EC2 スポットフリートリクエストのアタッチされた EBS ボリュームの暗号化設定手順
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、EC2 スポットフリートリクエストのアタッチされた EBS ボリュームの暗号化について、リスクと対策を解説します。
ポリシーの説明
EC2スポットフリートリクエストは、大規模な計算処理やバッチ処理において、コスト効率的にEC2インスタンスを利用するための重要な機能です。スポット価格に基づいて、複数のアベイラビリティーゾーンやインスタンスタイプから最適なインスタンスを自動的に起動します。
しかし、これらのインスタンスにアタッチされるEBSボリュームが暗号化されていない場合、データの機密性と完全性が保護されず、深刻なセキュリティリスクが発生します。特に、スポットインスタンスは一時的な性質を持つため、適切なデータ保護対策がより重要となります。
スポットフリートリクエストで起動される全てのインスタンスにアタッチされるEBSボリュームを暗号化することで、保存されるデータを不正アクセスから保護し、コンプライアンス要件を満たすことができます。暗号化は、AWS Key Management Service (KMS) を使用して透過的に実行され、パフォーマンスへの影響は最小限です。
修復方法
前提条件
修復を開始する前に、以下の前提条件を確認してください:
必要な権限:
ec2:CreateLaunchTemplateec2:RequestSpotFleetkms:CreateKey(カスタムKMSキーを使用する場合)kms:DescribeKeyiam:PassRole(スポットフリートロール用)
コンソールでの修復手順
AWSのコンソールを使用して、スポットフリートリクエストでEBSボリュームの暗号化を有効にします。
- EC2コンソールにアクセス
- AWSマネジメントコンソールにログインし、EC2サービスを選択します
- Launch Templateの作成(推奨方法)
- 左側のナビゲーションペインで「起動テンプレート」を選択
- 「起動テンプレートを作成」をクリック
- ストレージ設定での暗号化有効化
- 「ストレージ (ボリューム)」セクションで「新しいボリュームを追加」
- 各EBSボリュームに対して以下を設定:
- ボリュームタイプを選択(gp3、io2等)サイズを指定
- 「暗号化済み」にチェックを入れる
- KMSキーを選択(デフォルト: aws/ebs、またはカスタムキー)
- スポットフリートリクエストの作成
- EC2コンソールで「スポットリクエスト」→「スポットフリートをリクエスト」を選択
- 「起動テンプレート」オプションを選択
- 作成したLaunch Templateを選択
- その他の設定(ターゲット容量、価格戦略等)を完了
- 既存のスポットフリートの確認
- 「スポットリクエスト」セクションで既存のフリートを確認
- 各フリートの「起動仕様」タブで暗号化設定を確認
Terraformでの修復手順
Terraformを使用してスポットフリートリクエストのEBSボリューム暗号化を設定するTerraformコードのサンプルです。
ebs.encrypted を true にし、必要に応じてKMS Keyを指定すればよいです。
# Launch Templateの作成(暗号化設定付き)
resource "aws_launch_template" "spot_fleet_encrypted" {
>>> Skip
# EBSボリュームの暗号化設定
block_device_mappings {
device_name = "/dev/xvda"
ebs {
volume_size = 30
volume_type = "gp3"
delete_on_termination = true
encrypted = true # 暗号化を有効化
kms_key_id = aws_kms_key.ebs_encryption.arn # カスタムKMSキーの使用
}
}
# 追加のEBSボリューム(データボリューム)も暗号化
block_device_mappings {
device_name = "/dev/sdf"
ebs {
volume_size = 100
volume_type = "gp3"
delete_on_termination = true
encrypted = true
kms_key_id = aws_kms_key.ebs_encryption.arn
}
}
}
# KMSキーの作成(オプション:カスタムキーを使用する場合)
resource "aws_kms_key" "ebs_encryption" {
description = "KMS key for Spot Fleet EBS volume encryption"
deletion_window_in_days = 10
enable_key_rotation = true
# キーポリシー
policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Sid = "Enable IAM User Permissions"
Effect = "Allow"
Principal = {
AWS = "arn:aws:iam::${data.aws_caller_identity.current.account_id}:root"
}
Action = "kms:*"
Resource = "*"
},
{
Sid = "Allow use of the key for EBS"
Effect = "Allow"
Principal = {
Service = "ec2.amazonaws.com"
}
Action = [
"kms:Decrypt",
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:DescribeKey"
]
Resource = "*"
Condition = {
StringEquals = {
"kms:ViaService" = "ec2.${data.aws_region.current.name}.amazonaws.com"
}
}
}
]
})
tags = {
Name = "spot-fleet-ebs-encryption"
Environment = var.environment
Purpose = "EBS Volume Encryption"
}
}
resource "aws_kms_alias" "ebs_encryption" {
name = "alias/spot-fleet-ebs"
target_key_id = aws_kms_key.ebs_encryption.key_id
}
最後に
この記事では、EC2 スポットフリートリクエストのアタッチされた EBS ボリュームの暗号化について、リスクと対策を解説しました。
スポットフリートを利用する際は、コスト最適化だけでなく、セキュリティも考慮することが重要です。 EBSボリュームの暗号化は、データ保護の基本的な要件であり、実装も比較的簡単です。 Launch Templateを使用することで、一貫性のある暗号化設定を維持できます。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
