虚拟机管理程序凭证加密 - Amazon Backup
Amazon 拥有的密钥授权监控加密密钥
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

虚拟机管理程序凭证加密

管理程序管理的虚拟机使用 Amazon Backup 网关将本地系统连接到 Amazon Backup。管理程序必须具有同样强大而可靠的安全性,这一点很重要。这种安全性可以通过使用 Amazon 自有密钥或客户管理的密钥对虚拟机管理程序进行加密来实现。

Amazon 自有密钥和客户管理的密钥

Amazon Backup 为虚拟机管理程序凭据提供加密,以使用Amazon 自有的加密密钥保护敏感的客户登录信息。您可以选择改用客户托管密钥

默认情况下,用于在虚拟机管理程序中加密凭据的密钥是Amazon 自有密钥。 Amazon Backup 使用这些密钥自动加密虚拟机管理程序凭据。您既无法查看、管理或使用 Amazon 拥有的密钥,也无法审核其使用情况。但是,无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息,请参阅《 Amazon KMS 开发者指南》中的 Amazon 自有密钥。

或者,也可以使用客户托管密钥对凭证进行加密。 Amazon Backup 支持使用由您创建、拥有和管理的对称客户托管密钥来执行加密。由于您可以完全控制此加密,因此可以执行以下任务:

  • 制定和维护密钥策略

  • 制定和维护 IAM policy 和授权

  • 启用和禁用密钥策略

  • 轮换密钥加密材料

  • 添加标签

  • 创建密钥别名

  • 计划删除密钥

当您使用客户托管密钥时,请 Amazon Backup 验证您的角色是否有权使用此密钥进行解密(在运行备份或还原作业之前)。必须将 kms:Decrypt 操作添加到用于启动备份或还原作业的角色。

由于无法将 kms:Decrypt 操作添加到默认备份角色,因此必须使用默认备份角色以外的角色才能使用客户托管密钥。

有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的客户托管密钥

使用客户托管密钥时需要的授权

Amazon KMS 需要获得授权才能使用您的客户托管密钥。当您导入使用客户托管密钥加密的虚拟机管理程序配置时, Amazon Backup 会通过向发送CreateGrant请求来代表您创建授权。 Amazon KMS Amazon Backup 使用授权访问客户账户中的 KMS 密钥。

您可以随时撤销对授予的访问权限,也可以取消 Amazon Backup对客户托管密钥的访问权限。如果这样做,与管理程序关联的所有网关都将无法再访问由客户托管密钥加密的管理程序的用户名和密码,这将影响您的备份和还原作业。具体而言,您在此管理程序中对虚拟机执行的备份和还原作业将失败。

当您删除管理程序时,Backup Gateway 将使用 RetireGrant 操作来删除授权。

监控加密密钥

当您对 Amazon Backup 资源使用 Amazon KMS 客户托管密钥时,您可以使用Amazon CloudTrailAmazon CloudWatch Logs 来跟踪 Amazon Backup 发送到的请求 Amazon KMS。

查找具有以下"eventName"字段 Amazon CloudTrail 的事件,以监控访问由 Amazon Backup 您的客户托管密钥加密的数据所调用的 Amazon KMS 操作:

  • "eventName": "CreateGrant"

  • "eventName": "Decrypt"

  • "eventName": "Encrypt"

  • "eventName": "DescribeKey"