TDE 用の KMS キーを作成する
Transparent Data Encryption を有効にするために、Master Key として AWS KMS キーを提供する必要があります。
新しいキーを作成するか、既存のキーを使用して、IAM ユーザーまたはロールにキーへのアクセス権を付与することができます。
- クラスターのデプロイ時にインスタンスプロファイルベースの認証を選択した場合、データクレデンシャルで参照される IAM ロールにキーアクセスを付与する必要があります。
- クラスターのデプロイ時にアシュームドロールベースの認証を選択した場合、使用したい IAM ロールにキーアクセスを付与し、このロールとデータクレデンシャルで参照されるロールとの間に�信頼関係を構成する必要があります。
詳細については、Authenticate to AWS resources を参照してください。
KMS キーを作成する
AWS KMS キーを作成するには、次の手順に従います。
-
管理者権限を持つユーザーとして AWS KMS コンソール にサインインします。
-
ページの右上隅で、AWS リージョンを選択します。
-
Key Management Service ページで、Create a key をクリックします。
-
Step 1 - Configure key で、Key type として Symmetric を選択し、Key usage として Encrypt and decrypt を選択します。
-
(オプション)キーのセキュリティを向上させるために、Advanced options の Regionality セクションで Multi-Region key を選択することをお勧めします。マルチリージョンキーは異なるリージョンにレプリケートされるため、現在のリージョンのキーが失われた場合でもクラスター データにアクセスできます。
-
Next をクリックします。
-
Step 2 - add labels で、Alias フィールドにキーのエイリアスを入力し、Next をクリックします。
-
Step 3 - Define key administrative permissions で、すべての設定をデフォルトのままにして、再度 Next をクリックします。
-
Step 4 - Define key usage permissions で、このキーを暗号操作で使用する権限を持つ IAM ユーザーまたはロールを検索して選択します。
-
Next をクリックします。Step 5 - Edit key policy で、すべての設定をデフォルトのままにして、再度 Next をクリックします。
-
Step 6 - Review で、設定を確認し、Finish をクリックしてキーを作成します。
-
作成後にキーをクリックします。キー詳細ページの General configuration セクションでキー ARN をコピーし、クラスターのデプロイ時に TDE を有効にするために保存します。
既存の KMS キーへのアクセスを IAM ユーザーまたはロールに付与する
既存の KMS キーを再利用したい場合、このキーを暗号操作で使用する権限を持つ IAM ユーザーまたはロールにアクセスを付与する必要があります。
GUI を介して IAM ユーザーまたはロールを追加するには、次の手順に従います。
-
管理者権限を持つユーザーとして AWS KMS コンソール にサインインします。
-
ページの右上隅で、AWS リージョンを選択します。
-
使用したいキーをクリックします。Key policy タブの Key users セクションで、Add をクリックして IAM ユーザーまたはロールを追加します。
-
キー詳細ページの General configuration セクションでキー ARN をコピーし、クラスターのデプロイ時に TDE を有効にするために保存します。
権限ポリシーを使用してアクセスを付与することもできます。以下はポリシーの例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "<YOUR_KMS_KEY_ARN>"
}
]
}
例の <YOUR_KMS_KEY_ARN> を使用したい KMS キーの ARN に置き換える必要があります。