EC2の暗号化について②

はじめに

前回の記事(https://qiita.com/chanmuuuu20/items/7f78e1002a53b936f135)
で稼働中のEC2の暗号化の設定方法について書きました。
前回は、EC2のAMIを取り直して新たにEC2を作成するやり方でしたが、
今回は、稼働中のEC2の再作成ではなく、暗号化したEBSに付け替えるやり方でやってみます。

設定方法

基本的な考え方は前回と同じです。
今回はEBSのsnapshotを取得して、取得したsnapshotのコピー時に暗号化、
暗号化されたsnapshotからEBSを復元して、EBSを付け替えるというもの。

（１）対象のEC2の確認
・対象のEBSが暗号化されていないことを確認
・あとでデバイス名が必要になるので確認しておく

（２）該当EBSのsnapshotを取得する

（３）取得したsnapshotをさらにコピーし、コピーする際に暗号化にチェックを入れる


（４）コピーしたsnapshot（暗号化済み）からEBSを作成する

snapshotが暗号化されているため、チェックが入った状態になっている。

（５）暗号化されたEBSが作成される。

（６）EBSを入れ替えるため、EC2から最初のEBSをデタッチする。
（※OS情報とかがあるルートボリュームをデタッチするため停止状態で行う。
というかsnapshotの取得時点で停止した方が安全）

（７）さきほど作成した暗号化されたEBSをアタッチする。

デバイス名のところに（１）で確認したデバイス名を入れる。
（ルートボリュームなので、適当なデバイス名を入れてしまうとEC2が起動しなくなる）

（８）対象のEC2にアタッチされているEBSが暗号化されていることを確認する

注意点

前回同様にKMSキーがデフォルトの場合、アカウントをまたいでのsnapshot共有が
できないことに注意する。

引用