最終更新日 2025年04月22日(火)

この記事では、Private および Shield Space 内の Heroku Postgres​ を暗号化するために AWS Key Management Service (KMS) を使用して顧客管理キー (CMK) を作成する方法について説明します。このプロセスは、大きく分けて 3 つの手順で構成されます。

1. AWS KMS で顧客管理キー (CMK) を作成する
2. その CMK に Identity and Access Management (IAM) ポリシーを適用して、Heroku Data がユーザーの代わりにそのキーを使用できるようにする
3. 暗号化鍵を使用して Postgres データベースを作成する

AWS の前提条件

このセクションの手順は Amazon KMS ダッシュボードから実行します。または、AWS CLI を使用することもできます。

手順 1: 顧客管理キーを作成する

AWS Web コンソールにログインしたら、Key Management Service​ に移動し、Create Key (キーの作成) をクリックします。

手順 2: 対称キーを選択する

キーのタイプに Symmetric (対称)、キーの使用法に Encrypt and decrypt (暗号化と暗号化解除) を選択して、Next (次へ) をクリックします。

バックアップを保存するために S3 を使用しますが、これは対称 CMK のみをサポート​しています。

手順 3: 詳細を追加し、アクセス許可を設定する

heroku-data​ などのエイリアスを追加し、Next (次へ) をクリックします。キーのシステム管理者権限の設定はスキップできます。

キーの使用権限を定義するときは、Heroku Data の AWS アカウント ID 021876802972​ をOther AWS accounts (その他の AWS アカウント) セクションに入力し、Next (次へ) をクリックします。

手順 4: 確認して完了する

キーポリシーを確認し、作成を完了します。CMK の Amazon Resource Name (ARN) をメモしておきます。

手順 5: 自動キーローテーションを有効にする

キーの情報ページに移動して、自動キーローテーションを有効にできます。Automatic key rotation (自動キーローテーション) セクションで Enable (有効化) を選択し、Save (保存) をクリックします。

AWS は人手を介さず毎年自動的にキーのローテーションを処理します。AWS KMS 内に生成される対称キーのこのローテーションでは、データの再暗号化は必要ありません​。AWS KMS は、古いバージョンのキーで暗号化されたデータの暗号化解除に使用される以前のバージョンのキーを管理します。すべての新しい暗号化リクエストでは、新しいバージョンのキーが使用されます。キーのローテーション時に、Heroku Postgres データベースでダウンタイムが発生することはありません。

代替手段: AWS CLI を使用する

AWS CLI を使用して、適切なキーポリシーが設定された顧客管理キー (CMK) を作成できます。

$ export AWS_ACCOUNT_ID=`aws sts get-caller-identity --output text --query 'Account'`
$ export HEROKU_DATA_ACCOUNT_ID=021876802972
$ curl -s -o key-policy.json https://gist.githubusercontent.com/jdowning/8d146cd238de828141e81b458dc546f0/raw/fc2a69603dc1364f1bc2fd2b5beb0af210150444/key-policy.json
$ aws kms create-key --description 'heroku-data' --policy $(envsubst < key-policy.json)

create-key​ コマンドの出力には、プロビジョニング中に必要なキーの ARN が含まれています。これは、後の手順で CMK_ARN​ として参照されます。

CMK に対して自動キーローテーションを有効にすることをお勧めします。

$ aws enable-key-rotation --key-id CMK_ARN

暗号化鍵を使用して Heroku Postgres データベースを作成する

これで、適切なアクセス許可が設定された顧客管理キーが用意できました。このキーを使用して、Heroku Data によって管理されるデータを暗号化できます。CMK の完全な Amazon Resource Name (ARN) が必要です。データベースを作成する場合は --encryption-key​ プロビジョニングフラグを使用できます。

$ heroku addons:create heroku-postgresql:private-7 --encryption-key CMK_ARN --app your-app-name

$ heroku addons:create heroku-postgresql:private-7 --app your-app-name -- --encryption-key CMK_ARN

暗号化鍵を使用して Heroku Postgres データベースを別のデータベースに移行する

既存の Heroku Postgres データベースがある場合は、暗号化鍵を使用してデータを移行することによってフォロワー​データベースを作成できます。

$ heroku addons:create heroku-postgresql:private-7 \
  --follow HEROKU_POSTGRES_LEADER_COLOR \
  --encryption-key CMK_ARN \
  --app your-app-name

フォロワーが作成され、リーダーに追いついたら、そのフォロワーをプロモートできます。

$ heroku maintenance:on
$ heroku pg:promote HEROKU_POSTGRESQL_FOLLOWER_COLOR
# WARNING! unfollowing is not reversible and will allow writes to FOLLOWER_COLOR
$ heroku pg:unfollow HEROKU_POSTGRESQL_FOLLOWER_COLOR
$ heroku maintenance:off

データベースのプロモーションに関するより詳細な情報については、「Heroku Postgres データベースのバージョンのアップグレード​」を参照できます。

暗号化鍵の無効化

暗号化鍵のライフサイクルの一部として、この鍵を無効にすることが必要になる場合があります。このアクションを実行しているときは、その鍵で暗号化されたすべてのデータがアクセス不可能になります。

暗号化鍵は、AWS Web コンソールまたは AWS CLI を使用して無効にすることができます。

$ aws kms disable-key --key-id CMK_ARN

当社で鍵の無効化の通知を受信した後、アクションが実行されるまでに 10 分の待機期間が発生します。この待機期間は、鍵の状態を誤って変更したために、その鍵に依存しているリソースが不必要に変更されることがないようにするためです。

10 分の待機期間が経過したら、その暗号化鍵を使用しているすべてのサービスをシャットダウンします。次に、それらのサービスを実行しているすべてのサーバーを停止します。最後に、無効にしたアクションを通知するメール通知をアプリケーション管理者に送信します。

暗号化鍵の有効化

暗号化鍵を使用して暗号化されたデータへのアクセスを回復するために、その鍵を有効にして復元できます。暗号化鍵は、AWS Web コンソールまたは AWS CLI を使用して有効にすることができます。

$ aws kms enable-key --key-id CMK_ARN

当社で鍵の有効化の通知を受信したら、以前に停止されたサーバーを起動します。サーバーが動作を開始したら、影響を受けるサービスを起動します。最後に、有効にしたアクションを通知するメール通知をアプリケーション管理者に送信します。

制限

顧客の暗号化鍵を使用して暗号化されたデータベースに適用される制限があります。

• データベースは Private または Shield Space​ 内に存在する必要があります。
• フォロワーとフォークは、そのリーダーと同じ暗号化鍵を使用する必要があります。
• PGBackups と heroku pg:backups​ または heroku pg:copy​ CLI コマンドの使用は機能しません。
• マルチリージョンキーはサポートされません。