本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对中的备份进行加密 AWS Backup
您可以为支持完全 AWS Backup 管理的资源类型配置加密 AWS Backup。如果资源类型不支持完全 AWS Backup 管理,则必须按照该服务的说明配置其备份加密,例如《亚马逊EBS用户指南》中的 Amazon EBS 加密。要查看支持完全 AWS Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表格的 “完全 AWS Backup 管理” 部分。
您的IAM角色必须有权访问用于备份和恢复对象的KMS密钥。否则,任务会成功,但不会备份或还原对象。IAM策略和KMS密钥策略中的权限必须一致。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的在IAM策略声明中指定KMS密钥。
注意
AWS Backup A@@ udit Manager 可帮助您自动检测未加密的备份。
下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。 AWS Backup 独立加密备份时,它使用行业标准的 AES -256 加密算法。有关加密的更多信息 AWS Backup,请参阅中的跨区域和跨账户备份。
资源类型 | 如何配置加密 | 独立 AWS Backup 加密 |
---|---|---|
Amazon Simple Storage Service (Amazon S3) | Amazon S3 备份使用与备份库关联的 AWS KMS (AWS Key Management Service) 密钥进行加密。 AWS KMS密钥可以是客户管理的密钥,也可以是与服务关联的 AWS托管密钥。 AWS Backup AWS Backup 即使源 Amazon S3 存储桶未加密,也会加密所有备份。 | 支持 |
VMware虚拟机 | 虚拟机备份始终经过加密。虚拟机备份的 AWS KMS 加密密钥是在存储虚拟机备份的 AWS Backup 保管库中配置的。 | 支持 |
启用高级 DynamoDB 备份后的 Amazon DynamoDB |
DynamoDB 备份始终加密。DynamoDB 备份的 AWS KMS 加密密钥是在存储 DynamoDB 备份的文件库中 AWS Backup 配置的。 |
支持 |
未启用高级 DynamoDB 备份的 Amazon DynamoDB |
DynamoDB 备份使用与用于加密源 DynamoDB 表的相同加密密钥自动进行加密。未加密的 DynamoDB 表的快照也不会加密。 AWS Backup 要创建加密的 DynamoDB 表的备份,必须向用于备份IAM的角色添加 |
不支持 |
亚马逊 Elastic File System(亚马逊EFS) | Amazon EFS 备份始终经过加密。Amazon EFS 备份的 AWS KMS 加密密钥是在存储亚马逊EFS备份 AWS Backup 的文件库中配置的。 | 支持 |
亚马逊 Elastic Block Store(亚马逊EBS) | 默认情况下,Amazon EBS 备份要么使用用于加密源卷的密钥进行加密,要么未加密。在还原期间,您可以通过指定密KMS钥来选择覆盖默认的加密方法。 | 不支持 |
亚马逊弹性计算云(亚马逊EC2)AMIs | AMIs未加密。EBS快照按照EBS备份的默认加密规则进行加密(参见条目EBS)。EBS可以对数据和根卷的快照进行加密并附加到AMI。 | 不支持 |
亚马逊 Relational Database Service(亚马逊RDS) | Amazon RDS 快照会使用与加密源亚马逊RDS数据库相同的加密密钥自动加密。未加密的 Amazon RDS 数据库的快照也是未加密的。 | 不支持 |
Amazon Aurora | Aurora 集群快照使用与用于加密源 Amazon Aurora 集群相同的加密密钥自动进行加密。未加密的 Aurora 集群的快照也不会加密。 | 不支持 |
AWS Storage Gateway | Storage Gateway 快照使用与用于加密源 Storage Gateway 卷相同的加密密钥自动进行加密。未加密的 Storage Gateway 卷的快照也不会加密。 您无需在所有服务中使用客户托管密钥即可启用 Storage Gateway。您只需要将 Storage Gateway 备份复制到配置了KMS密钥的保管库即可。这是因为 Storage Gateway 没有特定于服务的 AWS KMS 托管密钥。 |
不支持 |
Amazon FSx | Amazon FSx 文件系统的加密功能因底层文件系统而异。要详细了解您的特定 Amazon FSx 文件系统,请参阅相应的FSx用户指南。 | 不支持 |
Amazon DocumentDB | Amazon DocumentDB 集群快照使用与用于加密源 Amazon DocumentDB 集群相同的加密密钥自动进行加密。未加密的 Amazon DocumentDB 集群的快照也不会加密。 | 不支持 |
Amazon Neptune | Amazon Neptune 集群快照使用与用于加密源 Amazon Neptune 集群相同的加密密钥自动进行加密。未加密的 Amazon Neptune 集群的快照也不会加密。 | 不支持 |
Amazon Timestream | Amazon Timestream 表快照备份始终加密。Amazon Timestream 备份的 AWS KMS 加密密钥在存储 Timestream 备份的备份保管库中进行配置。 | 支持 |
Amazon Redshift | Amazon Redshift 集群快照使用与用于加密源 Amazon Redshift 集群相同的加密密钥自动进行加密。未加密的 Amazon Redshift 集群的快照也不会加密。 | 不支持 |
AWS CloudFormation | CloudFormation 备份始终是加密的。备份的 CloudFormation 加密密钥是在存储 CloudFormation 备份的 CloudFormation 保管库中配置的。 CloudFormation | 支持 |
SAPHANAAmazon EC2 实例上的数据库 | SAPHANA数据库备份始终是加密的。SAPHANA数据库备份的 AWS KMS 加密密钥是在存储数据库备份的 AWS Backup 保管库中配置的。 | 支持 |
备份副本的加密
当您使用 AWS Backup 跨账户或区域复制备份时,即使原始备份未加密,也会 AWS Backup 自动加密大多数资源类型的副本。 AWS Backup 使用目标保管库的KMS密钥加密您的副本。但是,未加密的 Aurora、Amazon DocumentDB 和 Neptune 集群的快照也未加密。
加密和备份副本
对于未完全 AWS 由管理的资源,不支持使用托管KMS密钥进行跨账户复制。 AWS Backup请参阅,全面 AWS Backup 管理以确定哪些资源是完全托管的。
对于完全由管理的资源 AWS Backup,使用备份库的加密密钥对备份进行加密。对于未完全由管理的资源 AWS Backup,跨账户副本使用与源资源相同的KMS密钥。有关更多信息,请参阅 加密密钥和跨账户副本