Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi untuk backup di AWS Backup
Anda dapat mengonfigurasi enkripsi untuk jenis sumber daya yang mendukung AWS Backup pengelolaan penuh dalam penggunaan AWS Backup. Jika jenis sumber daya tidak mendukung AWS Backup manajemen penuh, Anda harus mengonfigurasi enkripsi cadangannya dengan mengikuti instruksi layanan tersebut, seperti EBSenkripsi Amazon di Panduan EBS Pengguna Amazon. Untuk melihat daftar jenis sumber daya yang mendukung AWS Backup manajemen penuh, lihat bagian “ AWS Backup Manajemen penuh” pada Ketersediaan fitur berdasarkan sumber daya tabel.
IAMPeran Anda harus memiliki akses ke KMS kunci yang digunakan untuk mencadangkan dan memulihkan objek. Jika tidak, pekerjaan berhasil tetapi objek tidak didukung atau dipulihkan. Izin dalam IAM kebijakan dan kebijakan KMS utama harus konsisten. Untuk informasi selengkapnya, lihat Menentukan KMS kunci dalam pernyataan IAM kebijakan di Panduan AWS Key Management Service Pengembang.
catatan
AWS Backup Audit Manager membantu Anda mendeteksi backup yang tidak terenkripsi secara otomatis.
Tabel berikut mencantumkan setiap jenis sumber daya yang didukung, cara enkripsi dikonfigurasi untuk backup, dan apakah enkripsi independen untuk backup didukung. Ketika AWS Backup secara independen mengenkripsi cadangan, ia menggunakan algoritma enkripsi -256 standar industriAES. Untuk informasi selengkapnya tentang enkripsi di AWS Backup, lihat Pencadangan lintas wilayah dan lintas akun.
| Jenis sumber daya | Cara mengkonfigurasi enkripsi | AWS Backup Enkripsi independen |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Cadangan Amazon S3 dienkripsi menggunakan kunci AWS KMS (AWS Key Management Service) yang terkait dengan brankas cadangan. AWS KMSKunci dapat berupa kunci yang dikelola pelanggan atau kunci yang AWS dikelola yang terkait dengan layanan. AWS Backup AWS Backup mengenkripsi semua cadangan bahkan jika bucket Amazon S3 sumber tidak dienkripsi. | Didukung |
| VMwaremesin virtual | Cadangan VM selalu dienkripsi. Kunci AWS KMS enkripsi untuk pencadangan mesin virtual dikonfigurasi di AWS Backup brankas tempat cadangan mesin virtual disimpan. | Didukung |
| Amazon DynamoDB setelah mengaktifkan Cadangan DynamoDB tingkat lanjut |
Pencadangan DynamoDB selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup DynamoDB dikonfigurasi di AWS Backup vault tempat cadangan DynamoDB disimpan. |
Didukung |
| Amazon DynamoDB tanpa mengaktifkan Cadangan DynamoDB tingkat lanjut |
Pencadangan DynamoDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi tabel DynamoDB sumber. Snapshot dari tabel DynamoDB yang tidak terenkripsi juga tidak terenkripsi. AWS Backup Agar dapat membuat cadangan tabel DynamoDB terenkripsi, Anda harus menambahkan izin |
Tidak didukung |
| Amazon Elastic File System (AmazonEFS) | EFSCadangan Amazon selalu dienkripsi. Kunci AWS KMS enkripsi untuk EFS cadangan Amazon dikonfigurasi di AWS Backup brankas tempat EFS cadangan Amazon disimpan. | Didukung |
| Toko Blok Elastis Amazon (AmazonEBS) | Secara default, EBS cadangan Amazon dienkripsi menggunakan kunci yang digunakan untuk mengenkripsi volume sumber, atau tidak dienkripsi. Selama pemulihan, Anda dapat memilih untuk mengganti metode enkripsi default dengan menentukan kunci. KMS | Tidak didukung |
| Amazon Elastic Compute Cloud (AmazonEC2) AMIs | AMIstidak terenkripsi. EBSsnapshot dienkripsi oleh aturan enkripsi default untuk EBS backup (lihat entri untuk). EBS EBSsnapshot data dan volume root dapat dienkripsi dan dilampirkan ke file. AMI | Tidak didukung |
