はじめに
EC2を暗号化する機会があったので対応方法について書いておきます。
構築時に暗号化する場合
構築時にEBSの「暗号化」にチェックを入れて、
KMSキーを選択して(ない場合はデフォルト)作成するだけ。
既に稼働中のEC2を暗号化する場合
残念ながら既に存在するEC2を後から暗号化することは不可能。
そのため、暗号化されたAMIを使用してEC2を再作成する必要があります。
設定方法
(1)該当のEC2のAMIを取得
(2)取得したAMIをコピーし、コピーする際にEBSの暗号化にチェックを入れる。
(KMSキーを用意していない場合は、デフォルトのものを使用する)
↓コピーしたAMIのsnapshotが暗号化されている
(3)コピーしたAMI(暗号化済み)からEC2を起動する
↓暗号化されている
ちなみに、このAMIを使用すればAutoScalingでEC2を立ち上げるときも
暗号化されたインスタンスが立ち上がります。
↓上記のAMIを使用したAutoScalingのEC2
↓同じく暗号化されている
注意点
KMSキーをデフォルトのものを使用している場合、AMIを他アカウントに共有できません。
↓エラーになる
参照↓
https://aws.amazon.com/jp/premiumsupport/knowledge-center/share-encrypted-rds-snapshot-kms-key/
終わりに
他にもEBSをコピーして、コピーする際に暗号化して、EBSを付け替えるやり方もあるみたいなので次回はそれを試してみたいと思います。