Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de copias de seguridad en AWS Backup
Puede configurar el cifrado para los tipos de recursos que permiten una AWS Backup administración total de su uso AWS Backup. Si el tipo de recurso no admite la AWS Backup administración completa, debe configurar su cifrado de respaldo siguiendo las instrucciones de ese servicio, como el EBScifrado de Amazon en la Guía del EBS usuario de Amazon. Para ver la lista de tipos de recursos que admiten la AWS Backup administración completa, consulte la sección « AWS Backup Administración completa» de la Disponibilidad de características por recurso tabla.
Su IAM rol debe tener acceso a la KMS clave que se utiliza para hacer una copia de seguridad del objeto y restaurarlo. De lo contrario, el trabajo se realizará correctamente, pero no se realizará una copia de seguridad de los objetos ni se restaurará. Los permisos de la IAM política y KMS la política clave deben ser coherentes. Para obtener más información, consulte Especificar KMS las claves en las declaraciones de IAM política de la Guía para AWS Key Management Service desarrolladores.
nota
AWS Backup Audit Manager le ayuda a detectar automáticamente las copias de seguridad no cifradas.
En la siguiente tabla se muestra cada tipo de recurso admitido, cómo está configurado el cifrado para las copias de seguridad y si se admite el cifrado independiente para las copias de seguridad. Cuando cifra una copia de seguridad de AWS Backup forma independiente, utiliza el algoritmo de cifrado AES -256 estándar del sector. Para obtener más información sobre el cifrado AWS Backup, consulte Copias de seguridad entre regiones y entre cuentas.
| Tipo de recurso | Cómo configurar el cifrado | Cifrado independiente AWS Backup |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Las copias de seguridad de Amazon S3 se cifran mediante una clave AWS KMS (AWS Key Management Service) asociada a la bóveda de copias de seguridad. La AWS KMS clave puede ser una clave administrada por el cliente o una clave AWS administrada asociada al servicio. AWS Backup AWS Backup cifra todas las copias de seguridad incluso si los buckets de Amazon S3 de origen no están cifrados. | Compatible |
| VMwaremáquinas virtuales | Las copias de seguridad de las máquinas virtuales siempre están cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las máquinas virtuales se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las máquinas virtuales. | Compatible |
| Amazon DynamoDB después de habilitar Copia de seguridad avanzada de DynamoDB |
Las copias de seguridad de DynamoDB siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de DynamoDB se configura en AWS Backup el almacén en el que se almacenan las copias de seguridad de DynamoDB. |
Compatible |
| Amazon DynamoDB sin habilitar Copia de seguridad avanzada de DynamoDB |
Las copias de seguridad de DynamoDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la tabla de DynamoDB de origen. Las instantáneas de tablas de DynamoDB sin cifrar también están sin cifrar. AWS Backup Para crear una copia de seguridad de una tabla de DynamoDB cifrada, debe añadir los |
No compatible |
| Amazon Elastic File System (AmazonEFS) | EFSLas copias de seguridad de Amazon siempre están cifradas. La clave de AWS KMS cifrado de las EFS copias de seguridad de Amazon se configura en el AWS Backup almacén en el que se almacenan las EFS copias de seguridad de Amazon. | Compatible |
| Tienda Amazon Elastic Block (AmazonEBS) | De forma predeterminada, las EBS copias de seguridad de Amazon se cifran con la clave que se utilizó para cifrar el volumen de origen o no están cifradas. Durante la restauración, puede optar por anular el método de cifrado predeterminado especificando una clave. KMS | No compatible |
| Amazon Elastic Compute Cloud (AmazonEC2) AMIs | AMIsno están cifrados. EBSlas instantáneas se cifran según las reglas de cifrado predeterminadas para las EBS copias de seguridad (consulte la entrada correspondiente EBS a). EBSlas instantáneas de los volúmenes raíz y de los datos se pueden cifrar y adjuntar a un. AMI | No compatible |
| Amazon Relational Database Service (AmazonRDS) | Las RDS instantáneas de Amazon se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la base de datos de Amazon RDS de origen. Las instantáneas de las RDS bases de datos de Amazon no cifradas tampoco están cifradas. | No compatible |
| Amazon Aurora | Las instantáneas de clúster de Aurora se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Aurora de origen. Las instantáneas de clústeres de Aurora sin cifrar también están sin cifrar. | No compatible |
| AWS Storage Gateway | Las instantáneas de Storage Gateway se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el volumen de Storage Gateway de origen. Las instantáneas de volúmenes de Storage Gateway sin cifrar también están sin cifrar. No es necesario utilizar una clave administrada por el cliente en todos los servicios para habilitar Storage Gateway. Solo necesita copiar la copia de seguridad de Storage Gateway en un almacén que haya configurado una KMS clave. Esto se debe a que Storage Gateway no tiene una clave AWS KMS administrada específica del servicio. |
No compatible |
| Amazon FSx | Las funciones de cifrado de los sistemas de FSx archivos de Amazon varían según el sistema de archivos subyacente. Para obtener más información sobre tu sistema de FSx archivos de Amazon en particular, consulta la Guía FSx del usuario correspondiente. | No compatible |
| Amazon DocumentDB | Las instantáneas de clúster de Amazon DocumentDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon DocumentDB de origen. Las instantáneas de clústeres de Amazon DocumentDB sin cifrar también están sin cifrar. | No compatible |
| Amazon Neptune | Las instantáneas de clúster de Neptune se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Neptune de origen. Las instantáneas de clústeres de Neptune sin cifrar también están sin cifrar. | No compatible |
| Amazon Timestream | Las copias de seguridad de las instantáneas de la tabla de Timestream siempre están cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de Timestream se configura en el almacén de copias de seguridad donde se almacenan las copias de seguridad de Timestream. | Compatible |
| Amazon Redshift | Las instantáneas de clúster de Amazon Redshift se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Redshift de origen. Las instantáneas de clústeres de Amazon Redshift sin cifrar también están sin cifrar. | No compatible |
| AWS CloudFormation | CloudFormation las copias de seguridad siempre están cifradas. La clave de CloudFormation cifrado de las CloudFormation copias de seguridad se configura en el CloudFormation almacén en el que se almacenan las CloudFormation copias de seguridad. | Compatible |
| SAPHANAbases de datos en EC2 instancias de Amazon | SAPHANAlas copias de seguridad de las bases de datos siempre están cifradas La clave de AWS KMS cifrado para las copias SAP HANA de seguridad de las bases de datos se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las bases de datos. | Compatible |
Cifrado de copias de seguridad
Al copiar copias de AWS Backup seguridad entre cuentas o regiones, cifra AWS Backup automáticamente esas copias para la mayoría de los tipos de recursos, incluso si la copia de seguridad original no está cifrada. AWS Backup cifra tu copia con la clave de la bóveda de destino. KMS Sin embargo, las instantáneas de los clústeres de Aurora, Amazon DocumentDB y Neptune sin cifrar tampoco están cifradas.
Copias cifradas y de respaldo
No se admite la copia multicuenta con KMS claves AWS administradas en el caso de recursos que no estén gestionados por AWS Backup completo. Consulte para Administración completa AWS Backup determinar qué recursos están totalmente gestionados.
En el caso de los recursos que se administran en su totalidad AWS Backup, las copias de seguridad se cifran con la clave de cifrado del almacén de copias de seguridad. En el caso de los recursos que no se gestionan por completo AWS Backup, las copias multicuentas utilizan la misma KMS clave que el recurso de origen. Para obtener más información, consulte Claves de cifrado y copias multicuenta
