Amazon Backup 中的备份加密 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Backup 中的备份加密

注意

Amazon Backup Audit Manager 可帮助您自动检测未加密的备份。

在使用 Amazon Backup 时,您可以针对支持完全 Amazon Backup 管理的资源类型配置加密。如果资源类型不支持完全 Amazon Backup 管理,则您必须按照该服务的说明配置其备份加密,例如《Amazon Elastic Compute Cloud 用户指南》中的 Amazon EBS 加密。要查看支持完全 Amazon Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表的“完全 Amazon Backup 管理”部分。

下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。当 Amazon Backup 独立加密备份时,它会使用行业标准的 AES-256 加密算法。

资源类型 如何配置加密 独立 Amazon Backup 加密
Amazon Simple Storage Service (Amazon S3) Amazon S3 备份使用与备份保管库关联的 Amazon KMS (Amazon Key Management Service) 密钥进行加密。Amazon KMS 密钥可以是客户托管的 CMK,也可以是与 Amazon Backup 服务关联的 Amazon 托管的 CMK。即使未加密源 Amazon S3 存储桶,Amazon Backup 也会加密所有备份。 支持
虚拟机 虚拟机备份始终加密。虚拟机备份的 Amazon KMS 加密密钥在存储虚拟机备份的 Amazon Backup 保管库中进行配置。 支持
启用高级 DynamoDB 备份后的 Amazon DynamoDB

DynamoDB 备份始终加密。DynamoDB 备份的 Amazon KMS 加密密钥在存储 DynamoDB 备份的 Amazon Backup 保管库中进行配置。

支持
未启用高级 DynamoDB 备份的 Amazon DynamoDB

DynamoDB 备份使用与用于加密源 DynamoDB 表的相同加密密钥自动进行加密。未加密的 DynamoDB 表的快照也不会加密。

注意

为了让 Amazon Backup 创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加 kms:Decryptkms:GenerateDataKey 权限。或者,您也可以使用 Amazon Backup 默认服务角色。

不支持
Amazon Elastic File System (Amazon EFS) Amazon EFS 备份始终加密。Amazon EFS 备份的 Amazon KMS 加密密钥在存储 Amazon EFS 备份的 Amazon Backup 保管库中进行配置。 支持
Amazon Elastic Block Store(Amazon EBS) 默认情况下,Amazon EBS 备份要么使用用于加密源卷的密钥进行加密,要么未加密。在还原期间,您可以通过指定 KMS 密钥来选择覆盖默认加密方法。 不支持
Amazon Elastic Compute Cloud (Amazon EC2) AMI 由 Amazon EBS 快照支持的 Amazon EC2 AMI 可以利用 Amazon EBS 加密。可以将数据和根卷的快照加密并附加到 AMI。未加密的 AMI 的快照也不会加密。 不支持
Amazon Relational Database Service (Amazon RDS) Amazon RDS 快照使用与用于加密源 Amazon RDS 数据库相同的加密密钥自动进行加密。未加密的 Amazon RDS 数据库的快照也不会加密。
注意

Amazon Backup 当前支持所有 Amazon RDS 数据库引擎,包括 Amazon Aurora。

不支持
Amazon Aurora Aurora 集群快照使用与用于加密源 Amazon Aurora 集群相同的加密密钥自动进行加密。未加密的 Aurora 集群的快照也不会加密。 不支持
Amazon Storage Gateway Storage Gateway 快照使用与用于加密源 Storage Gateway 卷相同的加密密钥自动进行加密。未加密的 Storage Gateway 卷的快照也不会加密。
注意

您无需在所有服务中使用客户托管密钥即可启用 Storage Gateway。您只需将 Storage Gateway 备份复制到已配置 KMS 密钥的保管库。这是因为 Storage Gateway 没有特定于服务的 Amazon KMS 托管密钥。

不支持
Amazon FSx Amazon FSx 文件系统的加密功能因底层文件系统而异。要了解您的特定 Amazon FSx 文件系统的更多信息,请参阅相应的 FSx 用户指南 不支持
Amazon DocumentDB Amazon DocumentDB 集群快照使用与用于加密源 Amazon DocumentDB 集群相同的加密密钥自动进行加密。未加密的 Amazon DocumentDB 集群的快照也不会加密。 不支持
Amazon Neptune Amazon Neptune 集群快照使用与用于加密源 Amazon Neptune 集群相同的加密密钥自动进行加密。未加密的 Amazon Neptune 集群的快照也不会加密。 不支持
Amazon Timestream Amazon Timestream 表快照备份始终加密。Amazon Timestream 备份的 Amazon KMS 加密密钥在存储 Timestream 备份的备份保管库中进行配置。 支持
Amazon Redshift Amazon Redshift 集群快照使用与用于加密源 Amazon Redshift 集群相同的加密密钥自动进行加密。未加密的 Amazon Redshift 集群的快照也不会加密。 不支持
Amazon CloudFormation CloudFormation 备份始终是加密的。备份的 CloudFormation 加密密钥是在存储 CloudFormation 备份的 CloudFormation 保管库中配置的。 CloudFormation 支持
Amazon EC2 实例上的 SAP HANA 数据库 SAP HANA 数据库备份始终加密。SAP HANA 数据库备份的 Amazon KMS 加密密钥在存储数据库备份的 Amazon Backup 保管库中进行配置。 支持

备份副本的加密

当您使用 Amazon Backup 跨账户或区域复制备份时,即使原始备份未加密,Amazon Backup 也会自动加密这些副本。Amazon Backup 使用目标保管库的 KMS 密钥加密您的副本。

注意

注意:未加密的 Aurora、Amazon DocumentDB 和 Neptune 集群的快照也不会加密。

注意

跨账户副本不支持 Amazon 托管密钥。有关更多信息,请参阅跨账户备份