でのバックアップの暗号化 AWS - AWS Backup
バックアップコピーの暗号化最小特権

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

でのバックアップの暗号化 AWS

暗号化を設定する方法はリソースタイプによって異なります。特定のリソースタイプでは、ソースリソースの暗号化に使用したキーとは別の暗号化キーでバックアップを暗号化する機能がサポートされています。この機能により、バックアップをさらに強固に保護できます。

以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。

リソースタイプ 暗号化を設定する方法 独立したバックアップ暗号化
Amazon Elastic File System (Amazon EFS) Amazon EFS バックアップは常に暗号化されます。AWS KMS バックアップのAmazon EFS暗号化キーは、AWS Backupバックアップが保存されているAmazon EFSボールトで設定されます。 サポート対象
Amazon Elastic Block Store (Amazon EBS) Amazon EBS スナップショットは、ソース EBS ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない EBS ボリュームのスナップショットは引き続き暗号されません。 サポート外
Amazon Elastic Compute Cloud (Amazon EC2) AMIs Amazon EC2 Amazon EBS スナップショットにバックアップされた AMIs は、ソース EBS ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない AMIsのスナップショットも暗号化されません。 サポート外
Amazon Relational Database Service (Amazon RDS) Amazon RDS スナップショットは、ソース Amazon RDS データベースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットは引き続き暗号化されません。
注記

AWS Backup では現在、Amazon RDS を含むすべての Amazon Aurora データベースエンジンがサポートされています。

 サポート外
Amazon Aurora Aurora クラスタースナップショットは、ソース Amazon Aurora クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 サポート外
Amazon DynamoDB

DynamoDB バックアップは、ソースDynamoDBテーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない DynamoDB テーブルのスナップショットは引き続き暗号化されません。

注記

AWS Backup が暗号化されたDynamoDBテーブルのバックアップを作成するには、バックアップに使用される IAM ロールkms:Decryptに アクセス許可kms:GenerateDataKeyと を追加する必要があります。または、AWS Backupデフォルトのサービスロールを使用することもできます。

サポート外
AWS Storage Gateway AWS Storage Gateway スナップショットは、ソース AWS Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない AWS Storage Gateway ボリュームのスナップショットは引き続き暗号化されません。
注記

AWS Storage Gateway を有効化するために、すべてのサービスでカスタマーマスターキー (CMK) を使用する必要はありません。Storage Gateway のバックアップを、CMK を構成したボールトにコピーするだけです。Storage Gateway にはサービス固有の AWS KMS マネージドキーがないためです。

サポート外
Amazon FSx Amazon FSx ファイルシステムの暗号化機能は、基になるファイルシステムによって異なります。特定のAmazon FSxファイルシステムの詳細については、該当する FSx ユーザーガイドを参照してください サポート外

バックアップコピーの暗号化

AWS Backup では、元のバックアップが暗号化されていない場合でも、可能な限りデフォルトでバックアップコピーを暗号化します。

バックアップコピーを暗号化するには、次の 2 つの方法があります。

  1. 送信先のバックアップボールトには、デフォルトの AWS マネージド CMK を使用します。デフォルトのキーはサービスごとに異なり、AWS によって管理されます。

  2. 送信先ボールトを介してカスタマー管理の CMK を指定します。これは、AWS Storage Gateway バックアップに対してサポートされている唯一のオプションです。

最小権限

次のサンプルポリシーは、暗号化されたAmazon RDSスナップショットを から にコピーするための KMS キーポリシーの最小限の権限を示していますAWS GovCloud (米国東部)AWS GovCloud (米国東部)。 

{
  "Sid":"Allow use of the key - added",
  "Effect":"Allow",
  "Principal":{
    "AWS":"arn:aws-us-gov:iam::112233445566:root"
  },
  "Action":[
    "kms:CreateGrant",
    "kms:DescribeKey"
  ],
  "Resource":"*",
  "Condition":{
    "StringLike":{
      "kms:ViaService":[
        "rds.us-gov-west-1.amazonaws.com",
        "backup.us-gov-west-1.amazonaws.com"
      ],
      "kms:CallerAccount":"998877665544"
    }
  }
}

の詳細についてはAWS KMS、「 とは」を参照してくださいAWS KMS。

AWS Backup がサポートしている各サービスのバックアップ暗号化の詳細については、以下のトピックを参照してください。