でのバックアップの暗号化 AWS Backup - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのバックアップの暗号化 AWS Backup

を使用して、 でのフル AWS Backup 管理をサポートするリソースタイプの暗号化を設定できます AWS Backup。リソースタイプがフル AWS Backup 管理をサポートしていない場合は、Amazon EBS ユーザーガイドの「Amazon EBS 暗号化」など、そのサービスの指示に従ってバックアップ暗号化を設定する必要があります。 フル AWS Backup 管理をサポートするリソースタイプのリストを確認するには、リソース別の機能の可用性表の「フル AWS Backup 管理」セクションを参照してください。

IAM ロールは、オブジェクトのバックアップと復元に使用される KMS キーにアクセスできる必要があります。それ以外の場合、ジョブは成功しましたが、オブジェクトはバックアップまたは復元されません。IAM ポリシーと KMS キーポリシーのアクセス許可は一貫している必要があります。詳細については、「 AWS Key Management Service デベロッパーガイド」の「IAM ポリシーステートメントでの KMS キーの指定」を参照してください。

注記

AWS Backup Audit Manager は、暗号化されていないバックアップを自動的に検出するのに役立ちます。

以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。 AWS Backup がバックアップを個別に暗号化する場合、業界標準の AES-256 暗号化アルゴリズムを使用します。での暗号化の詳細については AWS Backup、「クロスリージョンおよびクロスアカウントバックアップ」を参照してください。

リソースタイプ 暗号化を設定する方法 独立した AWS Backup 暗号化
Amazon Simple Storage Service (Amazon S3) Amazon S3 バックアップは、バックアップボールトに関連付けられた AWS KMS (AWS Key Management Service) キーを使用して暗号化されます。 AWS KMS キーは、カスタマーマネージドキーでも、 AWS Backup サービスに関連付けられた AWSマネージドキーでもかまいません。 は、ソース Amazon S3 バケットが AWS Backup 暗号化されていない場合でも、すべてのバックアップを暗号化します。 サポート
VMware 仮想マシン VM バックアップは常に暗号化されます。仮想マシンバックアップの AWS KMS 暗号化キーは、仮想マシンバックアップが保存されている AWS Backup ボールトに設定されます。 サポート
アドバンスト DynamoDB バックアップを有効にした後の Amazon DynamoDB

DynamoDB バックアップは常に暗号化されます。DynamoDB バックアップの AWS KMS 暗号化キーは、DynamoDB バックアップが保存されている AWS Backup ボールトで設定されます。

サポート
アドバンスト DynamoDB バックアップ を有効にしない Amazon DynamoDB

DynamoDB スナップショットは、ソース DynamoDB テーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない DynamoDB テーブルのスナップショットは引き続き暗号化されません。

AWS Backup が暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用される IAM ロールkms:GenerateDataKeyに アクセス許可 kms:Decryptと を追加する必要があります。または、 AWS Backup デフォルトのサービスロールを使用することもできます。

非サポート
Amazon Elastic File System (Amazon EFS) Amazon EFS バックアップは常に暗号化されます。Amazon EFS バックアップの AWS KMS 暗号化キーは、Amazon EFS バックアップが保存されている AWS Backup ボールトで設定されます。 サポート
Amazon Elastic Block Store (Amazon EBS) デフォルトでは、Amazon EBS バックアップは、ソースボリュームの暗号化に使用されたキーを使用して暗号化されるか、暗号化されないかのいずれかです。復元時には、KMS キーを指定してデフォルトの暗号化方法を無効にする選択ができます。 サポートされていません
Amazon Elastic Compute Cloud (Amazon EC2) AMI AMIsは暗号化されません。EBS スナップショットは、EBS バックアップのデフォルトの暗号化ルールによって暗号化されます (EBS のエントリを参照)。データおよびルートボリュームの EBS スナップショットは暗号化して AMI にアタッチできます。 サポートされていません
Amazon Relational Database Service (Amazon RDS) Amazon RDS スナップショットは、ソース Amazon RDS データベースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Aurora Aurora クラスタースナップショットは、ソース Amazon Auroraーの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
AWS Storage Gateway Storage Gateway スナップショットは、ソース Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Storage Gatewayボリュームのスナップショットは引き続き暗号化されません。

Storage Gateway を有効化するために、すべてのサービスでカスタマー管理キーを使用する必要はありません。Storage Gateway のバックアップを、KMS キーを設定した保管庫にコピーするだけです。これは、Storage Gateway にサービス固有の AWS KMS マネージドキーがないためです。

サポートされていません
Amazon FSx Amazon FSx ファイルシステムの暗号化機能は、基盤となるファイルシステムによって異なります。特定の Amazon FSx ファイルシステムの詳細については、FSx ユーザーガイドの該当するサイトを参照してください。 サポートされていません
Amazon DocumentDB Amazon DocumentDB クラスタースナップショットは、ソース Amazon DocumentDB クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon DocumentDB クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Neptune Neptune クラスタースナップショットは、ソース Neptune クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Neptune クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Timestream Timestream テーブルスナップショットのバックアップは常に暗号化されます。Timestream バックアップ用の AWS KMS 暗号化キーは、Timestream バックアップが保存されるバックアップボールトに設定されます。 サポート
Amazon Redshift Amazon Redshift クラスタースナップショットは、ソースの Amazon Redshift クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon Redshift クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
AWS CloudFormation CloudFormation バックアップは常に暗号化されます。 CloudFormation バックアップの CloudFormation 暗号化キーは、 CloudFormation バックアップが保存されている CloudFormation ボールトで設定されます。 サポート
Amazon EC2 インスタンスでの SAP HANA データベース SAP HANA データベースのバックアップは常に暗号化されます。SAP HANA データベースバックアップの AWS KMS 暗号化キーは、データベースバックアップが保存されている AWS Backup ボールトで設定されます。 サポート

バックアップコピーの暗号化

AWS Backup を使用してアカウントまたはリージョン間でバックアップをコピーすると、 AWS Backup 元のバックアップが暗号化されていない場合でも、 はほとんどのリソースタイプでそれらのコピーを自動的に暗号化します。 はターゲットボールトの KMS キーを使用してコピーを AWS Backup 暗号化します。ただし、暗号化されていない Aurora、Amazon DocumentDB、Neptune クラスターのスナップショットも暗号化されません。

暗号化コピーとバックアップコピー

AWS マネージド KMS キーを使用したクロスアカウントコピーは、 によって完全に管理されていないリソースではサポートされていません AWS Backup。フルマネージドされているリソースフル AWS Backup 管理を確認するには、「」を参照してください。

によって完全に管理されているリソースの場合 AWS Backup、バックアップはバックアップボールトの暗号化キーで暗号化されます。によって完全に管理されていないリソースの場合 AWS Backup、クロスアカウントコピーはソースリソースと同じ KMS キーを使用します。詳細については、「暗号化キーとクロスアカウントコピー」を参照してください。