Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verschlüsselung der Hypervisor-Anmeldeinformationen für virtuelle Maschinen

PDF
RSS
Fokusmodus
Verschlüsselung der Hypervisor-Anmeldeinformationen für virtuelle Maschinen - AWS Backup
AWS eigene SchlüsselGewährungenÜberwachen von Verschlüsselungsschlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Virtuelle Maschinen, die von einem Hypervisor verwaltet werden, verwenden AWS Backup Gateway, um lokale Systeme mit AWS Backup zu verbinden. Es ist wichtig, dass Hypervisoren über dieselbe robuste und zuverlässige Sicherheit verfügen. Diese Sicherheit kann erreicht werden, indem der Hypervisor entweder mit eigenen Schlüsseln oder mit vom Kunden AWS verwalteten Schlüsseln verschlüsselt wird.

AWS eigene und vom Kunden verwaltete Schlüssel

AWS Backup bietet Verschlüsselung für Hypervisor-Anmeldeinformationen, um vertrauliche Kunden-Anmeldeinformationen mithilfe AWS eigener Verschlüsselungsschlüssel zu schützen. Sie haben die Möglichkeit, stattdessen vom Kunden verwaltete Schlüssel zu verwenden.

Standardmäßig handelt es sich bei den Schlüsseln, die zum Verschlüsseln von Anmeldeinformationen in Ihrem Hypervisor verwendet werden AWS , um eigene Schlüssel. AWS Backup verwendet diese Schlüssel, um Hypervisor-Anmeldeinformationen automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel weder anzeigen, verwalten oder verwenden, noch können Sie deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie AWS im AWS KMS Entwicklerhandbuch unter Eigene Schlüssel.

Alternativ können Anmeldeinformationen mit von Kunden verwalteten Schlüsseln verschlüsselt werden. AWS Backup unterstützt die Verwendung von symmetrischen kundenverwalteten Schlüsseln, die Sie erstellen, besitzen und verwalten, um Ihre Verschlüsselung durchzuführen. Da Sie die volle Kontrolle über diese Verschlüsselung haben, können Sie Aufgaben wie die folgenden ausführen:

  • Festlegung und Pflege von Schlüsselrichtlinien

  • Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen

  • Aktivieren und Deaktivieren wichtiger Richtlinien

  • Kryptographisches Material mit rotierendem Schlüssel

  • Hinzufügen von Tags

  • Erstellen von Schlüsselaliasen

  • Schlüssel für das Löschen von Schlüsseln planen

Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, wird AWS Backup überprüft, ob Ihre Rolle berechtigt ist, mithilfe dieses Schlüssels zu entschlüsseln (bevor ein Sicherungs- oder Wiederherstellungsauftrag ausgeführt wird). Sie müssen die kms:Decrypt-Aktion der Rolle hinzufügen, die zum Starten eines Sicherungs- oder Wiederherstellungsauftrags verwendet wurde.

Da die kms:Decrypt-Aktion nicht zur Standard-Sicherungsrolle hinzugefügt werden kann, müssen Sie eine andere Rolle als die Standard-Sicherungsrolle verwenden, um vom Kunden verwaltete Schlüssel zu verwenden.

Weitere Informationen finden Sie unter von Kunden verwaltete Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

Bei Verwendung kundenverwalteter Schlüssel erforderliche Erteilung

AWS KMS für die Nutzung Ihres vom Kunden verwalteten Schlüssels ist ein Zuschuss erforderlich. Wenn Sie eine Hypervisor-Konfiguration importieren, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, AWS Backup erstellt in Ihrem Namen einen Zuschuss, indem es eine CreateGrantAnfrage an AWS KMS sendet. AWS Backup verwendet Zuschüsse, um auf einen KMS-Schlüssel in einem Kundenkonto zuzugreifen.

Sie können den Zugriff auf den Grant jederzeit widerrufen oder ihm den Zugriff auf den vom Kunden verwalteten Schlüssel entziehen AWS Backup. Wenn Sie dies tun, können all Ihre mit Ihrem Hypervisor verknüpften Gateways nicht mehr auf den Benutzernamen und das Passwort des Hypervisors zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Ihre Sicherungs- und Wiederherstellungsaufträge auswirkt. Insbesondere Sicherungs- und Wiederherstellungsaufträge, die Sie auf den virtuellen Maschinen in diesem Hypervisor ausführen, schlagen fehl.

Das Backup-Gateway verwendet den RetireGrant-Vorgang, um einen Zuschuss zu entfernen, wenn Sie einen Hypervisor löschen.

Überwachen von Verschlüsselungsschlüsseln

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren AWS Backup Ressourcen verwenden, können Sie Amazon CloudWatch Logs verwenden AWS CloudTrail, um Anfragen zu verfolgen, die AWS Backup an gesendet AWS KMS werden.

Suchen Sie nach AWS CloudTrail Ereignissen mit den folgenden "eventName" Feldern zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden AWS Backup , um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:

  • "eventName": "CreateGrant"

  • "eventName": "Decrypt"

  • "eventName": "Encrypt"

  • "eventName": "DescribeKey"

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.