Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi untuk backup di AWS Backup
Enkripsi independen
AWS Backup menawarkan enkripsi independen untuk jenis sumber daya yang mendukung AWS Backup manajemen penuh. Enkripsi independen berarti bahwa titik pemulihan (cadangan) yang Anda buat AWS Backup dapat memiliki metode enkripsi selain yang ditentukan oleh enkripsi sumber daya sumber. Misalnya, cadangan bucket Amazon S3 Anda dapat memiliki metode enkripsi yang berbeda dari bucket sumber yang Anda enkripsi dengan enkripsi Amazon S3. Enkripsi ini dikontrol melalui konfigurasi AWS KMS kunci di brankas cadangan tempat cadangan Anda disimpan.
Pencadangan jenis sumber daya yang tidak sepenuhnya dikelola dengan AWS Backup biasanya mewarisi pengaturan enkripsi dari sumber sumber daya mereka. Anda dapat mengonfigurasi pengaturan enkripsi ini sesuai dengan instruksi layanan tersebut, seperti enkripsi Amazon EBS di Panduan Pengguna Amazon EBS.
Peran IAM Anda harus memiliki akses ke kunci KMS yang digunakan untuk mencadangkan dan memulihkan objek. Jika tidak, pekerjaan berhasil tetapi objek tidak didukung atau dipulihkan. Izin dalam kebijakan IAM dan kebijakan kunci KMS harus konsisten. Untuk informasi selengkapnya, lihat Menentukan kunci KMS dalam pernyataan kebijakan IAM di Panduan Pengembang.AWS Key Management Service
Tabel berikut mencantumkan setiap jenis sumber daya yang didukung, cara enkripsi dikonfigurasi untuk backup, dan apakah enkripsi independen untuk backup didukung. Ketika AWS Backup secara independen mengenkripsi cadangan, ia menggunakan algoritma enkripsi AES-256 standar industri. Untuk informasi selengkapnya tentang enkripsi di AWS Backup, lihat Pencadangan lintas wilayah dan lintas akun.
| Jenis sumber daya | Cara mengkonfigurasi enkripsi | AWS Backup Enkripsi independen |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Cadangan Amazon S3 dienkripsi menggunakan kunci AWS KMS (AWS Key Management Service) yang terkait dengan brankas cadangan. Kunci AWS KMS dapat berupa kunci yang dikelola pelanggan atau kunci yang dikelola yang AWS terkait dengan layanan. AWS Backup AWS Backup mengenkripsi semua cadangan bahkan jika bucket Amazon S3 sumber tidak dienkripsi. | Didukung |
| VMware mesin virtual | Cadangan VM selalu dienkripsi. Kunci AWS KMS enkripsi untuk pencadangan mesin virtual dikonfigurasi di AWS Backup brankas tempat cadangan mesin virtual disimpan. | Didukung |
| Amazon DynamoDB setelah mengaktifkan Cadangan DynamoDB tingkat lanjut |
Pencadangan DynamoDB selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup DynamoDB dikonfigurasi di AWS Backup vault tempat cadangan DynamoDB disimpan. |
Didukung |
| Amazon DynamoDB tanpa mengaktifkan Cadangan DynamoDB tingkat lanjut |
Pencadangan DynamoDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi tabel DynamoDB sumber. Snapshot dari tabel DynamoDB yang tidak terenkripsi juga tidak terenkripsi. AWS Backup Agar dapat membuat cadangan tabel DynamoDB terenkripsi, Anda harus menambahkan izin |
Tidak didukung |
| Amazon Elastic File System (Amazon EFS) | Cadangan Amazon EFS selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Amazon EFS dikonfigurasi di AWS Backup brankas tempat cadangan Amazon EFS disimpan. | Didukung |
| Amazon Elastic Block Store (Amazon EBS) | Secara default, cadangan Amazon EBS dienkripsi menggunakan kunci yang digunakan untuk mengenkripsi volume sumber, atau tidak dienkripsi. Selama pemulihan, Anda dapat memilih untuk mengganti metode enkripsi default dengan menentukan kunci KMS. | Tidak didukung |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs tidak terenkripsi. Snapshot EBS dienkripsi oleh aturan enkripsi default untuk cadangan EBS (lihat entri untuk EBS). Snapshot EBS data dan volume root dapat dienkripsi dan dilampirkan ke AMI. | Tidak didukung |
