におけるバックアップの暗号化AWS - AWS Backup
バックアップコピーの暗号化最小特権

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

におけるバックアップの暗号化AWS

暗号化を設定する方法はリソースタイプによって異なります。特定のリソースタイプでは、ソースリソースの暗号化に使用したキーとは別の暗号化キーでバックアップを暗号化する機能がサポートされています。この機能により、バックアップをさらに強固に保護できます。

以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。

リソースタイプ 暗号化を設定する方法 独立したバックアップ暗号化
Amazon Elastic File System (Amazon EFS) Amazon EFS バックアップは常に暗号化されます。-AWS KMSAmazon EFS バックアップ用の暗号化キーは、AWS BackupAmazon EFS バックアップが格納されているボールトです。 サポート対象
Amazon Elastic Block Store (Amazon EBS) Amazon EBS スナップショットは、ソース EBS ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない EBS ボリュームのスナップショットは引き続き暗号されません。 サポート外
Amazon Elastic Compute Cloud (Amazon EC2) AMI Amazon EBS スナップショットによってバックアップされる Amazon EC2 AMI は、ソース EBS ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない AMI のスナップショットは暗号化されません。 サポート外
Amazon Relational Database Service (Amazon RDS) Amazon RDS スナップショットは、ソース Amazon RDS データベースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットは引き続き暗号化されません。
注記

AWS Backupでは現在、Amazon Aurora を含むすべての Amazon RDS データベースエンジンがサポートされています。

 サポート外
Amazon Aurora Aurora クラスタースナップショットは、ソース Amazon Aurora クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 サポート外
Amazon DynamoDB

DynamoDB バックアップは、ソース DynamoDB テーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていないテーブルのスナップショットは引き続き暗号化されません。

注記

以下のためにの順にAWS Backupを使用して暗号化された DynamoDB テーブルのバックアップを作成するには、kms:Decryptおよびkms:GenerateDataKeyバックアップに使用される IAM ロールに入ります。または、[] オプションを使用できます。AWS Backupデフォルトのサービスロール。

サポート外
AWS Storage Gateway Storage Gateway スナップショットは、ソース Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Storage Gateway ボリュームのスナップショットは引き続き暗号化されません。
注記

お客様が管理するキーを、すべてのサービスで使用する必要はありません。Storage Gateway。Storage Gateway のバックアップを、KMS キーを構成したボールトにコピーするだけです。Storage Gateway にはサービス固有の AWS KMS マネージドキーがないためです。

サポート外
Amazon FSx Amazon FSx ファイルシステムの暗号化機能は、基盤となるファイルシステムによって異なります。特定の Amazon FSx ファイルシステムの詳細については、該当するFSx ユーザーガイド サポート外

バックアップコピーの暗号化

AWS Backup では、元のバックアップが暗号化されていない場合でも、可能な限りデフォルトでバックアップコピーを暗号化します。

バックアップコピーを暗号化するには、次の 2 つの方法があります。

  1. デフォルトのAWS送信先のバックアップボールトの KMS キー。デフォルトのキーはサービスごとに異なり、AWS によって管理されます。

  2. 宛先ヴォールトを介してカスタマー管理キーを指定します。これは、AWS Storage Gateway バックアップに対してサポートされている唯一のオプションです。

最小特権

次のサンプルポリシーは、暗号化された Amazon RDS スナップショットをコピーする KMS キーポリシー内の最小権限を示しています。AWSGovCloud (米国東部) (アカウント 1122*) からAWSGovCloud (米国西部) (アカウント9988*、そこにキーを持つ)。 

{
  "Sid":"Allow use of the key - added",
  "Effect":"Allow",
  "Principal":{
    "AWS":"arn:aws-us-gov:iam::112233445566:root"
  },
  "Action":[
    "kms:CreateGrant",
    "kms:DescribeKey"
  ],
  "Resource":"*",
  "Condition":{
    "StringLike":{
      "kms:ViaService":[
        "rds.us-gov-west-1.amazonaws.com",
        "backup.us-gov-west-1.amazonaws.com"
      ],
      "kms:CallerAccount":"998877665544"
    }
  }
}

の詳細AWS KMS「」を参照してください。とはAWS KMS?

AWS Backup がサポートしている各サービスのバックアップ暗号化の詳細については、以下のトピックを参照してください。