虚拟机管理程序凭证加密

由管理程序管理的虚拟机使用 AWS Backup 网关将本地系统连接到 AWS Backup。管理程序必须具有同样强大而可靠的安全性，这一点很重要。这种安全性可以通过使用 AWS 自有密钥或客户管理的密钥对虚拟机管理程序进行加密来实现。

AWS 自有密钥和客户管理的密钥

AWS Backup 为虚拟机管理程序凭据提供加密，以使用AWS 自有的加密密钥保护敏感的客户登录信息。您可以选择改用客户托管密钥。

默认情况下，用于在虚拟机管理程序中加密凭据的密钥是AWS 自有密钥。 AWS Backup 使用这些密钥自动加密虚拟机管理程序凭据。您既无法查看、管理或使用 AWS 拥有的密钥，也无法审核其使用情况。但是，无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息，请参阅《 AWS KMS 开发者指南》中的 AWS 自有密钥。

或者，也可以使用客户托管密钥对凭证进行加密。 AWS Backup 支持使用由您创建、拥有和管理的对称客户托管密钥来执行加密。由于您可以完全控制此加密，因此可以执行以下任务：

• 制定和维护密钥策略

• 制定和维护 IAM policy 和授权

• 启用和禁用密钥策略

• 轮换密钥加密材料

• 添加标签

• 创建密钥别名

• 计划删除密钥

当您使用客户托管密钥时，请 AWS Backup 验证您的角色是否有权使用此密钥进行解密（在运行备份或还原作业之前）。必须将 kms:Decrypt 操作添加到用于启动备份或还原作业的角色。

由于无法将 kms:Decrypt 操作添加到默认备份角色，因此必须使用默认备份角色以外的角色才能使用客户托管密钥。

有关更多信息，请参阅《AWS Key Management Service 开发人员指南》中的客户托管密钥。

使用客户托管密钥时需要的授权

AWS KMS 需要获得授权才能使用您的客户托管密钥。当您导入使用客户托管密钥加密的虚拟机管理程序配置时， AWS Backup 会通过向发送CreateGrant请求来代表您创建授权。 AWS KMS AWS Backup 使用授权访问客户账户中的 KMS 密钥。

您可以随时撤销对授予的访问权限，也可以取消 AWS Backup对客户托管密钥的访问权限。如果这样做，与管理程序关联的所有网关都将无法再访问由客户托管密钥加密的管理程序的用户名和密码，这将影响您的备份和还原作业。具体而言，您在此管理程序中对虚拟机执行的备份和还原作业将失败。

当您删除管理程序时，Backup Gateway 将使用 RetireGrant 操作来删除授权。

监控加密密钥

当您对 AWS Backup 资源使用 AWS KMS 客户托管密钥时，您可以使用AWS CloudTrail或 Amazon CloudWatch Logs 来跟踪 AWS Backup 发送到的请求 AWS KMS。

查找具有以下"eventName"字段 AWS CloudTrail 的事件，以监控访问由 AWS Backup 您的客户托管密钥加密的数据所调用的 AWS KMS 操作：

• "eventName": "CreateGrant"

• "eventName": "Decrypt"

• "eventName": "Encrypt"

• "eventName": "DescribeKey"