虚拟机管理程序凭证加密 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

虚拟机管理程序凭证加密

管理程序管理的虚拟机使用 Amazon Backup 网关将本地系统连接到 Amazon Backup。管理程序必须具有同样强大而可靠的安全性,这一点很重要。这种安全性可以通过使用 Amazon 自有密钥或客户托管的密钥对管理程序进行加密来实现。

Amazon 自有和客户托管密钥

Amazon Backup 为管理程序凭证提供加密,以使用 Amazon 自有加密密钥保护敏感的客户登录信息。您可以选择改用客户托管密钥

默认情况下,在管理程序中用于加密凭证的密钥是 Amazon 自有密钥。Amazon Backup 使用这些密钥自动加密管理程序凭证。您无法查看、管理或使用 Amazon 自有密钥,也不能审计其使用情况。但是,无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息,请参阅 Amazon KMS 开发人员指南中的 Amazon 自有密钥。

或者,也可以使用客户托管密钥对凭证进行加密。Amazon Backup 支持使用由您创建、拥有和管理的对称客户托管密钥来执行加密。由于您可以完全控制此加密,因此可以执行以下任务:

  • 制定和维护密钥策略

  • 建立和维护 IAM 策略和授权

  • 启用和禁用密钥策略

  • 轮换加密材料

  • 添加标签

  • 创建密钥别名

  • 计划要删除的密钥

当您使用客户托管密钥时,Amazon Backup 会验证您的角色是否有权使用此密钥进行解密(在运行备份或还原作业之前)。必须将 kms:Decrypt 操作添加到用于启动备份或还原作业的角色。

由于无法将 kms:Decrypt 操作添加到默认备份角色,因此必须使用默认备份角色以外的角色才能使用客户托管密钥。

有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的客户托管密钥

使用客户托管密钥时需要的授权

Amazon KMS 需要授权才能使用客户托管密钥。当您导入使用客户托管密钥加密的管理程序配置时,Amazon Backup 会通过向 Amazon KMS 发送 CreateGrant 请求来代表您创建授权。Amazon Backup 使用授权访问客户账户中的 KMS 密钥。

您可以随时撤消针对授权的访问权限,也可以删除 Amazon Backup 对客户托管密钥的访问权限。如果这样做,与管理程序关联的所有网关都将无法再访问由客户托管密钥加密的管理程序的用户名和密码,这将影响您的备份和还原作业。具体而言,您在此管理程序中对虚拟机执行的备份和还原作业将失败。

当您删除管理程序时,Backup Gateway 将使用 RetireGrant 操作来删除授权。

监控加密密钥

当您将 Amazon KMS 客户托管密钥与 Amazon Backup 资源结合使用时,您可以使用 Amazon CloudTrailAmazon CloudWatch Logs 来跟踪 Amazon Backup 发送到 Amazon KMS 的请求。

查找具有以下 "eventName" 字段 Amazon CloudTrail 事件,以监控 Amazon Backup 调用的用于访问通过您的客户托管密钥加密的数据的 Amazon KMS 操作:

  • "eventName": "CreateGrant"

  • "eventName": "Decrypt"

  • "eventName": "Encrypt"

  • "eventName": "DescribeKey"