本日、Amazon RDS for MySQL, PostgreSQLにおける、AWS Key Management Service(KMS)を利用したデータベース暗号化をリリースしました。この機能は、RDSのデータベースを暗号化する簡単な方法を求めているお客様の要求にこたえます。
新しいMySQL, PostgreSQLデータベースインスタンスを作成するときに、そのインスタンスを暗号化するかどうかを選択できます。AWS Management Consoleで「Launch DB Instance」をクリックし、4つ目のステップ(Configure Advanced Setting)にある、「Enable Encryption」のドロップダウンリストから選択すると、暗号化をすることができます。なお、暗号化の選択では、お客様のアカウントのデフォルトの暗号化鍵か、お客様が作成したKMSの暗号化鍵を使うかを選択できます。一度、インスタンスを作成すれば、Amazon RDSに特別な操作をせずとも、透過的に暗号化と復号化が行われます。暗号化されたデータベースのストレージは、自動化されたバックアップ、リードレプリカ、スナップショットにも適用されます。暗号化と復号化は、透過的に行われますので、データベースにアクセスするアプリケーションの修正の必要はありません。
下記に、新しいRDSインスタンスを作成する時のAWS Management Consoleでの設定箇所のスクリーンショットを示します。
Amazon RDSの暗号化はAWS CloudTrailに統合されており、KMSの暗号化鍵が、データベースの暗号化と復号化の際、いつ、どのように使われているのかを知ることができます。Volume IDとDatabase Instance IDの両方がログに記録されるので、これらのIDをもとに、AWS CloudTrailのログを検索することができます。
Amazon RDS for MySQL, PostgreSQLの暗号化の詳細に関しては、Amazon RDS ユーザガイドの暗号化概要やAWS KMSデベロッパーガイドのAmazon RDSのセクションを参照してください。
瀧澤