对中的备份进行加密 AWS Backup - AWS Backup

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对中的备份进行加密 AWS Backup

您可以为支持完全 AWS Backup 管理的资源类型配置加密 AWS Backup。如果资源类型不支持完全 AWS Backup 管理,则必须按照该服务的说明配置其备份加密,例如《亚马逊EBS用户指南》中的 Amazon EBS 加密。要查看支持完全 AWS Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表格的 “完全 AWS Backup 管理” 部分。

您的IAM角色必须有权访问用于备份和恢复对象的KMS密钥。否则,任务会成功,但不会备份或还原对象。IAM策略和KMS密钥策略中的权限必须一致。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的在IAM策略声明中指定KMS密钥

注意

AWS Backup A@@ udit Manager 可帮助您自动检测未加密的备份。

下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。 AWS Backup 独立加密备份时,它使用行业标准的 AES -256 加密算法。有关加密的更多信息 AWS Backup,请参阅中的跨区域和跨账户备份。

资源类型 如何配置加密 独立 AWS Backup 加密
Amazon Simple Storage Service (Amazon S3) Amazon S3 备份使用与备份库关联的 AWS KMS (AWS Key Management Service) 密钥进行加密。 AWS KMS密钥可以是客户管理的密钥,也可以是与服务关联的 AWS托管密钥。 AWS Backup AWS Backup 即使源 Amazon S3 存储桶未加密,也会加密所有备份。 支持
VMware虚拟机 虚拟机备份始终经过加密。虚拟机备份的 AWS KMS 加密密钥是在存储虚拟机备份的 AWS Backup 保管库中配置的。 支持
启用高级 DynamoDB 备份后的 Amazon DynamoDB

DynamoDB 备份始终加密。DynamoDB 备份的 AWS KMS 加密密钥是在存储 DynamoDB 备份的文件库中 AWS Backup 配置的。

支持
未启用高级 DynamoDB 备份的 Amazon DynamoDB

DynamoDB 备份使用与用于加密源 DynamoDB 表的相同加密密钥自动进行加密。未加密的 DynamoDB 表的快照也不会加密。

AWS Backup 要创建加密的 DynamoDB 表的备份,必须向用于备份IAM的角色添加kms:Decrypt权限kms:GenerateDataKey和。或者,也可以使用 AWS Backup 默认服务角色。

不支持
亚马逊 Elastic File System(亚马逊EFS) Amazon EFS 备份始终经过加密。Amazon EFS 备份的 AWS KMS 加密密钥是在存储亚马逊EFS备份 AWS Backup 的文件库中配置的。 支持
亚马逊 Elastic Block Store(亚马逊EBS) 默认情况下,Amazon EBS 备份要么使用用于加密源卷的密钥进行加密,要么未加密。在还原期间,您可以通过指定密KMS钥来选择覆盖默认的加密方法。 不支持
亚马逊弹性计算云(亚马逊EC2)AMIs AMIs未加密。EBS快照按照EBS备份的默认加密规则进行加密(参见条目EBS)。EBS可以对数据和根卷的快照进行加密并附加到AMI。 不支持
亚马逊 Relational Database Service(亚马逊RDS) Amazon RDS 快照会使用与加密源亚马逊RDS数据库相同的加密密钥自动加密。未加密的 Amazon RDS 数据库的快照也是未加密的。 不支持
Amazon Aurora Aurora 集群快照使用与用于加密源 Amazon Aurora 集群相同的加密密钥自动进行加密。未加密的 Aurora 集群的快照也不会加密。 不支持
AWS Storage Gateway Storage Gateway 快照使用与用于加密源 Storage Gateway 卷相同的加密密钥自动进行加密。未加密的 Storage Gateway 卷的快照也不会加密。

您无需在所有服务中使用客户托管密钥即可启用 Storage Gateway。您只需要将 Storage Gateway 备份复制到配置了KMS密钥的保管库即可。这是因为 Storage Gateway 没有特定于服务的 AWS KMS 托管密钥。

不支持
Amazon FSx Amazon FSx 文件系统的加密功能因底层文件系统而异。要详细了解您的特定 Amazon FSx 文件系统,请参阅相应的FSx用户指南 不支持
Amazon DocumentDB Amazon DocumentDB 集群快照使用与用于加密源 Amazon DocumentDB 集群相同的加密密钥自动进行加密。未加密的 Amazon DocumentDB 集群的快照也不会加密。 不支持
Amazon Neptune Amazon Neptune 集群快照使用与用于加密源 Amazon Neptune 集群相同的加密密钥自动进行加密。未加密的 Amazon Neptune 集群的快照也不会加密。 不支持
Amazon Timestream Amazon Timestream 表快照备份始终加密。Amazon Timestream 备份的 AWS KMS 加密密钥在存储 Timestream 备份的备份保管库中进行配置。 支持
Amazon Redshift Amazon Redshift 集群快照使用与用于加密源 Amazon Redshift 集群相同的加密密钥自动进行加密。未加密的 Amazon Redshift 集群的快照也不会加密。 不支持
AWS CloudFormation CloudFormation 备份始终是加密的。备份的 CloudFormation 加密密钥是在存储 CloudFormation 备份的 CloudFormation 保管库中配置的。 CloudFormation 支持
SAPHANAAmazon EC2 实例上的数据库 SAPHANA数据库备份始终是加密的。SAPHANA数据库备份的 AWS KMS 加密密钥是在存储数据库备份的 AWS Backup 保管库中配置的。 支持

备份副本的加密

当您使用 AWS Backup 跨账户或区域复制备份时,即使原始备份未加密,也会 AWS Backup 自动加密大多数资源类型的副本。 AWS Backup 使用目标保管库的KMS密钥加密您的副本。但是,未加密的 Aurora、Amazon DocumentDB 和 Neptune 集群的快照也未加密。

加密和备份副本

对于未完全 AWS 由管理的资源,不支持使用托管KMS密钥进行跨账户复制。 AWS Backup请参阅,全面 AWS Backup 管理以确定哪些资源是完全托管的。

对于完全由管理的资源 AWS Backup,使用备份库的加密密钥对备份进行加密。对于未完全由管理的资源 AWS Backup,跨账户副本使用与源资源相同的KMS密钥。有关更多信息,请参阅 加密密钥和跨账户副本