AMI またはスナップショットに関する暗号化情報を確認する方法を教えてください。

解決策

注:

• AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
• JSON は AWS CLI のデフォルト出力です。既定の形式を使用することも、別の出力形式を選択することもできます。詳細については、「AWS CLI での出力形式を設定する」を参照してください。

AWS CLI

AWS CLI を使用して暗号化情報を確認するには、次のステップを実行します。

1. AMI に関連付けられているスナップショットを表示するには、BlockDeviceMappings クエリフィルタを指定して describe-images コマンドを実行します。

   aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
   [    
       [{
           "DeviceName": "/dev/xvda",
           "Ebs": {
               "DeleteOnTermination": true,
               "SnapshotId": "snap-#########",
               "VolumeSize": 8,
               "VolumeType": "gp2",
               "Encrypted": true
           }
       }]
   ]

   注: お使いの AMI 用のものでそれぞれ、image-ids と region を イメージ ID と AWS リージョンに置き換えます。

   上記の出力例は、AMI に関連付けられているスナップショットを示しています。スナップショットの Encrypted パラメータは true に設定されています。

2. describe-snapshots コマンドを実行します。describe-images コマンドの出力にリストされているスナップショットの snapshot-id を使用してください。

   aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
   {    "Snapshots": [{
           "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
           "Encrypted": true,
           "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
           "OwnerId": "111122223333",
           "Progress": "100%",
           "SnapshotId": "snap-##########",
           "StartTime": "2020-01-21T13:05:53.887Z",
           "State": "completed",
           "VolumeId": "vol-ffffffff",
           "VolumeSize": 8
       }]
   }

   コマンド出力から、KMSKeyId をコピーします。

3. キーが AWS KMS キーかカスタマーマネージドキーかを判断するには、describe-key コマンドを実行します。

   aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
   {    "KeyMetadata": {
           "AWSAccountId": "92#########",
           "KeyId": "dcd4d062-#########-#########",
           "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
           "CreationDate": 1579611763.538,
           "Enabled": true,
           "Description": "02-example-CMK",
           "KeyUsage": "ENCRYPT_DECRYPT",
           "KeyState": "Enabled",
           "Origin": "AWS_KMS",
           "KeyManager": "CUSTOMER",
           "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
           "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
       }
   }

   注: key-id を describe-snapshot コマンドのリストにある KMSKeyId に置き換えます。region をスナップショットのリージョンに置き換えます。
   上記の出力例では、KeyManager パラメータは Customer です。キーはカスタマーマネージドキーです。AWS KMS キーの場合、KeyManager パラメータは AWS です。

Amazon EC2 コンソール

Amazon Elastic Compute Cloud (Amazon EC2) コンソールを使用して暗号化情報を確認するには、次の手順を実行します。

1. Amazon EC2 コンソールを開きます。
2. ナビゲーションペインで [AMIs] を選択します。
3. フィルタと検索オプションを使用して、表示される AMI のリストを条件に一致する AMI のみに制限します。
4. [ユーザー設定] アイコンを選択し、ルートデバイスタイプなど、表示するイメージ属性を選択します。または、リストから AMI を選択し、そのプロパティを [詳細] タブに表示することもできます。
5. [ストレージプロパティ] タブを選択します。
6. スナップショットを選択し、[説明] タブで [暗号化] が [暗号化]、[暗号化なし] のどちらに設定されているかを確認します。スナップショットが暗号化されている場合は、KMS キー ID と KMS キー のARN を書き留めておきます。
7. AWS KMS コンソールを開きます。
8. AWS マネージドキーを選択し、KMS キー ID を入力します。結果が表示されない場合は、[カスタマーマネージドキー] を選択し、KMS キー ID を入力します。

注: AWS マネージドキーで暗号化された AMI は共有できません。詳細については、「スナップショットを共有する前に」を参照してください。

関連情報

AWS KMS の概念