Criptografia para backups no AWS Backup
É possível configurar a criptografia para tipos de recursos que sejam compatíveis com o gerenciamento completo do AWS Backup usando o AWS Backup. Se o tipo de recurso não for compatível com o gerenciamento completo do AWS Backup, você deverá configurar sua criptografia de backup seguindo as instruções desse serviço, como a criptografia do Amazon EBS no Guia do usuário do Amazon EBS. Para ver a lista de tipos de recursos compatíveis com o gerenciamento completo do AWS Backup, consulte a seção “Gerenciamento completo do AWS Backup” da tabela Disponibilidade de recursos por recurso.
Sua perfil do IAM deve ter acesso à chave do KMS que está sendo usada para fazer backup e restaurar o objeto. Caso contrário, o trabalho será bem-sucedido, mas os objetos não serão copiados nem restaurados. As permissões na política do IAM e na política de chave do KMS devem ser consistentes. Para obter mais informações, consulte Especificação de chaves do KMS nas declarações de política do IAM no Guia do desenvolvedor do AWS Key Management Service.
nota
O AWS Backup Audit Manager ajuda você a detectar automaticamente backups não criptografados.
A tabela a seguir lista cada tipo de recurso com suporte, como a criptografia é configurada para backups e se a criptografia independente para backups é compatível. Quando o AWS Backup criptografa um backup de forma independente, ele usa o algoritmo de criptografia AES-256 padrão do setor. Para obter mais informações sobre criptografia no AWS Backup, consulte Backup entre regiões e entre contas.
| Tipo de recurso | Como configurar a criptografia | Criptografia independente do AWS Backup |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Os backups do Amazon S3 são criptografados usando uma chave do AWS KMS (AWS Key Management Service) associada ao cofre de backup. A chave do AWS KMS pode ser uma chave gerenciada pelo cliente ou uma chave gerenciada pela AWS associada ao serviço do AWS Backup. O AWS Backup criptografa todos os backups, mesmo que os buckets de origem do Amazon S3 não estejam criptografados. | Compatível |
| Máquinas virtuais da VMware | Os backups de VM sempre são criptografados. A chave de criptografia do AWS KMS para backups de máquinas virtuais é configurada no cofre do AWS Backup no qual os backups de máquinas virtuais são armazenados. | Compatível |
| Amazon DynamoDB após a habilitar Backup avançado do DynamoDB |
Os backups do DynamoDB sempre são criptografados. A chave de criptografia do AWS KMS para backups do DynamoDB é configurada no cofre do AWS Backup no qual os backups do DynamoDB são armazenados. |
Compatível |
| Amazon DynamoDB sem habilitar Backup avançado do DynamoDB |
Os backups do DynamoDB são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar a tabela de origem do DynamoDB. Os snapshots das tabelas não criptografadas do DynamoDB também não são criptografados. Para que o AWS Backup crie o backup de uma tabela criptografada do DynamoDB, você deve adicionar as permissões |
Sem compatibilidade |
| Amazon Elastic File System (Amazon EFS) | Os backups do Amazon EFS sempre são criptografados. A chave de criptografia do AWS KMS para backups do Amazon EFS é configurada no cofre do AWS Backup no qual os backups do Amazon EFS são armazenados. | Compatível |
| Amazon Elastic Block Store (Amazon EBS) | Por padrão, os backups do Amazon EBS são criptografados usando a chave usada para criptografar o volume de origem ou não são criptografados. Durante a restauração, é possível optar por substituir o método de criptografia padrão especificando uma chave do KMS. | Sem compatibilidade |
| AMIs do Amazon Elastic Compute Cloud (Amazon EC2) | As AMIs não são criptografadas. Os snapshots do EBS são criptografados pelas regras de criptografia padrão para backups do EBS (consulte a entrada do EBS). Os snapshots de volumes raiz e de dados podem ser criptografados e anexados a uma AMI. | Sem compatibilidade |
| Amazon Relational Database Service (Amazon RDS) | Os snapshots do Amazon RDS são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar banco de dados de origem do Amazon RDS. Os snapshots de bancos de dados do Amazon RDS não criptografados também não são criptografados. | Sem compatibilidade |
| Amazon Aurora | Os snapshots do cluster do Aurora são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon Aurora. Os snapshots de clusters não criptografados do Aurora também não são criptografados. | Sem compatibilidade |
| AWS Storage Gateway | Os snapshots do Storage Gateway são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o volume de origem do Storage Gateway. Os snapshots de volumes não criptografados do Storage Gateway também não são criptografados. Não é necessário usar uma chave gerenciada pelo do cliente em todos os serviços para habilitar o Storage Gateway. Só é necessário copiar o backup do Storage Gateway em um cofre que configurou uma chave do KMS. Isso ocorre porque o Storage Gateway não tem uma chave gerenciada do AWS KMS específica do serviço. |
Sem compatibilidade |
| Amazon FSx | Os recursos de criptografia para os sistemas de arquivos do Amazon FSx diferem com base no sistema de arquivos subjacente. Para saber mais sobre seu sistema de arquivos Amazon FSx específico, consulte o Guia do usuário do FSx apropriado. | Sem compatibilidade |
| Amazon DocumentDB | Os snapshots do cluster do Amazon DocumentDB são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon DocumentDB. Os snapshots de clusters não criptografados do Amazon DocumentDB também não são criptografados. | Sem compatibilidade |
| Amazon Neptune | Os snapshots do cluster do Neptune são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Neptune. Os snapshots de clusters não criptografados do Neptune também não são criptografados. | Sem compatibilidade |
| Amazon Timestream | Os backups de snapshots de tabelas do Timestream são sempre criptografados. A chave de criptografia do AWS KMS para backups do Timestream é configurada no cofre de backup no qual os backups do Timestream são armazenados. | Compatível |
| Amazon Redshift | Os snapshots do cluster do Amazon Redshift são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon Redshift. Os snapshots de clusters não criptografados do Amazon Redshift também não são criptografados. | Sem compatibilidade |
| AWS CloudFormation | Os backups do CloudFormation são sempre criptografados. A chave de criptografia do CloudFormation para backups do CloudFormation é configurada no cofre do CloudFormation no qual os backups do CloudFormation são armazenados. | Compatível |
| Backup de bancos de dados SAP HANA em instâncias do Amazon EC2 | Os backups do banco de dados SAP HANA são sempre criptografados. A chave de criptografia do AWS KMS para backups de banco de dados SAP HANA é configurada no cofre do AWS Backup no qual os backups do banco de dados são armazenados. | Compatível |
Criptografia para cópias de backup
Quando você usa o AWS Backup para copiar seus backups entre contas ou entre regiões, o AWS Backup criptografa automaticamente essas cópias para a maioria dos tipos de recurso, mesmo que o backup original não esteja criptografado. O AWS Backup criptografa a cópia usando a chave do KMS do cofre de destino. Os snapshots de clusters não criptografados do Aurora, do Amazon DocumentDB e do Neptune também não são criptografados.
Criptografia e cópias de backup
A cópia entre contas com chaves do KMS gerenciadas pela AWS não é compatível com recursos que não são totalmente gerenciados pelo AWS Backup. Consulte Gerenciamento completo do AWS Backup para determinar quais recursos são totalmente gerenciados.
Para os recursos totalmente gerenciados pelo AWS Backup, os backups são criptografados com a chave de criptografia do cofre de backup. Para os recursos que não são totalmente gerenciados pelo AWS Backup, as cópias entre contas usam a mesma chave do KMS do recurso de origem. Para ter mais informações, consulte Chaves de criptografia e cópias entre contas.
