虚拟机虚拟机管理程序凭据加密

虚拟机管理程序管理的虚拟机使用 AWS BackupGateway 将本地系统连接到AWS Backup。虚拟机管理程序必须具有同样强大而可靠的安全性，这一点很重要。这种安全性可以通过加密虚拟机管理程序来实现，无论是通过AWS拥有的密钥还是通过客户管理的密钥。

AWS自有密钥和客户托管密钥

AWS Backup为虚拟机管理程序凭据提供加密，以使用AWS自有加密密钥保护敏感的客户登录信息。您可以选择改用客户管理的密钥。

默认情况下，用于在虚拟机管理程序中加密凭据的密钥是AWS自有密钥。 AWS Backup使用这些密钥自动加密虚拟机管理程序凭据。您既无法查看、管理或使用AWS拥有的密钥，也无法审计其使用情况。但是，您无需采取任何操作或更改任何程序即可保护用于加密数据的密钥。有关更多信息，请参阅AWS KMS开发者指南中的AWS自有密钥。

或者，可以使用客户管理的密钥对凭据进行加密。 AWS Backup支持使用您创建、拥有和管理的对称客户托管密钥来执行加密。由于您可以完全控制这种加密，因此您可以执行以下任务：

• 建立和维护关键政策

• 建立和维护 IAM 策略和授权

• 启用和禁用密钥策略

• 轮换密钥加密材料

• 添加标签

• 创建密钥别名

• 计划删除密钥

当您使用客户管理的密钥时，AWS Backup验证您的角色是否有权使用此密钥进行解密（在运行备份或还原任务之前）。必须将kms:Decrypt操作添加到用于启动备份或还原任务的角色中。

由于无法将kms:Decrypt操作添加到默认备份角色中，因此必须使用默认备份角色以外的角色才能使用客户管理的密钥。

有关更多信息，请参阅AWS Key Management Service开发者指南中的客户管理密钥。

使用客户托管密钥时需要授权

AWS KMS需要授权，才能使用客户托管密钥。当您导入使用客户托管密钥加密的虚拟机管理程序配置时，通过向发送CreateGrant请求来代表您AWS Backup创建授权AWS KMS。 AWS Backup使用授权访问客户账户中的 KMS 密钥。

您可以随时撤消针对授权的访问权限，也可以移除AWS Backup对客户托管密钥的访问权限。如果这样做，则与虚拟机管理程序关联的所有网关将无法再访问由客户托管密钥加密的虚拟机管理程序的用户名和密码，这将影响您的备份和还原任务。具体而言，您在此虚拟机管理程序中对虚拟机执行的备份和恢复任务将失败。

当您删除虚拟机管理程序时，Backup Gateway 使用该RetireGrant操作来删除授权。

监控加密密钥

当您将AWS KMS客户管理的密钥与您的AWS Backup资源一起使用时，您可以使用AWS CloudTrail或 Amazon CloudWatch Logs 来跟踪AWS Backup发送到的请求AWS KMS。

查找包含以下"eventName"字段AWS CloudTrail的事件，以监控为访问由AWS Backup客户管理的密钥加密的数据而调用的AWS KMS操作：

• "eventName": "CreateGrant"

• "eventName": "Decrypt"

• "eventName": "Encrypt"

• "eventName": "DescribeKey"