中的备份加密Amazon - AWS Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的备份加密Amazon

配置加密的方式因资源类型而异。在加密备份时,某些资源类型支持使用与用于加密源资源的密钥不同的加密密钥。此功能为备份添加了另一层保护。

下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。

资源类型 如何配置加密 独立备份加密
Amazon Elastic File System(Amazon EFS) Amazon EFS 备份始终加密。这些区域有:Amazon KMSAmazon EFS 备份的加密钥在 AWS Backup 文件库(Amazon EFS 备份存储在其中)中进行配置。 支持
Amazon Elastic Block Store (Amazon EBS) Amazon EBS 快照使用与加密源 EBS 卷相同的加密钥自动加密。未加密的 EBS 卷的快照也没有加密。 不支持
Amazon Elastic Compute Cloud (Amazon EC2) AMI Amazon EBS 快照支持的 Amazon EC2 AMI 使用与加密源 EBS 卷相同的加密钥自动加密。未加密的 AMI 的快照也没有加密。 不支持
Amazon Relational Database Service (Amazon RDS) Amazon RDS 快照使用与加密源 Amazon RDS 数据库相同的加密钥自动加密。未加密的 Amazon RDS 数据库的快照也没有加密。
注意

AWS Backup 目前支持所有 Amazon RDS 数据库引擎,包括 Amazon Aurora。

不支持
Amazon Aurora Aurora 集群快照使用与加密源 Amazon Aurora 集群相同的加密钥自动加密。未加密的 Aurora 集群的快照也没有加密。 不支持
Amazon DynamoDB

DynamoDB 备份使用与加密源 DynamoDB 表相同的加密钥自动加密。未加密的 DynamoDB 表的快照也没有加密。

注意

为了使 AWS Backup 能够创建加密的 DynamoDB 表的备份,您必须添加kms:Decryptkms:GenerateDataKey添加到用于备份的 IAM 角色。或者,您可以使用 AWS Backup 默认服务角色。

不支持
Amazon Storage Gateway Amazon Storage Gateway 快照使用与加密源 Amazon Storage Gateway 卷相同的加密密钥自动加密。未加密的 Amazon Storage Gateway 卷的快照也没有加密。
注意

您无需在所有服务中使用客户托管密钥即可启用Amazon Storage Gateway。您只需将 Storage Gateway 备份复制到已配置 KMS 密钥的文件库。这是因为 Storage Gateway 没有特定于服务的 Amazon KMS 托管密钥。

不支持
Amazon FSx Amazon FSX 文件系统的加密功能因基础文件系统而异。要了解有关特定 Amazon FSX 文件系统的更多信息,请参阅FSX 用户指南 不支持

备份副本的加密

默认情况下,AWS Backup 会尽可能加密备份副本,即使原始备份未加密也是如此。

对于加密备份副本,您有两种选择:

  1. 使用默认Amazon目标备份保管库的 KMS 密钥。每项服务的默认密钥都不相同并由 Amazon 托管。

  2. 通过目标保管库指定客户管理的密钥。这是 Amazon Storage Gateway 备份的唯一支持选项。

最小特权

以下示例策略说明了 KMS 密钥策略中用于从AmazonCloud GovCloud(美国东部)(账户 1122*)至AmazonGovCloud(美国西部)(账户 9988*,并有钥匙)。

{ "Sid":"Allow use of the key - added", "Effect":"Allow", "Principal":{ "AWS":"arn:aws-us-gov:iam::112233445566:root" }, "Action":[ "kms:CreateGrant", "kms:DescribeKey" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":[ "rds.us-gov-west-1.amazonaws.com", "backup.us-gov-west-1.amazonaws.com" ], "kms:CallerAccount":"998877665544" } } }

有关 的更多信息Amazon KMS,请参阅是什么Amazon KMS?

要了解有关 AWS Backup 支持的每项服务的备份加密的更多信息,请参阅以下主题: