AWS Backup でのバックアップの暗号化 - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Backup でのバックアップの暗号化

注記

AWS BackupAudit Managerは、暗号化されていないバックアップを自動的に検出するのに役立ちます。

AWS Backup を使ってフル AWS Backup 管理をサポートするリソースタイプの暗号化を設定できます。リソースタイプがフル AWS Backup 管理をサポートしていない場合、Amazon Elastic Compute Cloud ユーザーガイドの「Amazon EBS 暗号化」のようなサービスの指示に従ってバックアップ暗号化を設定する必要があります。フル AWS Backup 管理をサポートするリソースタイプのリストを表示するには、リソース別の機能の可用性 テーブルの「フル AWS Backup 管理」セクションを参照してください。

以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。メトリックAWS Backupはバックアップを個別に暗号化し、業界標準の AES-256 暗号化アルゴリズムを使用します。

リソースタイプ 暗号化を設定する方法 独立した AWS Backup 暗号化
Amazon Simple Storage Service (Amazon S3) Amazon S3 のバックアップはAWS KMS(AWS Key Management Service) キーはバックアップボールトに関連付けられています。-AWSKMS キーは、カスタマー管理の CMK またはAWS-管理の CMK に関連付けられているAWS Backupサービス。AWS Backupは、ソース Amazon S3 バケットが暗号化されていない場合でも、すべてのバックアップを暗号化します。 サポート対象
仮想マシン 仮想マシンのバックアップは常に暗号化されます。-AWS KMS仮想マシンバックアップの暗号化キーはAWS Backup仮想マシンのバックアップが保存されているボールト。 サポート対象
アドバンスト DynamoDB バックアップを有効にした後の Amazon DynamoDB

DynamoDB バックアップは常に暗号化されます。DynamoDB バックアップの AWS KMS 暗号化キーは、DynamoDB バックアップが保存される AWS Backup 保管庫に設定されます。

サポート対象
アドバンスト DynamoDB バックアップ を有効にしない Amazon DynamoDB

DynamoDB スナップショットは、ソース DynamoDB テーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない DynamoDB テーブルのスナップショットは引き続き暗号化されません。

注記

AWS Backup が暗号化された DynamoDB テーブルのバックアップを作成するには、kms:Decryptkms:GenerateDataKey に権限を追加し、バックアップに使用される IAM ロールに追加する必要があります。または、AWS Backup デフォルトのサービスロールを使用することもできます。

サポート外
Amazon Elastic File System (Amazon EFS) Amazon EFS バックアップは常に暗号化されます。Amazon EFS バックアップの AWS KMS 暗号化キーは、Amazon EFS バックアップが保存される AWS Backup 保管庫に設定されます。 サポート対象
Amazon Elastic Block Store (Amazon EBS) Amazon EBS スナップショットは、ソース EBS ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない EBS ボリュームのスナップショットは引き続き暗号されません。 サポート外
Amazon Elastic Compute Cloud (Amazon EC2) AMI Amazon EBS スナップショットを使用した Amazon EC2 AMI は Amazon EBS 暗号化の利点を活かすことができます。データおよびルートボリュームの両方のスナップショットを暗号化して AMI にアタッチできます。暗号化されていない AMI テーブルのスナップショットは引き続き暗号化されません。 サポート外
Amazon Relational Database Service (Amazon RDS) Amazon RDS スナップショットは、ソース Amazon RDS データベースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットは引き続き暗号化されません。
注記

AWS Backup は現在、Amazon Aurora を含むすべての Amazon RDS データベースエンジンをサポートしています。

サポート外
Amazon Aurora Aurora クラスタースナップショットは、ソース Amazon Auroraーの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 サポート外
AWS Storage Gateway Storage Gateway スナップショットは、ソース Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Storage Gatewayボリュームのスナップショットは引き続き暗号化されません。
注記

Storage Gateway を有効化するために、すべてのサービスでカスタマー管理キーを使用する必要はありません。Storage Gateway のバックアップを、KMS キーを設定した保管庫にコピーするだけです。Storage Gateway にはサービス固有の AWS KMS マネージドキーがないためです。

サポート外
Amazon FSx Amazon FSx ファイルシステムの暗号化機能は、基盤となるファイルシステムによって異なります。特定の Amazon FSx ファイルシステムの詳細については、FSx ユーザーガイドの該当するサイトを参照してください。 サポート外
Amazon DocumentDB Amazon DocumentDB クラスタースナップショットは、ソース Amazon DocumentDB クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon DocumentDB クラスターのスナップショットは引き続き暗号化されません。 サポート外
Amazon Neptune Neptune クラスタースナップショットは、ソース Neptune クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Neptune クラスターのスナップショットは引き続き暗号化されません。 サポート外

バックアップコピーの暗号化

AWS Backup を使用して、アカウントまたはリージョン間でバックアップをコピーする場合、AWS Backup は、元のバックアップが暗号化されていない場合でも、自動的にそれらのコピーを暗号化します。AWS Backup はターゲット保管庫の KMS キーを使用してコピーを暗号化します。

[Note:] (メモ:) 暗号化されていない Aurora クラスター、Amazon DocumentDB Neptune スターのスナップショット引き続き暗号化されません。