でのバックアップの暗号化 AWS Backup - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのバックアップの暗号化 AWS Backup

を使用して、 でのフル AWS Backup 管理をサポートするリソースタイプの暗号化を設定できます AWS Backup。リソースタイプが完全な AWS Backup 管理をサポートしていない場合は、Amazon EBSユーザーガイドの「Amazon 暗号化」など、そのサービスの指示に従ってバックアップEBS暗号化を設定する必要があります。フル AWS Backup 管理をサポートするリソースタイプのリストを確認するには、リソース別の機能の可用性表の「フル AWS Backup 管理」セクションを参照してください。

IAM ロールには、オブジェクトのバックアップと復元に使用されるKMSキーへのアクセス権が必要です。それ以外の場合、ジョブは成功しましたが、オブジェクトはバックアップまたは復元されません。IAM ポリシーとKMSキーポリシーのアクセス許可は一貫している必要があります。詳細については、AWS Key Management Service 「 デベロッパーガイド」のIAM「ポリシーステートメントでのKMSキーの指定」を参照してください。

注記

AWS Backup Audit Manager は、暗号化されていないバックアップを自動的に検出するのに役立ちます。

以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。は、バックアップを AWS Backup 個別に暗号化する場合、業界標準の AES-256 暗号化アルゴリズムを使用します。での暗号化の詳細については AWS Backup、「クロスリージョンクロスアカウントバックアップ」を参照してください。

リソースタイプ 暗号化を設定する方法 独立した AWS Backup 暗号化
Amazon Simple Storage Service (Amazon S3) Amazon S3 バックアップは、バックアップボールトに関連付けられた AWS KMS (AWS Key Management Service) キーを使用して暗号化されます。キーは、カスタマーマネージドキーまたは AWS Backup サービスに関連付けられた AWSマネージドキーのいずれかです。 は、ソース Amazon AWS KMSS3 バケットが AWS Backup 暗号化されていない場合でも、すべてのバックアップを暗号化します。 Amazon S3 サポート
VMware 仮想マシン VM バックアップは常に暗号化されます。仮想マシンバックアップの AWS KMS 暗号化キーは、仮想マシンバックアップが保存されている AWS Backup ボールトに設定されます。 サポート
アドバンスト DynamoDB バックアップを有効にした後の Amazon DynamoDB

DynamoDB バックアップは常に暗号化されます。DynamoDB バックアップの AWS KMS 暗号化キーは、DynamoDB バックアップが保存されている AWS Backup ボールトに設定されます。

サポート
アドバンスト DynamoDB バックアップ を有効にしない Amazon DynamoDB

DynamoDB スナップショットは、ソース DynamoDB テーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない DynamoDB テーブルのスナップショットは引き続き暗号化されません。

AWS Backup が暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用されるIAMロールkms:GenerateDataKeykms:Decryptおよび のアクセス許可を追加する必要があります。または、 AWS Backup デフォルトのサービスロールを使用できます。

サポートされていません
Amazon Elastic File System (Amazon EFS) Amazon EFSバックアップは常に暗号化されます。Amazon EFSバックアップの AWS KMS 暗号化キーは、Amazon EFSバックアップが保存されている AWS Backup ボールトに設定されます。 サポート
Amazon Elastic Block Store (Amazon EBS) デフォルトでは、Amazon EBSバックアップはソースボリュームの暗号化に使用されたキーを使用して暗号化されるか、暗号化されません。復元時に、KMSキーを指定してデフォルトの暗号化メソッドを上書きできます。 サポートされていません
Amazon Elastic Compute Cloud (Amazon EC2) AMIs AMIs は暗号化されていません。EBS スナップショットは、EBSバックアップのデフォルトの暗号化ルールによって暗号化されます ( のエントリを参照EBS)。EBS データボリュームとルートボリュームのスナップショットは暗号化して にアタッチできますAMI。 サポートされていません
Amazon Relational Database Service (Amazon RDS) Amazon RDSスナップショットは、ソース Amazon RDS データベースの暗号化に使用したのと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットも暗号化されません。 サポートされていません
Amazon Aurora Aurora クラスタースナップショットは、ソース Amazon Auroraーの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
AWS Storage Gateway Storage Gateway スナップショットは、ソース Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Storage Gatewayボリュームのスナップショットは引き続き暗号化されません。

Storage Gateway を有効化するために、すべてのサービスでカスタマー管理キーを使用する必要はありません。Storage Gateway バックアップは、KMSキーを設定したボールトにのみコピーする必要があります。これは、Storage Gateway にサービス固有の AWS KMS マネージドキーがないためです。

サポートされていません
Amazon FSx Amazon FSx ファイルシステムの暗号化機能は、基盤となるファイルシステムによって異なります。特定の Amazon FSx ファイルシステムの詳細については、該当するFSxユーザーガイド を参照してください。 サポートされていません
Amazon DocumentDB Amazon DocumentDB クラスタースナップショットは、ソース Amazon DocumentDB クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon DocumentDB クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Neptune Neptune クラスタースナップショットは、ソース Neptune クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Neptune クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Timestream Timestream テーブルスナップショットのバックアップは常に暗号化されます。Timestream バックアップ用の AWS KMS 暗号化キーは、Timestream バックアップが保存されるバックアップボールトに設定されます。 サポート
Amazon Redshift Amazon Redshift クラスタースナップショットは、ソースの Amazon Redshift クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon Redshift クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
AWS CloudFormation CloudFormation バックアップは常に暗号化されます。 CloudFormation バックアップの CloudFormation 暗号化キーは、 CloudFormation バックアップが保存されている CloudFormation ボールトで設定されます。 サポート
SAP HANA Amazon EC2インスタンスのデータベース SAP HANA データベースバックアップは常に暗号化されます。SAP HANA データベースバックアップの AWS KMS 暗号化キーは、データベースバックアップが保存されている AWS Backup ボールトに設定されます。 サポート

バックアップコピーの暗号化

AWS Backup を使用してアカウントまたはリージョン間でバックアップをコピーする場合、 AWS Backup 元のバックアップが暗号化されていない場合でも、 はほとんどのリソースタイプのコピーを自動的に暗号化します。 はターゲットボールトのKMSキーを使用してコピーを AWS Backup 暗号化します。ただし、暗号化されていない Aurora、Amazon DocumentDB、Neptune クラスターのスナップショットも暗号化されません。

暗号化コピーとバックアップコピー

AWS マネージドKMSキーを使用したクロスアカウントコピーは、 によって完全に管理されていないリソースではサポートされていません AWS Backup。フルマネージドされているリソースを確認するにはフル AWS Backup 管理、「」を参照してください。

によって完全に管理されているリソースの場合 AWS Backup、バックアップはバックアップボールトの暗号化キーで暗号化されます。によって完全に管理されていないリソースの場合 AWS Backup、クロスアカウントコピーはソースリソースと同じKMSキーを使用します。詳細については、「暗号化キーとクロスアカウントコピー」を参照してください