データ(多くの場合「保存されたデータ」)の暗号化は、大切な情報を守る方法として重要です。本日より、MySQL、PostgreSQL、Oracleデータベースが動作するAmazon Relational Database Service(RDS)データベースインスタンスの保存データの暗号化をより簡単にします。
これまで、保存されたデータの暗号化は下記が利用できました。
- RDS for Oracle Database - AWSが鍵を管理するOracle Enterprise Edition (EE)
- RDS for SQL Server - AWSが鍵を管理する SQL Server Enterprise Edition(EE)
今回追加になった機能は下記になります。
- RDS for MySQL - AWS Key Management Service(KMS)を利用し、お客様が鍵を管理
- RDS for PostgreSQL - AWS Key Management Service(KMS)を利用し、お客様が鍵を管理
- RDS for Oracle Database - AWS CloudHSMを利用し、お客様が鍵を管理するOracle Enterprise Edition
上記のデータベースエンジンと鍵管理の機能において、RDSのストレージならびにデーターベーススナップショットの暗号化(AES-256)と復号化は、自動的かつ透過的に行われます。お客様は、これまでの運用方法やアプリケーションの変更なしに、この重要なデータを守る機能を利用することができます。
これら3つの機能の詳細を見ていきたいと思います!
お客様が鍵を管理するMySQL、PostgreSQL
昨年のAWS re:InventでAWS Key Management Serviceをリリースしました。私は、その時、シームレスな鍵管理とお客様の暗号鍵の集中管理が可能と書きました。エンタープライズレベルの規模で、鍵の作成、鍵のローテーション、利用ポリシーの適用、鍵の利用状況の監査といった、暗号鍵の管理の仕組み構築が可能です(詳細は、AWS Key Management Serviceのホームページを確認してください)。
MySQLかPostgreSQLのRDSインスタンスにおいて、お客様は、新しいデータベースインスタンスを作成するときに、お客様が管理する鍵の機能を使うかどうかを選択できます。「Enable Encryption」を選択し、デフォルトの鍵(AWSが管理する鍵)か、お客様が鍵管理をするKMSを使うかをドロップダウンリストで選択します。
これだけの操作で、MySQLかPostgreSQLデータベースインスタンスでのお客様が管理する暗号化を開始できます。その他の情報は、「Encypting RDS Resource」のドキュメントにあります。
お客様が鍵を管理するOracleデータベース
AWS CloudHSMは、暗号化における厳しいコンプライアンス要件への対応と、AWSクラウドの中に設置するお客様占有のハードウェアセキュリティモジュール(HSM)での暗号鍵の保管するサービスです。
CloudHSMは、Amazon RDS for Oracle Databaseに対応しています。Oracle Transparent Data Encryption(TDE)を利用したRDSデータベースインスタンスの暗号化の際、CloudHSMの中にある暗号化鍵を唯一かつ排他的に維持することができます。
お客様は、RDSや他のアプリケーションからの利用を確実にするため、新しいCloudHSMのコマンドラインツールを使うことで、1つのHSMではなくHSMアプライアンスのグループを設定することができます。例えば、コマンドラインツールを使うことで、あるHSMの鍵を他のHSMへクローンを作成することができます。
CloudHSMと組み合わしたOracle TDEを使用する方法を学ぶためには、新しいガイドである「Using AWS CloudHSM with Amazon RDS」を参照してください。
本日から使えます
これらの機能はすでに提供されており、本日から利用開始できます。
— Jeff; (翻訳:瀧澤与一)