NSX Advanced Load Balancer は、Amazon Machine Image (AMI) を暗号化する AWS SSE-KMS を使用して、EBS および S3 暗号化をサポートします。このセクションでは、EBS ボリュームを暗号化するためのソリューションとして提供されている Amazon EBS 暗号化について説明します。
EBS ボリュームを暗号化し、サポートされているインスタンス タイプに接続すると、ボリューム内のデータ、ボリュームとインスタンス間の移動データ、ボリュームから作成されるすべてのスナップショット、およびそれらのスナップショットから作成されるすべてのボリュームが暗号化されます。
Amazon S3 データセンター内の保存データは、AWS KMS を使用して保護することができます。サーバ側の暗号化は、AMS KMS の使用方法の 1 つであり、カスタマー マスター キーを使用してデータを保護することができます。
サービス側の暗号化には、次の 3 つのモードがあります。
SSE-S3:Amazon S3 でデータ キーとマスター暗号化キーを管理します。
SSE-C:ユーザーが暗号化キーを管理します。
SSE-KMS:AWS でデータ キーを管理し、ユーザーが AWS KMS でマスター キーを管理します。AWS KMS の完全な情報については、「Amazon Simple Storage Service (Amazon S3) で AWS KMS を使用する方法」を参照してください。
NSX Advanced Load Balancer は、Amazon Machine Image (AMI) を暗号化する AWS SSE-KMS を使用して、EBS および S3 暗号化をサポートします。AMI の詳細については、Amazon Machine Images (AMI)を参照してください。
AWS クラウドに NSX Advanced Load Balancer Controller インスタンスを展開すると、Amazon Machine Image (AMI) が生成され、アカウント内の Amazon Simple Storage Service (S3) バケットにアップロードされます。このコントローラ AMI は、必要に応じてサービス エンジンを展開するために使用されます。
暗号化を有効にすると、コントローラと SE の両方の AMI が暗号化されます。すでに説明したように、この暗号化は EBS ボリュームと S3 バケットに対して行われます。暗号化を有効にしても、既存の SE は動的に更新されず、新しく起動した SE にのみ暗号化が適用されます。
NSX Advanced Load Balancer での AWS 暗号化の構成の詳細については、「NSX ALB CLI を使用した NSX Advanced Load Balancer での EBS 暗号化の有効化」を参照してください。