Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement pour les sauvegardes dans AWS Backup
Vous pouvez configurer le chiffrement pour les types de ressources qui prennent en charge AWS Backup la gestion complète lors de l'utilisation AWS Backup. Si le type de ressource ne prend pas en charge AWS Backup la gestion complète, vous devez configurer son chiffrement de sauvegarde en suivant les instructions de ce service, telles que le EBSchiffrement Amazon dans le guide de EBS l'utilisateur Amazon. Pour consulter la liste des types de ressources qui prennent en charge la AWS Backup gestion complète, consultez la section « AWS Backup Gestion complète » du Disponibilité des fonctionnalités par ressource tableau.
Votre IAM rôle doit avoir accès à la KMS clé utilisée pour sauvegarder et restaurer l'objet. Dans le cas contraire, la tâche est réussie mais les objets ne sont ni sauvegardés ni restaurés. Les autorisations figurant dans IAM la politique et dans la politique KMS clé doivent être cohérentes. Pour plus d'informations, consultez la section Spécification KMS des clés dans les déclarations de IAM politique du Guide du AWS Key Management Service développeur.
Note
AWS Backup Audit Manager vous aide à détecter automatiquement les sauvegardes non chiffrées.
Le tableau suivant répertorie chaque type de ressource pris en charge. Il indique également la façon dont le chiffrement est configuré pour les sauvegardes et si un chiffrement indépendant est pris en charge pour les sauvegardes. Lorsqu'il chiffre AWS Backup indépendamment une sauvegarde, il utilise l'algorithme de chiffrement standard AES -256. Pour plus d'informations sur le chiffrement dans AWS Backup, consultez la section Sauvegarde entre régions et entre comptes.
| Type de ressource | Configuration du chiffrement | AWS Backup Chiffrement indépendant |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Les sauvegardes Amazon S3 sont chiffrées à l'aide d'une clé AWS KMS (AWS Key Management Service) associée au coffre de sauvegarde. La AWS KMS clé peut être une clé gérée par le client ou une clé AWS gérée associée au service. AWS Backup AWS Backup chiffre toutes les sauvegardes même si les compartiments Amazon S3 source ne sont pas chiffrés. | Pris en charge |
| VMwaremachines virtuelles | Les sauvegardes de machines virtuelles sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes de machines virtuelles est configurée dans le AWS Backup coffre dans lequel les sauvegardes de machines virtuelles sont stockées. | Pris en charge |
| Amazon DynamoDB après avoir activé Sauvegarde DynamoDB avancée |
Les sauvegardes DynamoDB sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes DynamoDB est configurée dans AWS Backup le coffre dans lequel les sauvegardes DynamoDB sont stockées. |
Pris en charge |
| Amazon DynamoDB sans avoir activé Sauvegarde DynamoDB avancée |
Les sauvegardes DynamoDB sont automatiquement chiffrées avec la même clé de chiffrement que celle utilisée pour chiffrer la table DynamoDB source. Les instantanés de tables DynamoDB non chiffrés ne sont pas chiffrés non plus. AWS Backup Pour créer une sauvegarde d'une table DynamoDB chiffrée, vous devez ajouter les |
Non pris en charge |
| Amazon Elastic File System (AmazonEFS) | Les EFS sauvegardes Amazon sont toujours cryptées. La clé de AWS KMS chiffrement pour les EFS sauvegardes Amazon est configurée dans le AWS Backup coffre-fort dans lequel les EFS sauvegardes Amazon sont stockées. | Pris en charge |
| Boutique Amazon Elastic Block (AmazonEBS) | Par défaut, les EBS sauvegardes Amazon sont soit chiffrées à l'aide de la clé utilisée pour chiffrer le volume source, soit elles ne sont pas chiffrées. Pendant la restauration, vous pouvez choisir de remplacer la méthode de chiffrement par défaut en spécifiant une KMS clé. | Non pris en charge |
| Amazon Elastic Compute Cloud (AmazonEC2) AMIs | AMIsne sont pas chiffrés. EBSles instantanés sont chiffrés selon les règles de chiffrement par défaut pour les EBS sauvegardes (voir l'entrée pourEBS). EBSles instantanés des données et des volumes racines peuvent être chiffrés et attachés à unAMI. | Non pris en charge |