| Amazon Relational Database Service (AmazonRDS) | RDSSnapshot Amazon secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi basis data Amazon sumber. RDS Cuplikan dari database RDS Amazon yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Aurora | Snapshot cluster Aurora secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi sumber cluster Amazon Aurora. Cuplikan cluster Aurora yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| AWS Storage Gateway | Snapshot Storage Gateway secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi volume Storage Gateway sumber. Snapshot dari volume Storage Gateway yang tidak terenkripsi juga tidak terenkripsi. Anda tidak perlu menggunakan kunci yang dikelola pelanggan di semua layanan untuk mengaktifkan Storage Gateway. Anda hanya perlu menyalin cadangan Storage Gateway ke vault yang mengonfigurasi KMS kunci. Ini karena Storage Gateway tidak memiliki kunci AWS KMS terkelola khusus layanan. |
Tidak didukung |
| Amazon FSx | Fitur enkripsi untuk sistem FSx file Amazon berbeda berdasarkan sistem file yang mendasarinya. Untuk mempelajari selengkapnya tentang sistem FSx file Amazon tertentu, lihat Panduan FSx Pengguna yang sesuai. | Tidak didukung |
| Amazon DocumentDB | Snapshot cluster Amazon DocumentDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon DocumentDB sumber. Cuplikan cluster Amazon DocumentDB yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Neptune | Snapshot cluster Neptunus secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Neptunus sumber. Cuplikan cluster Neptunus yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Timestream | Pencadangan snapshot tabel timestream selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Timestream dikonfigurasi di brankas cadangan tempat cadangan Timestream disimpan. | Didukung |
| Amazon Redshift | Cluster Amazon Redshift secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon Redshift sumber. Cuplikan cluster Amazon Redshift yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| AWS CloudFormation | CloudFormation backup selalu dienkripsi. Kunci CloudFormation enkripsi untuk CloudFormation cadangan dikonfigurasi di CloudFormation brankas tempat CloudFormation cadangan disimpan. | Didukung |
| SAPHANAdatabase pada instans Amazon EC2 | SAPHANAbackup database selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup SAP HANA database dikonfigurasi di AWS Backup brankas tempat backup database disimpan. | Didukung |
Enkripsi untuk salinan cadangan
Saat Anda menggunakannya AWS Backup untuk menyalin cadangan di seluruh akun atau Wilayah, AWS Backup secara otomatis mengenkripsi salinan tersebut untuk sebagian besar jenis sumber daya, meskipun cadangan asli tidak dienkripsi. AWS Backup mengenkripsi salinan Anda menggunakan kunci target vault. KMS Namun, snapshot dari cluster Aurora, Amazon DocumentDB, dan Neptunus yang tidak terenkripsi juga tidak terenkripsi.
Enkripsi dan salinan cadangan
Salinan lintas akun dengan KMS kunci AWS terkelola tidak didukung untuk sumber daya yang tidak dikelola sepenuhnya oleh AWS Backup. Lihat AWS Backup Manajemen penuh untuk menentukan sumber daya mana yang sepenuhnya dikelola.
Untuk sumber daya yang dikelola sepenuhnya oleh AWS Backup, cadangan dienkripsi dengan kunci enkripsi brankas cadangan. Untuk sumber daya yang tidak sepenuhnya dikelola oleh AWS Backup, salinan lintas akun menggunakan KMS kunci yang sama dengan sumber daya sumber. Untuk informasi selengkapnya, silakan lihat Kunci enkripsi dan salinan lintas akun
