フォーム読み込み中
【2025年6月実施】暗号化されたECSイメージ共有のルール変更の概要と対策
クラウドエンジニア
佐藤 慎悟
2024年よりクラウドエンジニアとして従事。
AlibabaCloudやクラウド関連の技術情報を発信していきます。
2025年2月27日掲載
ご覧いただきありがとうございます。クラウドエンジニアの佐藤です。
Alibaba CloudのECSのイメージ共有において、暗号化されたECSイメージ共有時のルール変更がアナウンスされました。
本記事では、具体的にどのような変更が行われたのか、ユーザにどのような影響があるのかについて詳しく紹介します。
今回のアナウンスでは、2025年6月以降に暗号化されたECSイメージ共有時のルールが変更になりました。今までのルールは暗号化時にサービスキーまたはカスタマーマスターキー (CMK)どちらでも可能でしたが、2025年6月以降にサービスキーを使用して暗号化されている場合、共有中にエラーが報告されるようになります。
2025年6月から本ルール変更は実施されますので、中国(北京、上海、香港)、シンガポールリージョンで暗号化されたECSイメージ共有をご利用される方は、本記事で解説する対処法を実施してください。
ECSイメージ共有とは
Elastic Compute Service (ECS) イメージというのは、仮想サーバーの「スナップショット」や「テンプレート」のようなものです。具体的には、仮想サーバーにインストールされているオペレーティングシステム(OS)、ソフトウェア、設定などをすべて含んだファイルです。作成されたECSイメージは、他のAlibaba Cloudアカウントまたは組織内でカスタムイメージを共有できます。これをECSイメージ共有といいます。共有者は共有イメージを使用して、同一のECSインスタンスを作成できます。
ECSイメージ暗号化について
ECSイメージではイメージ作成時に暗号化もしくは暗号化されたECSでイメージを作成すると、暗号化されたECSイメージを作成できます。ECSイメージは主に既存のECSと同じECSを作成する際や、別のアカウントで既存のECSと同じ設定で作成する際に役立ちますが、ECSイメージを暗号化することによって以下のようなメリットが考えられます。
コピー時の保護:ECSイメージを他のアカウントやリージョンにコピーする際、暗号化されたデータは安全に転送され、コピー中のデータの安全性が保証されます。
安全なスナップショットとバックアップ:ECSイメージはスナップショットとして管理されることが多いです。暗号化されたスナップショットは、データの保存中および転送中に安全性を確保し、信頼性の高いバックアップとなります。
セキュリティの高いインスタンス展開:暗号化されたECSイメージを使って新しいインスタンスをデプロイすることで、作成されるすべてのインスタンスがセキュリティの高い状態でスタートします。
暗号化の詳細に関しては、Key Management Service(KMS)を使用してAES-256に基づいて暗号化します。KMSはダブルキー設計とエンベロープ暗号化メカニズムを使用し、カスタマーマスターキー(CMK)とデータキー(DK)を用いてデータを暗号化・復号します。DKはCMKで暗号化され、暗号化されたDKは安全に保存されます。データが読み取られる際には、KMSがDKを復号し、メモリ内でデータの復号が行われます。
暗号化されたECSイメージについて共有する場合には、共有できるリージョンに制限があります。
| ECSイメージ共有 | 中国(北京、上海、香港) シンガポール | 左記以外のリージョン |
|---|---|---|
暗号化なし | 〇 | 〇 |
暗号化あり | 〇 | ✕ |
イメージ共有ルールの変更点
今回のアナウンスでは、2025年6月以降に暗号化されたECSイメージ共有時のルールが変更になりました。今までのルールは暗号化時にサービスキーまたはカスタマーマスターキー (CMK)どちらでも可能でしたが、2025年6月以降にサービスキーを使用して暗号化されている場合、共有中にエラーが報告されるようになります。
変更前のルール
共有用に指定する暗号化イメージは、サービス キーまたはカスタマー マスター キー (CMK) で暗号化されたイメージにすることができます。
変更後のルール
共有用に指定された暗号化イメージは、カスタマーマスターキー (CMK) で暗号化されたイメージのみをサポートします。暗号化イメージがサービスキーを使用して暗号化されている場合、共有中にエラーが報告されます。
2025年6月以前 | 2025年6月以降 | ||
|---|---|---|---|
暗号化キー | サービスキー | 〇 | ✕ ※エラーとなる |
CMK | 〇 | 〇 | |
CMKの作成方法は公式ドキュメント:CMK を作成する を参照してください。
ルール変更に伴うユーザー影響
今回のルール変更により中国(北京、上海、香港)、シンガポールリージョンで暗号化されたECSイメージ共有を使用される方は、注意が必要となります。
具体的には、既にサービスキーで暗号化されたECSイメージの場合と暗号化されていないECSイメージをこれから暗号化する場合でそれぞれ手順が異なりますのでシナリオ別にご紹介します。※CMKを事前に作成してください。
また、先述の通り日本リージョンでは、ECSイメージを暗号化することはできますが、暗号化されたECSイメージの共有はできない点にもご注意ください。
①既にサービスキーで暗号化されたECSイメージを作成済みの場合
既にサービスキーで暗号化されたイメージがあり、2025年6月以降に他のユーザーと共有する可能性がある場合は、下記手順を参考に作成済みのECSイメージをコピーしてキーをカスタマーマスターキー (CMK) に変更してください。
手順
- ECSイメージからサービスキーで暗号化されたイメージを選択
2. 該当のイメージをコピーで新たにイメージを作成
3. 暗号化キーを選択する際に、サービスキーではなく自作したCMKを選択しコピーを作成
4. イメージのコピー作成完了後、ECSイメージが作成できていることを確認
②暗号化されていない作成済みのECSイメージをOOSを用いて一括で暗号化する場合
暗号化されていない作成済みのECSイメージに対して、暗号化して共有する場合には、CloudOps Orchestration Service (OOS)を用いてCMKで一括で暗号化することができます。
手順
OOSパブリックテンプレートからACS-ECS-BulkyEncryptSystemDiskを選択
2. ACS-ECS-BulkyEncryptSystemDiskのテンプレート画面から実行作成
3. タスクの作成画面からパラメータ設定に遷移
4. 対象のインスタンスを選択し、KMSKeyIdにCMKで作成したキーIDを選択し作成
5. タスク実行完了したら、ECSイメージが作成されていることを確認
さいごに
本記事では、暗号化されたECSのイメージ共有ルールの変更について紹介しました。2025年6月から本ルール変更は実施されますので、中国(北京、上海、香港)、シンガポールリージョンで暗号化されたECSイメージ共有をご利用される方は、ぜひ参考にしてみてください。
関連サービス
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
