AWS 中的备份的加密 - AWS Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

AWS 中的备份的加密

AWS 中的所有备份都使用 AWS KMS 托管密钥 (SSE-KMS) 进行加密。配置加密的方式因资源类型而异。在加密备份时,某些资源类型支持使用与用于加密源资源的密钥不同的加密密钥。此功能为备份添加了另一层保护。

下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。

资源类型 如何配置加密 独立备份加密
Amazon Elastic Block Store (Amazon EBS) Amazon EBS 快照使用与加密源 EBS 卷相同的加密密钥自动加密。未加密的 EBS 卷的快照也没有加密。 不支持
Amazon Relational Database Service (Amazon RDS) Amazon RDS 快照使用与加密源 Amazon RDS 数据库相同的加密密钥自动加密。未加密的 Amazon RDS 数据库的快照也没有加密。
注意

AWS Backup 当前支持包括 Amazon Aurora 在内的所有 Amazon RDS 数据库引擎。

不支持
Amazon Aurora Aurora 集群快照使用与加密源 Amazon Aurora 集群相同的加密密钥自动加密。未加密的 Aurora 集群的快照也没有加密。 不支持
Amazon Elastic File System (Amazon EFS) Amazon EFS 备份始终加密。Amazon EFS 备份的 AWS KMS 加密密钥在 AWS Backup 文件库(Amazon EFS 备份存储在其中)中进行配置。 支持。
Amazon DynamoDB DynamoDB 备份始终加密。DynamoDB 备份使用与加密源 DynamoDB 表相同的加密密钥自动加密。未加密的 DynamoDB 表的快照也没有加密。 不支持
AWS Storage Gateway AWS Storage Gateway 快照使用与加密源 AWS Storage Gateway 卷相同的加密密钥自动加密。未加密的 AWS Storage Gateway 卷的快照也没有加密。
注意

您无需在所有服务中使用客户主密钥 (CMK) 即可启用 AWS Storage Gateway。您只需将 Storage Gateway 备份复制到已配置 CMK 的保管库。这是因为 Storage Gateway 没有特定于服务的 AWS KMS 托管密钥。

不支持

备份副本的加密

默认情况下,AWS Backup 会尽可能加密备份副本,即使原始备份未加密也是如此。

对于加密备份副本,您有两种选择:

  • 对目标备份保管库使用默认 AWS 托管 CMK。每项服务的默认密钥都不相同并由 AWS 托管。

  • 指定要由复制作业使用的所有服务中的客户托管 CMK。这是 AWS Storage Gateway 备份的唯一支持选项。

有关 AWS KMS 的更多信息,请参阅什么是 AWS Key Management Service

要了解有关 AWS Backup 支持的每项服务的备份加密的更多信息,请参阅以下主题: