翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EBS 暗号化
<a name="ebs-encryption"></a>

Amazon EBS 暗号化は、Amazon EC2 インスタンスに関連付けられた EBS リソースの簡単な暗号化ソリューションとして使用できます。Amazon EBS 暗号化では、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたボリュームとスナップショットを作成するときに、 AWS KMS keys を使用します。

暗号化オペレーションは EC2 インスタンスをホストするサーバー上で実行され、インスタンスとそれに接続された EBS ストレージ間でのデータの保存と転送中のデータの両方のセキュリティを保証します。

1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。すべての Amazon EC2 インスタンスタイプは Amazon EBS 暗号化をサポートしています。

**Topics**
+ [Amazon EBS 暗号化の仕組み](how-ebs-encryption-works.md)
+ [Amazon EBS 暗号化の要件](ebs-encryption-requirements.md)
+ [デフォルトで Amazon EBS の暗号化を有効化](encryption-by-default.md)
+ [EBS リソースの暗号化](#encryption-parameters)
+ [Amazon EBS 暗号化に使用される AWS KMS キーのローテーション](kms-key-rotation.md)
+ [Amazon EBS 暗号化の例](encryption-examples.md)

## EBS リソースの暗号化
<a name="encryption-parameters"></a>

EBS ボリュームを暗号化するには、[デフォルトでの暗号化](encryption-by-default.md)を使用するか、暗号化するボリュームを作成するときに暗号化を有効にします。

ボリュームを暗号化する場合、ボリュームの暗号化に使用する対称暗号化 KMS キーを指定できます。KMS キー が指定されていない場合、暗号化に使用される KMS キー はソーススナップショットの暗号化状態とその所有権によって異なります。詳細については、[暗号化結果の表](encryption-examples.md#ebs-volume-encryption-outcomes)を参照してください。

**注記**  
API または を使用して KMS キー AWS CLI を指定する場合は、 が KMS キーを非同期的に AWS 認証することに注意してください。無効な KMS キー ID、エイリアス、または ARN を指定すると、アクションは完了したように見える場合がありますが、最終的には失敗します。

既存のスナップショットまたはボリュームに関連付けられている KMS キー を変更することはできません。ただし、スナップショットコピーオペレーション中に別の KMS キー を関連付けて、コピーしたスナップショットを新しい KMS キー で暗号化できます。

### 作成時の空のボリュームの暗号化
<a name="new-encrypted-volumes"></a>

新しい空の EBS ボリュームを作成するときは、特定のボリューム作成オペレーションで暗号化を有効にすることで暗号化できます。デフォルトで EBS 暗号化を有効にしたボリュームでは、EBS 暗号化用のデフォルト KMS キー を使用した暗号化が、自動的に実行されます。または、ボリュームの作成オペレーションごとに異なる対称暗号化 KMS キーを指定することもできます。ボリュームは最初に使用可能になった時点で暗号化されているため、データは常に保護されています。詳細な手順については、[Amazon EBS ボリュームの作成](ebs-creating-volume.md)を参照してください。

デフォルトでは、ボリュームの作成時に選択した KMS キー が、ボリュームから作成したスナップショットとそれらの暗号化されたスナップショットから復元したボリュームを暗号化します。暗号化されたボリュームまたはスナップショットから暗号化を削除することはできません。つまり、暗号化されたスナップショット、または暗号化されたスナップショットのコピーから復元されたボリュームは、常に暗号化されます。

暗号化されたボリュームのパブリックスナップショットはサポートされていませんが、暗号化されたスナップショットを特定のアカウントと共有できます。詳細な手順については、[Amazon EBS スナップショットを他の AWS アカウントと共有する](ebs-modifying-snapshot-permissions.md)を参照してください。

### 暗号化されていないリソースの暗号化
<a name="encrypt-unencrypted"></a>

暗号化されていない既存のボリュームまたはスナップショットを直接暗号化することはできません。

暗号化されていないボリュームを暗号化するには、そのボリュームのスナップショットを作成し、そのスナップショットを使用して新しい暗号化されたボリュームを作成します。詳細については、「[スナップショットの作成](ebs-create-snapshot.md)」および「[ボリュームの作成](ebs-creating-volume.md)」を参照してください。

暗号化されていないスナップショットを暗号化するには、そのスナップショットの暗号化されたコピーを作成します。詳細については、「[スナップショットをコピーする](ebs-copy-snapshot.md)」を参照してください。

アカウントでデフォルトで暗号化を有効にすると、暗号化されていないスナップショットから作成されたボリュームとスナップショットコピーは常に暗号化されます。それ以外の場合は、リクエストで暗号化パラメータを指定する必要があります。詳細については、「[デフォルトで暗号化の有効化](encryption-by-default.md)」を参照してください。