| Amazon Relational Database Service (Amazon RDS) | Snapshot Amazon RDS secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi basis data Amazon RDS sumber. Cuplikan database Amazon RDS yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Aurora | Snapshot cluster Aurora secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi sumber cluster Amazon Aurora. Cuplikan cluster Aurora yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| AWS Storage Gateway | Snapshot Storage Gateway secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi volume Storage Gateway sumber. Snapshot dari volume Storage Gateway yang tidak terenkripsi juga tidak terenkripsi. Anda tidak perlu menggunakan kunci yang dikelola pelanggan di semua layanan untuk mengaktifkan Storage Gateway. Anda hanya perlu menyalin cadangan Storage Gateway ke vault yang mengonfigurasi kunci KMS. Ini karena Storage Gateway tidak memiliki kunci AWS KMS terkelola khusus layanan. |
Tidak didukung |
| Amazon FSx | Fitur enkripsi untuk sistem FSx file Amazon berbeda berdasarkan sistem file yang mendasarinya. Untuk mempelajari selengkapnya tentang sistem FSx file Amazon tertentu, lihat Panduan FSx Pengguna yang sesuai. | Tidak didukung |
| Amazon DocumentDB | Snapshot cluster Amazon DocumentDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon DocumentDB sumber. Cuplikan cluster Amazon DocumentDB yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Neptune | Snapshot cluster Neptunus secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Neptunus sumber. Cuplikan cluster Neptunus yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Timestream | Pencadangan snapshot tabel timestream selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Timestream dikonfigurasi di brankas cadangan tempat cadangan Timestream disimpan. | Didukung |
| Amazon Redshift | Cluster Amazon Redshift secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon Redshift sumber. Cuplikan cluster Amazon Redshift yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Redshift Tanpa Server | Snapshot Redshift Tanpa Server secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi sumber. | Tidak didukung |
| AWS CloudFormation | CloudFormation backup selalu dienkripsi. Kunci CloudFormation enkripsi untuk CloudFormation cadangan dikonfigurasi di CloudFormation brankas tempat CloudFormation cadangan disimpan. | Didukung |
| Database SAP HANA pada instans Amazon EC2 | Backup database SAP HANA selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup database SAP HANA dikonfigurasi di AWS Backup brankas tempat backup database disimpan. | Didukung |
Tip
AWS Backup Audit Manager membantu Anda mendeteksi backup yang tidak terenkripsi secara otomatis.
Enkripsi untuk salinan cadangan ke akun lain atau Wilayah AWS
Saat Anda menyalin cadangan di seluruh akun atau Wilayah, AWS Backup secara otomatis mengenkripsi salinan tersebut untuk sebagian besar jenis sumber daya, meskipun cadangan asli tidak dienkripsi. AWS Backup mengenkripsi salinan menggunakan kunci KMS dari brankas target.
Sebelum Anda menyalin cadangan dari satu akun ke akun lain (pekerjaan salinan lintas akun) atau menyalin cadangan dari satu Wilayah ke wilayah lain (pekerjaan salinan lintas wilayah), perhatikan kondisi berikut, banyak di antaranya bergantung pada apakah jenis sumber daya dalam cadangan (titik pemulihan) sepenuhnya dikelola oleh AWS Backup atau tidak sepenuhnya dikelola.
-
Salinan cadangan ke yang lain Wilayah AWS dienkripsi menggunakan kunci brankas tujuan.
