Chiffrement des informations d'identification de l'hyperviseur de machine virtuelle - AWS Backup
AWS clés possédéesOctroisSurveillance des clés de chiffrement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des informations d'identification de l'hyperviseur de machine virtuelle

Les machines virtuelles gérées par un hyperviseur utilisent AWS Backup Gateway pour connecter les systèmes sur site à AWS Backup. Il est important que les hyperviseurs disposent de la même sécurité robuste et fiable. Cette sécurité peut être atteinte en chiffrant l'hyperviseur, soit à l'aide de clés AWS détenues, soit à l'aide de clés gérées par le client.

AWS clés détenues et gérées par le client

AWS Backup fournit le chiffrement des informations d'identification de l'hyperviseur afin de protéger les informations de connexion sensibles des clients à l'aide de clés de chiffrement AWS détenues par nos soins. Vous avez la possibilité d'utiliser des clés gérées par le client à la place.

Par défaut, les clés utilisées pour chiffrer les informations d'identification dans votre hyperviseur sont des clés AWS détenues. AWS Backup utilise ces clés pour chiffrer automatiquement les informations d'identification de l'hyperviseur. Vous ne pouvez ni consulter, ni gérer, ni utiliser AWS les clés que vous possédez, ni auditer leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le Guide du AWS KMS développeur.

Les informations d'identification peuvent également être chiffrées à l'aide de clés gérées par le client. AWS Backup prend en charge l'utilisation de clés symétriques gérées par le client que vous créez, possédez et gérez pour effectuer votre chiffrement. Étant donné que vous avez le contrôle total de ce chiffrement, vous pouvez effectuer les tâches suivantes :

  • Établissement et gestion des stratégies de clé

  • Établissement et gestion des politiques IAM et des octrois

  • Activation et désactivation des stratégies de clé

  • Rotation des matériaux de chiffrement de clé

  • Ajout de balises

  • Création d'alias de clé

  • Planification des clés pour la suppression

Lorsque vous utilisez une clé gérée par le client, AWS Backup vérifie si votre rôle est autorisé à déchiffrer à l'aide de cette clé (avant l'exécution d'une tâche de sauvegarde ou de restauration). Vous devez ajouter l'action kms:Decrypt au rôle utilisé pour démarrer une tâche de sauvegarde ou de restauration.

Comme l'action kms:Decrypt ne peut pas être ajoutée au rôle de sauvegarde par défaut, vous devez utiliser un rôle autre que le rôle de sauvegarde par défaut pour utiliser les clés gérées par le client.

Pour plus d'informations, consultez Clés gérées par le client dans le Manuel du développeur AWS Key Management Service .

Octroi requis lors de l'utilisation des clés gérées par le client

AWS KMS nécessite une autorisation pour utiliser votre clé gérée par le client. Lorsque vous importez une configuration d'hyperviseur chiffrée à l'aide d'une clé gérée par le client, AWS Backup vous créez une autorisation en votre nom en envoyant une CreateGrantdemande à AWS KMS. AWS Backup utilise des autorisations pour accéder à une clé KMS dans un compte client.

Vous pouvez révoquer l'accès à l'autorisation ou supprimer AWS Backup l'accès à la clé gérée par le client à tout moment. Dans ce cas, toutes les passerelles associées à votre hyperviseur ne pourront plus accéder au nom d'utilisateur et au mot de passe de l'hyperviseur chiffrés par la clé gérée par le client, ce qui affectera vos tâches de sauvegarde et de restauration. Plus précisément, les tâches de sauvegarde et de restauration que vous effectuez sur les machines virtuelles de cet hyperviseur échoueront.

Backup gateway utilise cette opération RetireGrant pour supprimer un octroi lorsque vous supprimez un hyperviseur.

Surveillance des clés de chiffrement

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos AWS Backup ressources, vous pouvez utiliser AWS CloudTrailAmazon CloudWatch Logs pour suivre les demandes AWS Backup envoyées à AWS KMS.

Recherchez les AWS CloudTrail événements contenant les "eventName" champs suivants pour surveiller les AWS KMS opérations appelées pour accéder AWS Backup aux données chiffrées par votre clé gérée par le client :

  • "eventName": "CreateGrant"

  • "eventName": "Decrypt"

  • "eventName": "Encrypt"

  • "eventName": "DescribeKey"