| Amazon Relational Database Service (AmazonRDS) | Les RDS instantanés Amazon sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer la base de données Amazon RDS source. Les instantanés des RDS bases de données Amazon non chiffrées sont également non chiffrés. | Non pris en charge |
| Amazon Aurora | Les instantanés de cluster Aurora sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Amazon Aurora source. Les instantanés de clusters Aurora non chiffrés ne sont pas chiffrés. | Non pris en charge |
| AWS Storage Gateway | Les instantanés Storage Gateway sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le volume Storage Gateway source. Les instantanés de volumes Storage Gateway non chiffrés ne sont pas chiffrés non plus. Vous n'avez pas besoin d'utiliser une clé gérée par le client pour tous les services pour activer Storage Gateway. Il vous suffit de copier la sauvegarde Storage Gateway dans un coffre-fort qui a configuré une KMS clé. Cela est dû au fait que Storage Gateway ne possède pas de clé AWS KMS gérée spécifique au service. |
Non pris en charge |
| Amazon FSx | Les fonctionnalités de chiffrement des systèmes de FSx fichiers Amazon varient en fonction du système de fichiers sous-jacent. Pour en savoir plus sur votre système de FSx fichiers Amazon en particulier, consultez le guide de FSx l'utilisateur approprié. | Non pris en charge |
| Amazon DocumentDB | Les instantanés de cluster Amazon DocumentDB sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Amazon DocumentDB source. Les instantanés de clusters Amazon DocumentDB non chiffrés ne sont pas chiffrés. | Non pris en charge |
| Amazon Neptune | Les instantanés de cluster Neptune sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Neptune source. Les instantanés de clusters Neptune non chiffrés ne sont pas chiffrés. | Non pris en charge |
| Amazon Timestream | Les sauvegardes d'instantanés de la table Timestream sont toujours chiffrées. La clé de chiffrement AWS KMS pour les sauvegardes Timestream est configurée dans le coffre-fort de sauvegarde dans lequel les sauvegardes Timestream sont stockées. | Pris en charge |
| Amazon Redshift | Les clusters Amazon Redshift sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Amazon Redshift source. Les instantanés de clusters Amazon Redshift non chiffrés ne sont pas chiffrés. | Non pris en charge |
| AWS CloudFormation | CloudFormation les sauvegardes sont toujours cryptées. La clé de CloudFormation chiffrement pour les CloudFormation sauvegardes est configurée dans le CloudFormation coffre dans lequel les CloudFormation sauvegardes sont stockées. | Pris en charge |
| SAPHANAbases de données sur les EC2 instances Amazon | SAPHANAles sauvegardes de base de données sont toujours cryptées. La clé de AWS KMS chiffrement pour les sauvegardes SAP HANA de base de données est configurée dans le AWS Backup coffre dans lequel les sauvegardes de base de données sont stockées. | Pris en charge |
Chiffrement des copies de sauvegarde
Lorsque vous copiez vos sauvegardes sur plusieurs comptes ou régions, les copies sont AWS Backup automatiquement chiffrées pour la plupart des types de ressources, même si la sauvegarde d'origine n'est pas chiffrée. AWS Backup AWS Backup chiffre votre copie à l'aide de la KMS clé du coffre-fort cible. Toutefois, les instantanés de clusters Aurora, Amazon DocumentDB et Neptune non chiffrés sont également déchiffrés.
Chiffrement et copies de sauvegarde
La copie entre comptes avec KMS clés AWS gérées n'est pas prise en charge pour les ressources qui ne sont pas entièrement gérées par AWS Backup. Reportez-vous AWS Backup Gestion complète à pour déterminer quelles ressources sont entièrement gérées.
Pour les ressources entièrement gérées par AWS Backup, les sauvegardes sont chiffrées à l'aide de la clé de chiffrement du coffre-fort de sauvegarde. Pour les ressources qui ne sont pas entièrement gérées par AWS Backup, les copies entre comptes utilisent la même KMS clé que la ressource source. Pour plus d’informations, consultez Clés de chiffrement et copies entre comptes.
