Amazon RDS DB インスタンスと DB スナップショットで使用される暗号化キーを変更するにはどうすればよいですか?

解決方法

Amazon RDS DB インスタンスで使用される暗号化キーを変更することはできません。ただし、RDS DB インスタンスのコピーを作成し、そのコピー用に新しい暗号化キーを選択することはできます。

注:ログに記録されていないテーブルのデータは、スナップショットを使用して復元できない場合があります。詳細については、「PostgreSQL を使用する際のベストプラクティス」をご参照ください。

新しい暗号化キーを持つ RDS DB インスタンスのコピーを作成するには、以下のステップを実行します。

1. Amazon RDS コンソールを開きます。
2. ナビゲーションペインで、[Databases] (データベース) を選択します。
3. 手動スナップショットを作成する DB インスタンスを選択します。
4. DB インスタンスの手動スナップショットを作成します。
5. ナビゲーションペインで、[Snapshots] (スナップショット) を選択します。
6. 作成した手動スナップショットを選択します。
7. [Actions] (アクション) を選択してから、[Copy Snapshot] (スナップショットをコピー) を選択します。
8. [Encryption] (暗号化) で [Enable Encryption] (暗号化を有効にする) を選択します。
9. [AWS KMS Key] (AWS KMS キー) には、使用したい新しい暗号化キーを選択します。
10. [Copy snapshot] (スナップショットをコピー) を選択します。
11. コピーしたスナップショットを復元します。

新しい RDS DB インスタンスでは新しい暗号化キーを使用します。

新しいデータベースに必要なすべてのデータがあることと、アプリケーションが新しいデータベースを使用していることを確認してください。古い RDS DB インスタンスが不要になった場合は、インスタンスを削除できます。

関連情報

Amazon RDS リソースの暗号化

Amazon RDS DB インスタンスのバックアップと復元