AWS Backup 中的备份加密
在使用 AWS Backup 时,您可以针对支持完全 AWS Backup 管理的资源类型配置加密。如果资源类型不支持完全 AWS Backup 管理,则您必须按照该服务的说明配置其备份加密,例如《Amazon EBS 用户指南》中的 Amazon EBS 加密。要查看支持完全 AWS Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表的“完全 AWS Backup 管理”部分。
您的 IAM 角色必须能够访问用于备份和还原对象的 KMS 密钥。否则,作业虽然会成功,但不会备份或还原对象。IAM 策略和 KMS 密钥策略中的权限必须一致。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的在 IAM 策略声明中指定 KMS 密钥。
注意
AWS Backup Audit Manager 可帮助您自动检测未加密的备份。
下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。当 AWS Backup 独立加密备份时,它会使用行业标准的 AES-256 加密算法。有关 AWS Backup 中加密的更多信息,请参阅跨区域和跨账户备份。
| 资源类型 | 如何配置加密 | 独立 AWS Backup 加密 |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 备份使用与备份保管库关联的 AWS KMS (AWS Key Management Service) 密钥进行加密。AWS KMS 密钥可以是客户托管的密钥,也可以是与 AWS Backup 服务关联的 AWS 托管的密钥。即使未加密源 Amazon S3 存储桶,AWS Backup 也会加密所有备份。 | 支持 |
| VMware 虚拟机 | 虚拟机备份始终加密。虚拟机备份的 AWS KMS 加密密钥在存储虚拟机备份的 AWS Backup 保管库中进行配置。 | 支持 |
| 启用高级 DynamoDB 备份后的 Amazon DynamoDB |
DynamoDB 备份始终加密。DynamoDB 备份的 AWS KMS 加密密钥在存储 DynamoDB 备份的 AWS Backup 保管库中进行配置。 |
支持 |
| 未启用高级 DynamoDB 备份的 Amazon DynamoDB |
DynamoDB 备份使用与用于加密源 DynamoDB 表的相同加密密钥自动进行加密。未加密的 DynamoDB 表的快照也不会加密。 为了让 AWS Backup 创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加 |
不支持 |
| Amazon Elastic File System (Amazon EFS) | Amazon EFS 备份始终加密。Amazon EFS 备份的 AWS KMS 加密密钥在存储 Amazon EFS 备份的 AWS Backup 保管库中进行配置。 | 支持 |
| Amazon Elastic Block Store (Amazon EBS) | 默认情况下,Amazon EBS 备份要么使用用于加密源卷的密钥进行加密,要么未加密。在还原期间,您可以通过指定 KMS 密钥来选择覆盖默认加密方法。 | 不支持 |
| Amazon Elastic Compute Cloud (Amazon EC2) AMI | AMI 未加密。EBS 快照按照 EBS 备份的默认加密规则进行加密(参阅 EBS 条目)。可以将数据和根卷的 EBS 快照加密并附加到 AMI。 | 不支持 |
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS 快照使用与用于加密源 Amazon RDS 数据库相同的加密密钥自动进行加密。未加密的 Amazon RDS 数据库的快照也不会加密。 | 不支持 |
| Amazon Aurora | Aurora 集群快照使用与用于加密源 Amazon Aurora 集群相同的加密密钥自动进行加密。未加密的 Aurora 集群的快照也不会加密。 | 不支持 |
| AWS Storage Gateway | Storage Gateway 快照使用与用于加密源 Storage Gateway 卷相同的加密密钥自动进行加密。未加密的 Storage Gateway 卷的快照也不会加密。 您无需在所有服务中使用客户托管密钥即可启用 Storage Gateway。您只需将 Storage Gateway 备份复制到已配置 KMS 密钥的保管库。这是因为 Storage Gateway 没有特定于服务的 AWS KMS 托管密钥。 |
不支持 |
| Amazon FSx | Amazon FSx 文件系统的加密功能因底层文件系统而异。要了解您的特定 Amazon FSx 文件系统的更多信息,请参阅相应的 FSx 用户指南。 | 不支持 |
| Amazon DocumentDB | Amazon DocumentDB 集群快照使用与用于加密源 Amazon DocumentDB 集群相同的加密密钥自动进行加密。未加密的 Amazon DocumentDB 集群的快照也不会加密。 | 不支持 |
| Amazon Neptune | Amazon Neptune 集群快照使用与用于加密源 Amazon Neptune 集群相同的加密密钥自动进行加密。未加密的 Amazon Neptune 集群的快照也不会加密。 | 不支持 |
| Amazon Timestream | Amazon Timestream 表快照备份始终加密。Amazon Timestream 备份的 AWS KMS 加密密钥在存储 Timestream 备份的备份保管库中进行配置。 | 支持 |
| Amazon Redshift | Amazon Redshift 集群快照使用与用于加密源 Amazon Redshift 集群相同的加密密钥自动进行加密。未加密的 Amazon Redshift 集群的快照也不会加密。 | 不支持 |
| AWS CloudFormation | CloudFormation 备份始终加密。CloudFormation 备份的 CloudFormation 加密密钥在存储 CloudFormation 备份的 CloudFormation 保管库中进行配置。 | 支持 |
| Amazon EC2 实例上的 SAP HANA 数据库 | SAP HANA 数据库备份始终加密。SAP HANA 数据库备份的 AWS KMS 加密密钥在存储数据库备份的 AWS Backup 保管库中进行配置。 | 支持 |
备份副本的加密
当您使用 AWS Backup 跨账户或区域复制备份时,即使原始备份未加密,AWS Backup 也会自动加密大多数资源类型的这些副本。AWS Backup 使用目标保管库的 KMS 密钥加密您的副本。但是:未加密的 Aurora、Amazon DocumentDB 和 Neptune 集群的快照也不会加密。
加密和备份副本
对于未完全由 AWS Backup 托管的资源,不支持使用 AWS 托管的 KMS 密钥进行跨账户复制。请参阅全面 AWS Backup 管理以确定哪些资源是完全托管的。
对于完全由 AWS Backup 托管的资源,使用备份保管库的加密密钥对备份进行加密。对于未完全由 AWS Backup 托管的资源,跨账户副本使用与源资源相同的 KMS 密钥。有关更多信息,请参阅 加密密钥和跨账户副本
