【セキュリティ対策】AWS managed key で作成された RDS を Customer managed key に変更

はじめに

パーソル＆サーバーワークスの 梅津 です。

AWSを中心としたクラウドインフラの設計・構築・運用を担当しています。
本ブログは下記の方に向けたブログとなっております。

• Amazon RDS を AWS managed key で暗号化して使用している
• セキュリティ対策として Amazon RDS のバックアップを Business Continuity OU などの別の AWS アカウントに保管したい

本ブログでは、 Amazon RDS のバックアップをマルチアカウントで取得したい場合に必要となる手順の内、 AWS Key Management Service (以下、AWS KMS)におけるキーの変更方法を記載しております。

※ Business Continuity OU については、こちらの AWS の公式ドキュメントをご参照ください

結論

AWS の公式ドキュメント(AWS KMS のキー管理に関するベストプラクティス)にも記載されている通り、 AWS managed key で暗号化されたリソースは他のアカウントと共有することはできないため、バックアップをマルチアカウントで取得するためには、対象のリソースで使用する AWS KMS のキーを Customer managed key に変更する必要があります。
しかし、Amazon RDS 作成後に AWS KMS のキーを変更することはできません。
そこで、スナップショットであればそのスナップショットのコピーを作成する際に AWS KMS のキーは変更できるため、スナップショットのコピーを作成することで AWS KMS キーを Customer managed key に変更します。

変更方法

(1) 事前に Customer managed key を作成しておきます

(2) AWS managed key を使用している Amazon RDS を選択します

(3) 「アクション」から「スナップショットの取得」を選択し、スナップショットを作成します

(4) 「手動スナップショット」で作成したスナップショットを選択します

(5) 「アクション」から「スナップショットをコピー」を選択します

(6) コピー作成画面の「AWS KMS キー」設定にて、事前に作成した Customer managed key を選択してコピーを作成します

(7) Customer managed key を使用して作成したスナップショットを選択します

(8) 「アクション」から「スナップショットを復元」を選択し、 Amazon RDS を作成します

(9) 作成した Amazon RDS において、既存と設定が異なる部分を修正します

(10) AWS managed key を使用している Amazon RDS の識別子を変更します

(11) 新しく作成した Customer managed key を使用する Amazon RDS の識別子を既存と同じに変更します

最後に

以上がアプリケーション側の設定変更は必要とせずに、 Amazon RDS の AWS KMS キーを AWS managed key から Customer managed key に変更する方法となります。
昨今セキュリティ対策が求められている状況のため、バックアップをイミュータブルな環境に確保しておく方針となり、現状で AWS managed key を使用している場合は、本手順をご参考にしていただければ幸いです。

この記事は私が書きました

梅津 純一

記事一覧

一番好きな食べ物は生のねぎです。 元ネットワークエンジニアのAWSエンジニア