Cifrado para copias de seguridad en AWS Backup
Puede configurar el cifrado para los tipos de recursos que admiten una administración completa de AWS Backup al utilizar AWS Backup. Si el tipo de recurso no admite la administración completa de AWS Backup, debe configurar el cifrado de la copia de seguridad según las instrucciones de ese servicio, como Cifrado de Amazon EBS en la Guía del usuario de Amazon EBS. Para ver la lista de tipos de recursos que admiten la administración completa de AWS Backup, consulte la sección “Administración completa de AWS Backup” de la tabla Disponibilidad de características por recurso.
Su rol de IAM debe tener acceso a la Clave de KMS que se utiliza para hacer copias de seguridad del objeto y restaurarlo. De lo contrario, el trabajo se realizará correctamente, pero no se realizará una copia de seguridad de los objetos ni se restaurará. Los permisos de la política de IAM y la política de claves de KMS deben ser coherentes. Para obtener más información, consulte Specifying KMS keys in IAM policy statements en la Guía para desarrolladores de AWS Key Management Service.
nota
AWS Backup Audit Manager le ayuda a detectar automáticamente las copias de seguridad no cifradas.
En la siguiente tabla se muestra cada tipo de recurso admitido, cómo está configurado el cifrado para las copias de seguridad y si se admite el cifrado independiente para las copias de seguridad. Cuando AWS Backup cifra de forma independiente una copia de seguridad, utiliza el algoritmo de cifrado AES-256 estándar del sector. Para obtener más información sobre el cifrado en AWS Backup, consulte copias de seguridad entre regiones y entre cuentas.
| Tipo de recurso | Cómo configurar el cifrado | Cifrado de AWS Backup independiente |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Las copias de seguridad de Amazon S3 se cifran mediante una clave de AWS KMS (AWS Key Management Service) asociada al almacén de copias de seguridad. La clave de AWS KMS puede ser una clave administrada por el cliente o una clave administrada por AWS asociada al servicio de AWS Backup. AWS Backup cifra todas las copias de seguridad incluso si los buckets de Amazon S3 de origen no están cifrados. | Compatible |
| Máquinas virtuales de VMware | Las copias de seguridad de VM están siempre cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de máquinas virtuales se configura en el almacén de AWS Backup donde se almacenan las copias de seguridad. | Compatible |
| Amazon DynamoDB después de habilitar Copia de seguridad avanzada de DynamoDB |
Las copias de seguridad de DynamoDB siempre están cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de DynamoDB se configura en el almacén de AWS Backup donde se almacenan las copias de seguridad de DynamoDB. |
Compatible |
| Amazon DynamoDB sin habilitar Copia de seguridad avanzada de DynamoDB |
Las copias de seguridad de DynamoDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la tabla de DynamoDB de origen. Las instantáneas de tablas de DynamoDB sin cifrar también están sin cifrar. Para que AWS Backup cree una copia de seguridad de una tabla de DynamoDB cifrada, debe agregar los permisos |
No compatible |
| Amazon Elastic File System (Amazon EFS) | Las copias de seguridad de Amazon EFS siempre están cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de Amazon EFS se configura en el almacén de AWS Backup donde se almacenan las copias de seguridad de Amazon EFS. | Compatible |
| Amazon Elastic Block Store (Amazon EBS) | De forma predeterminada, las copias de seguridad de Amazon EBS se cifran con la clave que se utilizó para cifrar el volumen de origen, o no se cifran. Durante la restauración, puede especificar una clave de KMS para anular el método de cifrado predeterminado. | No compatible |
| AMI de Amazon Elastic Compute Cloud (Amazon EC2) | Las AMI no están cifradas. Las instantáneas de EBS se cifran según las reglas de cifrado predeterminadas para las copias de seguridad de EBS (consulte la entrada correspondiente a EBS). Las instantáneas de EBS de datos y volúmenes raíz se pueden cifrar y adjuntar a una AMI. | No compatible |
| Amazon Relational Database Service (Amazon RDS) | Las instantáneas de Amazon RDS se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la base de datos de Amazon RDS de origen. Las instantáneas de bases de datos de Amazon RDS sin cifrar también están sin cifrar. | No compatible |
| Amazon Aurora | Las instantáneas de clúster de Aurora se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Aurora de origen. Las instantáneas de clústeres de Aurora sin cifrar también están sin cifrar. | No compatible |
| AWS Storage Gateway | Las instantáneas de Storage Gateway se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el volumen de Storage Gateway de origen. Las instantáneas de volúmenes de Storage Gateway sin cifrar también están sin cifrar. No es necesario utilizar una clave administrada por el cliente en todos los servicios para habilitar Storage Gateway. Basta con replicar la copia de seguridad de Storage Gateway en un almacén donde se haya configurado una clave de KMS. El motivo es que Storage Gateway no tiene una clave administrada de AWS KMS específica para el servicio. |
No compatible |
| Amazon FSx | Las características de cifrado de los sistemas de archivos de Amazon FSx varían en función del sistema de archivos subyacente. Para obtener más información sobre su sistema de archivos de Amazon FSx concreto, consulte la Guía del usuario de FSx correspondiente. | No compatible |
| Amazon DocumentDB | Las instantáneas de clúster de Amazon DocumentDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon DocumentDB de origen. Las instantáneas de clústeres de Amazon DocumentDB sin cifrar también están sin cifrar. | No compatible |
| Amazon Neptune | Las instantáneas de clúster de Neptune se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Neptune de origen. Las instantáneas de clústeres de Neptune sin cifrar también están sin cifrar. | No compatible |
| Amazon Timestream | Las copias de seguridad de las instantáneas de la tabla de Timestream siempre están cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de Timestream se configura en el almacén de copias de seguridad donde se almacenan las copias de seguridad de Timestream. | Compatible |
| Amazon Redshift | Las instantáneas de clúster de Amazon Redshift se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Redshift de origen. Las instantáneas de clústeres de Amazon Redshift sin cifrar también están sin cifrar. | No compatible |
| AWS CloudFormation | Las copias de seguridad de CloudFormation siempre están cifradas. La clave de cifrado de CloudFormation para las copias de seguridad de CloudFormation se configura en el almacén de CloudFormation donde se almacenan las copias de seguridad de CloudFormation. | Compatible |
| Bases de datos de SAP HANA en instancias de Amazon EC2 | Las copias de seguridad de las bases de datos de SAP HANA siempre están cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de las bases de datos de SAP HANA se configura en el almacén de AWS Backup donde se almacenan las copias de seguridad de las bases de datos. | Compatible |
Cifrado de copias de seguridad
Cuando utiliza AWS Backup para replicar sus copias de seguridad entre cuentas o regiones, AWS Backup cifra automáticamente esas copias para más tipos de recursos, incluso si la copia de seguridad original no está cifrada. AWS Backup cifra la copia con la clave de KMS del almacén de destino. Sin embargo, las instantáneas de los clústeres de Aurora, Amazon DocumentDB y Neptune sin cifrar también están sin cifrar.
Copias de cifrado y copias de seguridad
No se admite la copia entre cuentas con claves de KMS administradas de AWS para recursos que no estén completamente administrados por AWS Backup. Consulte Administración completa de AWS Backup para determinar qué recursos se administran por completo.
En el caso de los recursos que se administran en su totalidad mediante AWS Backup, las copias de seguridad se cifran con la clave de cifrado del almacén de copias de seguridad. En el caso de los recursos que no se administran por completo mediante AWS Backup, las copias entre cuentas utilizan la misma clave de KMS que el recurso de origen. Para obtener más información, consulte Claves de cifrado y copias entre cuentas
