本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对中的备份进行加密 AWS Backup
注意
AWS Backup A@@ udit Manager 可帮助您自动检测未加密的备份。
您可以为支持完全 AWS Backup 管理的资源类型配置加密 AWS Backup。如果资源类型不支持完全 AWS Backup 管理,则必须按照该服务的说明配置其备份加密,例如亚马逊弹性计算云用户指南中的 Amazon EBS 加密。要查看支持完全 AWS Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表格的 “完全 AWS Backup 管理” 部分。
下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。当 AWS Backup 独立加密备份时,它会使用行业标准的 AES-256 加密算法。
资源类型 | 如何配置加密 | 独立 AWS Backup 加密 |
---|---|---|
Amazon Simple Storage Service (Amazon S3) | Amazon S3 备份使用与备份库关联的 AWS KMS (AWS Key Management Service) 密钥进行加密。 AWS KMS 密钥可以是客户管理的 CMK,也可以是与服务关联的 AWS托管 CMK。 AWS Backup AWS Backup 即使源 Amazon S3 存储桶未加密,也会加密所有备份。 | 支持 |
虚拟机 | 虚拟机备份始终加密。虚拟机备份的 AWS KMS 加密密钥是在存储虚拟机备份的 AWS Backup 保管库中配置的。 | 支持 |
启用高级 DynamoDB 备份后的 Amazon DynamoDB |
DynamoDB 备份始终加密。DynamoDB 备份的 AWS KMS 加密密钥是在存储 DynamoDB 备份的文件库中 AWS Backup 配置的。 |
支持 |
未启用高级 DynamoDB 备份的 Amazon DynamoDB |
DynamoDB 备份使用与用于加密源 DynamoDB 表的相同加密密钥自动进行加密。未加密的 DynamoDB 表的快照也不会加密。 注意 AWS Backup 要创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加 |
不支持 |
Amazon Elastic File System (Amazon EFS) | Amazon EFS 备份始终加密。Amazon EFS 备份的 AWS KMS 加密密钥是在存储 Amazon EFS 备份 AWS Backup 的文件库中配置的。 | 支持 |
Amazon Elastic Block Store (Amazon EBS) | 默认情况下,Amazon EBS 备份要么使用用于加密源卷的密钥进行加密,要么未加密。在还原期间,您可以通过指定 KMS 密钥来选择覆盖默认加密方法。 | 不支持 |
Amazon Elastic Compute Cloud (Amazon EC2) AMI | 由 Amazon EBS 快照支持的 Amazon EC2 AMI 可以利用 Amazon EBS 加密。可以将数据和根卷的快照加密并附加到 AMI。未加密的 AMI 的快照也不会加密。 | 不支持 |
Amazon Relational Database Service (Amazon RDS) | Amazon RDS 快照使用与用于加密源 Amazon RDS 数据库相同的加密密钥自动进行加密。未加密的 Amazon RDS 数据库的快照也不会加密。注意AWS Backup 目前支持所有亚马逊 RDS 数据库引擎,包括亚马逊 Aurora。 |
不支持 |
Amazon Aurora | Aurora 集群快照使用与用于加密源 Amazon Aurora 集群相同的加密密钥自动进行加密。未加密的 Aurora 集群的快照也不会加密。 | 不支持 |
AWS Storage Gateway | Storage Gateway 快照使用与用于加密源 Storage Gateway 卷相同的加密密钥自动进行加密。未加密的 Storage Gateway 卷的快照也不会加密。注意您无需在所有服务中使用客户托管密钥即可启用 Storage Gateway。您只需将 Storage Gateway 备份复制到已配置 KMS 密钥的保管库。这是因为 Storage Gateway 没有特定于服务的 AWS KMS 托管密钥。 |
不支持 |
Amazon FSx | Amazon FSx 文件系统的加密功能因底层文件系统而异。要了解您的特定 Amazon FSx 文件系统的更多信息,请参阅相应的 FSx 用户指南。 | 不支持 |
Amazon DocumentDB | Amazon DocumentDB 集群快照使用与用于加密源 Amazon DocumentDB 集群相同的加密密钥自动进行加密。未加密的 Amazon DocumentDB 集群的快照也不会加密。 | 不支持 |
Amazon Neptune | Amazon Neptune 集群快照使用与用于加密源 Amazon Neptune 集群相同的加密密钥自动进行加密。未加密的 Amazon Neptune 集群的快照也不会加密。 | 不支持 |
Amazon Timestream | Amazon Timestream 表快照备份始终加密。Amazon Timestream 备份的 AWS KMS 加密密钥在存储 Timestream 备份的备份保管库中进行配置。 | 支持 |
Amazon Redshift | Amazon Redshift 集群快照使用与用于加密源 Amazon Redshift 集群相同的加密密钥自动进行加密。未加密的 Amazon Redshift 集群的快照也不会加密。 | 不支持 |
AWS CloudFormation | CloudFormation 备份始终是加密的。备份的 CloudFormation 加密密钥是在存储 CloudFormation 备份的 CloudFormation 保管库中配置的。 CloudFormation | 支持 |
Amazon EC2 实例上的 SAP HANA 数据库 | SAP HANA 数据库备份始终加密。SAP HANA 数据库备份的 AWS KMS 加密密钥是在存储数据库备份的 AWS Backup 保管库中配置的。 | 支持 |
备份副本的加密
当您使用 AWS Backup 跨账户或区域复制备份时,即使原始备份未加密,也会 AWS Backup 自动加密这些副本。 AWS Backup 使用目标保管库的 KMS 密钥加密您的副本。
注意
注意:未加密的 Aurora、Amazon DocumentDB 和 Neptune 集群的快照也不会加密。
注意
AWS 跨账户副本不支持托管密钥。有关更多信息,请参阅跨账户备份。