-
Untuk salinan titik pemulihan (cadangan) sumber daya yang dikelola sepenuhnya oleh AWS Backup, Anda dapat memilih untuk mengenkripsi dengan kunci yang dikelola pelanggan (CMK) atau kunci AWS Backup terkelola (
aws/backup).Untuk salinan titik pemulihan sumber daya yang tidak sepenuhnya dikelola oleh AWS Backup, kunci yang terkait dengan brankas tujuan harus berupa CMK atau kunci terkelola layanan yang memiliki sumber daya yang mendasarinya. Misalnya, jika Anda menyalin EC2 instance, kunci terkelola Backup tidak dapat digunakan. Sebagai gantinya, kunci CMK atau Amazon EC2 KMS (
aws/ec2) harus digunakan untuk menghindari kegagalan pekerjaan salinan. -
Salinan lintas akun dengan kunci AWS terkelola tidak didukung untuk sumber daya yang tidak dikelola sepenuhnya oleh AWS Backup. Kebijakan kunci dari kunci AWS terkelola tidak dapat diubah, yang mencegah penyalinan kunci di seluruh akun. Jika sumber daya Anda dienkripsi dengan kunci AWS terkelola dan Anda ingin melakukan salinan lintas akun, Anda dapat mengubah kunci enkripsi menjadi kunci
yang dikelola pelanggan, yang dapat digunakan untuk penyalinan lintas akun. Atau, Anda dapat mengikuti petunjuk dalam Melindungi instans Amazon RDS terenkripsi dengan cadangan lintas akun dan lintas wilayah untuk terus menggunakan kunci terkelola. AWS -
Salinan Amazon Aurora yang tidak terenkripsi, Amazon DocumentDB, dan Amazon Neptune cluster juga tidak terenkripsi.
AWS Backup izin, hibah, dan pernyataan penolakan
Untuk membantu menghindari pekerjaan yang gagal, Anda dapat memeriksa kebijakan AWS KMS utama untuk memastikannya memiliki izin yang diperlukan dan tidak memiliki pernyataan penolakan yang mencegah operasi berhasil.
Pekerjaan yang gagal dapat terjadi karena salah satu atau lebih pernyataan Deny diterapkan pada kunci KMS atau karena hibah dicabut untuk kunci tersebut.
Dalam kebijakan akses AWS terkelola seperti AWSBackupFullAccess, ada Izinkan tindakan yang memungkinkan AWS Backup
untuk berinteraksi dengan AWS KMS untuk membuat hibah pada kunci KMS atas nama pelanggan sebagai bagian cadangan, salinan, dan operasi penyimpanan.
Minimal, kebijakan kunci memerlukan izin berikut:
kms:createGrantkms:generateDataKeykms:decrypt
Jika kebijakan Tolak diperlukan, Anda harus mengizinkan daftar peran yang diperlukan untuk operasi pencadangan dan pemulihan.
Elemen-elemen ini dapat terlihat seperti:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KmsPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/root" }, "Action": [ "kms:ListKeys", "kms:DescribeKey", "kms:GenerateDataKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "KmsCreateGrantPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/root" }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:backup:backup-vault" }, "Bool": { "kms:GrantIsForAWSResource": true }, "StringLike": { "kms:ViaService": "backup.*.amazonaws.com" } } } ] }
Izin ini harus menjadi bagian dari kunci, apakah itu AWS dikelola atau dikelola pelanggan.
-
Pastikan izin yang diperlukan adalah bagian dari kebijakan kunci KMS
-
Jalankan KMS
get-key-policyCLIkms:GetKeyPolicy() untuk melihat kebijakan kunci yang dilampirkan pada kunci KMS yang ditentukan. -
Tinjau izin yang dikembalikan.
-
-
Pastikan tidak ada pernyataan Deny yang mempengaruhi operasi
-
Jalankan (atau jalankan kembali)
get-key-policyCLIkms:GetKeyPolicy() untuk melihat kebijakan kunci yang dilampirkan pada kunci KMS yang ditentukan. -
Tinjau kebijakan.
-
Hapus pernyataan Deny yang relevan dari kebijakan kunci KMS.
-
-
Jika diperlukan, jalankan
kms:put-key-policyuntuk mengganti atau memperbarui kebijakan kunci dengan izin yang direvisi dan menghapus pernyataan Tolak.
Selain itu, kunci yang terkait dengan peran yang memulai pekerjaan penyalinan Lintas wilayah harus memiliki "kms:ResourcesAliases": "alias/aws/backup" izin. DescribeKey
