步驟 5. 加密備份資料和文件庫

組織越來越需要改善其資料安全策略，而且在雲端中擴展時，可能需要遵守資料保護法規。正確實作加密方法可在基礎存取控制機制之上提供額外的保護層。如果主要存取控制政策失敗，此新增層可提供緩解措施。

例如，如果對 AWS Backup 資料設定過於寬鬆的存取控制政策，則金鑰管理系統或程序可以減輕安全事件的最大影響。這是因為有單獨的授權機制來存取您的資料和加密金鑰，這表示備份資料只能以加密文字的形式進行檢視。

若要充分利用 AWS 雲端 加密，請同時加密傳輸中和靜態資料。為了保護傳輸中的資料， AWS 會使用發佈的 API 呼叫， AWS Backup 透過網路使用 TLS 通訊協定來提供您、應用程式和服務之間的加密 AWS Backup 。若要保護靜態資料，您可以使用 AWS 雲端原生 AWS Key Management Service(AWS KMS) 或 AWS CloudHSM。基於雲端的硬體安全模組 (HSM)， AWS CloudHSM 使用進階加密標準 (AES) 及 256 位元金鑰 (AES-256)，這是業界所採用的強大資料加密演算法。評估資料控管和法規需求，並選取適當的加密服務來加密雲端資料和備份文件庫。

加密組態會因資源類型和跨帳戶或跨區域的備份操作而有所不同。某些資源類型支援使用與來源資源加密金鑰不同的加密金鑰來將您的備份加密。由於您負責管理存取控制，以判斷誰可以存取 AWS Backup 您的資料或保存庫加密金鑰，以及在哪些條件下，請使用 提供的政策語言 AWS KMS 來定義金鑰的存取控制。也可以使用 AWS Backup Audit Manager 以確認您的備份已正確加密。如需詳細資訊，請參閱 AWS Backup中的備份加密。

可以使用 AWS KMS 多區域金鑰將金鑰從一個區域複製到另一個區域。當您的加密資料必須複製到其他區域進行災難復原時，多區域金鑰可簡化加密管理。評估在整體備份策略中實作多區域 AWS KMS 金鑰的需求。