すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:概要

    ドキュメントセンター

    Elastic Compute Service:概要

    最終更新日:Apr 18, 2024

    ディスク暗号化機能は、Elastic Compute Service (ECS) インスタンスに接続されたディスクに保存されているオペレーティングシステムデータを自動的に暗号化します。 暗号化は、ECSインスタンスが存在するホストに実装されます。 キー管理インフラストラクチャを確立または保守する必要はありません。 ディスク暗号化機能を有効にするには、個別のデータディスクを作成するとき、またはECSインスタンスを作成するときにシステムディスクを追加するときに、暗号化オプションを選択します。 ディスク暗号化機能を使用すると、データのプライバシーと自律性を保護し、データのセキュリティ境界を提供します。

    概要

    ディスクは、業界標準のAdvanced Encryption standard-256 (AES-256) 暗号化アルゴリズムとKey Management Service (KMS) を使用して暗号化されます。 ディスク暗号化機能を有効にすると、データはECSインスタンスからディスクに送信されるときに自動的に暗号化され、ディスクからデータが読み取られるときに自動的に復号化されます。 ディスクの暗号化と復号化は、ECSインスタンスが存在するホストで実行されます。 暗号化不可能なディスクは暗号化可能なディスクよりも優れていますが、ディスク暗号化機能はECSインスタンスのパフォーマンスに与える影響は最小限です。 ディスクの暗号化機能によるディスクのパフォーマンス低下は、上位層のアプリケーションによって異なります。

    次のディスクを暗号化できます。

    • システムディスク

      暗号化されたシステムディスクがアタッチされたECSインスタンスを作成すると、インスタンスのオペレーティングシステムのデータは自動的に暗号化されます。 データは、読み取り時に自動的に復号されます。

    • データディスク

      暗号化されたディスクを作成し、そのディスクをデータディスクとしてECSインスタンスにアタッチすると、次の種類のデータが自動的に暗号化されます。 データは、読み取り時に自動的に復号されます。

      • 暗号化されたディスクに保存されている保存データ。

      • 暗号化されたディスクとECSインスタンス間で送信されるデータ (インスタンスオペレーティングシステムのデータを除く) 。

      • ECSインスタンスからバックエンドストレージクラスターに送信されるデータ。

      • 暗号化されたディスクから作成されたすべてのスナップショット。 スナップショットでは、ディスクと同じ暗号化キーが使用されます。

      • 暗号化されたスナップショットから作成されたすべてのディスク。

    暗号化キー

    デフォルトでは、ディスク暗号化機能はサービスキーを使用してデータを暗号化します。 顧客マスターキー (CMK) を作成してデータを暗号化することもできます。 各ディスクに保存されているデータを暗号化するには、CMK、データキー (DK) 、およびエンベロープ暗号化メカニズムを使用する必要があります。 エンベロープ暗号化メカニズムでは、CMKは、KMSによって提供されるキー管理インフラストラクチャによって強力な論理的および物理的セキュリティ保護下に置かれます。 Alibaba Cloudサービスは、CMKを使用してDKを生成し、ビジネスデータを暗号化したり、DKの暗号文を復号してビジネスデータを復号したりする権限を持つ必要があります。 DKのプレーンテキストは、ECSインスタンスが存在するホストのメモリでのみ使用されます。 つまり、DK が平文で永続ストレージ媒体に保存されることはありません。

    詳細については、「キー管理の概要」をご参照ください。

    次の表に、ディスクの暗号化に使用できるキーの種類を示します。

    データ型

    説明

    ソース

    シナリオ

    デフォルトキー、次の図に示すキー ①

    KMSをアクティブ化し、そのリージョンで初めてディスク暗号化機能を使用するときに、そのリージョンのECS用にKMSによって作成される専用CMK。 CMK のエイリアスは acs/ecs です。 デフォルトキーは削除または無効にできません。

    KMSによって提供されるデフォルトキー。 デフォルトキーは、サービスキーまたはCMKです。 サービスキーは、Alibaba Cloudサービスによって作成および管理されます。 CMKタイプのデフォルトキーを作成および管理できます。

    サービスキーを使用して、便利で効率的な方法でディスクを暗号化できます。 詳細については、「キー管理の概要」をご参照ください。

    CMK, 次の図に示すキー ②

    作成する暗号化キー。 CMKを作成、回転、および無効にするための完全なアクセス許可があり、CMKに対するアクセス制御を定義します。

    CMKを使用して、ディスクを柔軟に暗号化し、キーの数を増やすことができます。 詳細については、「キー管理の概要」をご参照ください。

    image.png

    課金

    ディスク暗号化機能は、暗号化にKMSを使用します。 KMSは、KMSインスタンスを購入することなく使用できる無料のデフォルトキーを提供します。 CMKの数を増やしたり、Secrets Managerを使用したり、自己管理アプリケーション用のアプリケーション層暗号ソリューションを構築したりする場合は、ソフトウェアキー管理タイプまたはハードウェアキー管理タイプのKMSインスタンスを購入する必要があります。 KMSインスタンスの購入方法については、「KMSインスタンスの購入と有効化」をご参照ください。 KMSの課金については、「課金」をご参照ください。

    説明

    以前のバージョンのKMSを使用している場合、KMSを使用してディスクを暗号化した場合に課金されます。これには、キーの管理料金やAPI操作の呼び出し料金が含まれます。 詳細については、「KMSの課金」をご参照ください。

    制限事項

    システムディスクおよびデータディスクのディスク暗号化機能の制限については、「システムディスクの暗号化」および「データディスクの暗号化」をご参照ください。

    説明

    ローカルディスクは暗号化できません。