CIPU ベースのハードウェア暗号化により、パフォーマンスに影響を与えることなく、すべての VPC トラフィックを自動的に暗号化します。
概要
VPC トラフィック暗号化は招待制プレビュー中です。ご利用になる場合は、チケットを提出してください。
VPC トラフィック暗号化は、CIPU ハードウェアオフロードと AES-GCM-256 アルゴリズムを使用して、Elastic Compute Service (ECS) インスタンス間のプライベートネットワークトラフィックを透過的に暗号化および復号化します。Key Management Service (KMS) による一元化されたキーライフサイクル管理により、送信されるデータは、ビジネス側で意識することなく復号化への耐性を持つようになります。パフォーマンスへの影響は、マイクロ秒レベルの差に収まります。
VPC トラフィック暗号化を有効にすると、転送中のすべてのデータが暗号化されます。攻撃者が物理層ハイジャックを通じてデータパケットを傍受したとしても、暗号化アルゴリズムの計算複雑性により、元のコンテンツを解析することはできません。これにより、機密情報の漏洩リスクを防ぎます。
VPC トラフィック暗号化をコンフィデンシャルコンピューティングおよびディスク暗号化と組み合わせることで、エンドツーエンド暗号化を実現できます。
ユースケース
VPC トラフィック暗号化は、厳格なセキュリティ要件とパフォーマンス要件が求められるクラウドシナリオに適しています。以下のような例があります。
-
高頻度金融取引:リアルタイム決済処理および取引では、改ざんや盗聴に対する保護が必要です。VPC トラフィック暗号化は、ネットワークパフォーマンスに影響を与えることなくデータを保護し、金融コンプライアンス要件を満たします。
-
医療健康情報管理:電子医療記録および診断データは、HIPAA などのプライバシー規制に準拠する必要があります。VPC トラフィック暗号化は、医療システムの応答性に影響を与えることなく患者データを保護し、プライバシーコンプライアンスリスクを軽減します。
制限事項
リージョン
VPC トラフィック暗号化は、以下のリージョンおよびゾーンで利用できます。
|
リージョン名 |
リージョン ID |
|
中国 (上海) |
cn-shanghai |
|
香港 (中国) |
cn-hongkong |
インスタンスタイプ
-
特定のインスタンスファミリーでサポートされています:g9ae、c9ae、r9ae、ebmg9ae、ebmc9ae、ebmr9ae。
説明サポートされているインスタンスタイプは招待制プレビュー中です。ご利用になる場合は、チケットを提出してください。
-
VPC トラフィック暗号化はデフォルトで無効になっています。インスタンスの作成時、または作成後に有効または無効にすることができます。
-
サポートされているか確認するには、DescribeInstanceTypes を呼び出します。インスタンスタイプがこの機能をサポートしている場合、NetworkEncryptionSupport は true を返します。
-
インスタンスタイプを変更すると、VPC トラフィック暗号化のサポートに影響する可能性があります。変更を行う前に互換性を確認してください。
暗号化の範囲
-
同じ VPC 内の ECS インスタンス間、またはVPC ピアリング接続を介して接続された同じリージョン内の VPC 間での暗号化をサポートします。
-
トラフィックが暗号化されるのは、両方のインスタンスが暗号化をサポートし、かつ有効にしている場合のみです。いずれかのインスタンスがサポートされていないインスタンスタイプを使用している場合、または暗号化が無効になっている場合、それらの間のトラフィックは暗号化されません。
-
リージョン間の暗号化はサポートされていません。Server Load Balancer (SLB) や NAT Gateway などの他のクラウド製品とのトラフィックの暗号化もサポートされていません。
VPC トラフィック暗号化の有効化または無効化
コンソール
-
インスタンス作成時の有効化または無効化
インスタンス作成ページで、VPC トラフィック暗号化をサポートするリージョンとインスタンスタイプを選択し、トラフィック暗号化を有効または無効にします。

-
既存インスタンスの VPC トラフィック暗号化の変更
ECS インスタンスの詳細ページでトラフィック暗号化を有効または無効にします。
ECS コンソール - インスタンスに移動します。
上部メニューで、対象リソースのリージョンとリソースグループを選択します。
-
VPC トラフィック暗号化をサポートするインスタンスを見つけ、クリックしてインスタンスの詳細ページに移動し、すべての操作で、を選択します。
-
情報の変更ダイアログボックスで、VPC トラフィック暗号化を有効または無効にします。

API
-
RunInstances を呼び出して、VPC トラフィック暗号化が有効または無効なインスタンスを作成します。[NetworkOptions] で [EnableNetworkEncryption] を true または false に設定します。
-
VPC トラフィックの暗号化を変更するには、ModifyInstanceAttribute を呼び出します。EnableNetworkEncryption を true または false に設定します。
-
DescribeInstanceAttribute を呼び出し、VPC トラフィックの暗号化ステータスを照会します。返された[EnableNetworkEncryption]の値は、暗号化が有効かどうかを示します。
サポートされている暗号化の範囲内で、VPC トラフィック暗号化を有効にすると、インスタンス間のすべてのプライベートネットワークトラフィックが強制的に暗号化されます。