本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中備份的加密 AWS Backup
您可以為在使用中支援完整 AWS Backup 管理的資源類型配置加密 AWS Backup。如果資源類型不支援完整 AWS Backup 管理,您必須遵循該服務的指示 (例如 Amazon EBS使用者指南中的 Amazon EBS 加密) 來設定其備份加密。若要查看支援完整 AWS Backup 管理的資源類型清單,請參閱各資源的功能可用性表格的「完整 AWS Backup 管理」一節。
您的IAM角色必須能夠存取用來備份和還原物件的KMS金鑰。否則,工作會成功,但不會備份或還原物件。IAM原則和KMS金鑰原則中的權限必須一致。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的在IAM政策陳述式中指定KMS金鑰。
注意
AWS Backup Audit Manager 可協助您自動偵測未加密的備份。
下表列出了每個支援的資源類型、如何設定備份的加密,以及是否支援備份獨立的加密。當備份 AWS Backup 獨立加密時,它會使用業界標準的 AES -256 加密演算法。如需中加密的詳細資訊 AWS Backup,請參閱跨區域和跨帳戶備份。
| 資源類型 | 設定加密的方法 | 獨立 AWS Backup 加密 |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 備份使用與備份保存庫關聯的 AWS KMS (AWS Key Management Service) 金鑰加密。 AWS KMS金鑰可以是客戶管理的金鑰,也可以是與服務相關聯的 AWS受管金鑰。 AWS Backup AWS Backup 即使來源 Amazon S3 儲存貯體未加密,也會加密所有備份。 | 支援 |
| VMware虛擬機 | 虛擬機器備份一律會加密。虛擬機器備份的 AWS KMS 加密金鑰在儲存虛擬機器備份的儲存 AWS Backup 庫中設定。 | 支援 |
| 啟用進階 DynamoDB 備份後的 Amazon DynamoDB |
DynamoDB 備份一律會加密。DynamoDB 備份的 AWS KMS 加密金鑰是在儲存 DynamoDB 備份所在的 AWS Backup 儲存庫中設定。 |
支援 |
| 不啟用進階 DynamoDB 備份的 Amazon DynamoDB |
DynamoDB 備份會自動加密 (使用和加密來源 DynamoDB 資料表時所用的同一個加密金鑰)。未加密 DynamoDB 資料表的快照也不會加密。 AWS Backup 若要建立加密 DynamoDB 表格的備份,您必須將權限 |
不支援 |
| Amazon Elastic File System(AmazonEFS) | Amazon EFS 備份始終是加密的。Amazon EFS 備份的 AWS KMS 加密金鑰設定在 Amazon EFS 備份所在的儲存 AWS Backup 庫中。 | 支援 |
| Amazon 彈性塊商店(AmazonEBS) | 根據預設,Amazon EBS 備份會使用用來加密來源磁碟區的金鑰加密,或是未加密。在還原期間,您可以透過指定KMS金鑰來選擇覆寫預設加密方法。 | 不支援 |
| Amazon 彈性運算雲(AmazonEC2)AMIs | AMIs未加密。EBS快照會根據EBS備份的預設加密規則加密 (請參閱中的項目EBS)。EBS資料和根磁碟區的快照可以加密並附加至AMI. | 不支援 |
| Amazon Relational Database Service(AmazonRDS) | Amazon RDS 快照會使用用來加密來源 Amazon RDS 資料庫的相同加密金鑰自動加密。未加密 Amazon RDS 資料庫的快照也未加密。 | 不支援 |
| Amazon Aurora | Aurora 叢集快照會自動加密 (使用和加密來源 Amazon Aurora 叢集時所用的同一個加密金鑰)。未加密 Aurora 叢集的快照也不會加密。 | 不支援 |
| AWS Storage Gateway | Storage Gateway 快照會自動加密 (使用和加密來源 Storage Gateway 磁碟區時所用的同一個加密金鑰)。未加密 Storage Gateway 磁碟區的快照也不會加密。 您不需要跨所有服務使用一個客戶自管金鑰來啟用 Storage Gateway。您只需要將 Storage Gateway 備份複製到已設定KMS金鑰的儲存庫。這是因為 Storage Gateway 沒有服務特定的 AWS KMS 受管理金鑰。 |
不支援 |
| Amazon FSx | Amazon FSx 檔案系統的加密功能會因基礎檔案系統而有所不同。若要進一步了解特定 Amazon FSx 檔案系統,請參閱適當的FSx使用者指南。 | 不支援 |
| Amazon DocumentDB | Amazon DocumentDB 叢集快照會自動加密 (使用和加密來源 Amazon DocumentDB 叢集時所用的同一個加密金鑰)。未加密 Amazon DocumentDB 叢集的快照也不會加密。 | 不支援 |
| Amazon Neptune | Neptune 叢集快照會自動加密 (使用和加密來源 Neptune 叢集時所用的同一個加密金鑰)。未加密 Neptune 叢集的快照也不會加密。 | 不支援 |
| Amazon Timestream | Timestream 資料表快照備份一律會加密。Timestream 備份的 AWS KMS 加密金鑰,會在儲存 Timestream 備份的備份文件庫中設定。 | 支援 |
| Amazon Redshift | Amazon Redshift 叢集會自動加密 (使用和加密來源 Amazon Redshift 叢集時所用的同一個加密金鑰)。未加密 Amazon Redshift 叢集的快照也不會加密。 | 不支援 |
| AWS CloudFormation | CloudFormation 備份始終加密。 CloudFormation 備份的 CloudFormation 加密金鑰會在儲存 CloudFormation 備份的儲存 CloudFormation 庫中設定。 | 支援 |
| SAPHANAAmazon EC2 實例數據庫 | SAPHANA資料庫備份一律會加密。SAPHANA資料庫備份的 AWS KMS 加密金鑰是在儲存資料庫備份的儲存庫中規劃的。 AWS Backup | 支援 |
備份複本的加密
當您使用 AWS Backup 跨帳戶或區域複製備份時,即使原始備份未加密,也 AWS Backup 會自動為大多數資源類型加密這些副本。 AWS Backup 使用目標儲存庫的KMS金鑰加密您的副本。不過,未加密的 Aurora、Amazon DocumentDB 和 Neptune 叢集的快照也會未加密。
加密和備份副本
未完全 AWS 受管理的資源不支援使用受管理KMS金鑰的跨帳戶複製。 AWS Backup請參閱全面 AWS Backup 管理以確定哪些資源是完全受管的。
對於由完全管理的資源 AWS Backup,備份會使用備份保存庫的加密金鑰加密。對於未完全受管理的資源 AWS Backup,跨帳戶副本使用與來源資源相同的KMS金鑰。如需更多資訊,請參閱加密金鑰和跨帳戶副本
