、キーのライフサイクルを管理する必要がある、データセキュリティ要件の高いシナリオに適しています。
初めて暗号化に CMK を選択する場合、画面の指示に従って
AliyunECSDiskEncryptDefaultRoleロールを ECS に付与する必要があります。このロールにより、ECS は KMS リソースにアクセスできるようになります。
API
ECS インスタンスの作成時にシステムディスクとデータディスクを暗号化します。
RunInstances 操作を呼び出して ECS インスタンスを作成します。システムディスクまたはデータディスクの
EncryptedおよびKMSKeyIdパラメーターを設定して暗号化します。スタンドアロンの暗号化されたデータディスクを作成します。
CreateDisk 操作を呼び出してデータディスクを作成します。
EncryptedおよびKMSKeyIdパラメーターを設定してディスクを暗号化します。
次のステップ。
システムディスク: すぐに使用できます。
データディスク:
インスタンスと共に作成:
Windows: すぐに使用できます。
Linux: 使用する前にディスクを初期化する必要があります。
個別に作成: 使用する前にディスクを ECS インスタンスにアタッチし、その後ディスクを初期化する必要があります。
暗号化されていないクラウドディスクを暗号化されたものに変換する
既存の暗号化されていないクラウドディスクを直接暗号化することはできません。代わりに、暗号化されたカスタムイメージまたは暗号化されたスナップショットを使用する必要があり、オペレーティングシステムの変更や新しいクラウドディスクの作成によって間接的に実現できます。
システムディスク
カスタムイメージをコピーし、暗号化オプションを選択して暗号化されたコピーを作成します。
次のいずれかの方法を選択して、暗号化されたシステムディスクを作成します。
暗号化されたイメージを使用して、元の ECS インスタンスのオペレーティングシステムを置き換えます。
データディスク
本番環境での適用
不必要にキーを削除または無効化しない
キーを削除または無効化すると、クラウドディスク、スナップショット、イメージなど、それに依存するすべての暗号化されたリソースが復号できなくなります。これにより、回復不可能なデータ損失が発生する可能性があります。続行する前に、キーに関連付けられているリソースを確認してください。
重要キーの無効化または削除によって生じたいかなるデータ損失についても、お客様が責任を負うものとします。
RAM ユーザーが暗号化されたクラウドディスクのみを作成できるように制限する
特定のセキュリティおよびコンプライアンス要件を満たし、暗号化されていないクラウドディスクからのデータ漏洩を防ぐために、Resource Access Management (RAM) ユーザーに対してカスタムポリシーを設定できます。このポリシーは、データの機密性を保護するために、暗号化されたクラウドディスクのみを作成するように制限することができます。
RAM ユーザーによるキーの管理を禁止する
キーの偶発的な削除や無効化を防ぐために、
AliyunKMSReadOnlyAccessポリシーをアタッチすることで、RAM ユーザーに KMS の読み取り専用権限を付与できます。既存のシステムディスクをバッチで暗号化する
OOS パブリックテンプレート ACS-ECS-BulkyEncryptSystemDisk を使用して、オペレーティングシステムを置き換えることで ECS インスタンスのシステムディスクを暗号化することができます。
課金
クラウドディスク料金: 暗号化されたクラウドディスクと暗号化されていないクラウドディスクは、同じルールに基づいて課金されます。暗号化機能自体に追加料金は発生しません。詳細については、「ブロックストレージの課金」をご参照ください。
キー料金: キーの使用は無料です。
クォータと制限
インスタンスタイプ
システムディスクを暗号化するか、スナップショットから暗号化されたデータディスクを作成する場合、ディスクを次のインスタンスタイプにアタッチすることはできません: ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、および ecs.ebmhfg5。
クラウドディスクタイプ
システムディスクを暗号化するか、スナップショットから暗号化されたデータディスクを作成する場合、企業向け SSD (ESSD) シリーズのクラウドディスクのみを暗号化できます。これには、ESSD、ESSD Entry ディスク、ESSD AutoPL ディスク、およびリージョン ESSD が含まれます。
リージョン
暗号化されたクラウドディスクを作成できないリージョン: 中国 (南京 - ローカルリージョン - 閉鎖中)、韓国 (ソウル)。
CMK を使用できないリージョン: 中国 (福州 - ローカルリージョン - 閉鎖中)、タイ (バンコク)。
よくある質問
ECS クラウドディスクが本当に暗号化されていることをテストおよび確認するにはどうすればよいですか?
関連付けられている KMS キーを一時的に無効にすることで、データが保存時に暗号化されていることを確認できます。ディスクが暗号化されている場合、インスタンスはデータを復号できなくなり、I/O ハングが発生します。これにより、暗号化がアクティブであることが確認されます。
このプロシージャを実行すると、ディスクが読み取り不能になり、インスタンスが失敗します。このプロシージャのためにテストインスタンスを購入することをお勧めします。
テストインスタンスを購入する際、CMK で暗号化されたシステムディスクを作成します。
CMK を無効にします。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、ターゲットキーを見つけ、操作 列の Disable をクリックします。
Disable Key ダイアログボックスで、操作を確認し、[確認] をクリックします。
重要CMK を無効にする前に、関連付けられているクラウドリソースを確認して、サービスの中断を回避してください。
暗号化を検証します。
ECS インスタンスに接続した後、
sudo rebootコマンドを実行してオペレーティングシステムを再起動します。暗号化されたシステムディスクに関連付けられている KMS キーが無効になっているため、システムはデータを復号できません。これにより I/O ハングが発生します。その後、VNC を使用して ECS インスタンスに接続すると、黒い画面が表示され、データが暗号化されていることが証明されます。CMK を再度有効にし、テストインスタンスをリリースします。
リファレンス
KMS キーの詳細については、「クラウドサービス暗号化をサポートするキータイプ」をご参照ください。
暗号化の仕組みの詳細については、「クラウドサービス暗号化のための KMS 統合の概要」をご参照ください。