でのバックアップの暗号化 AWS Backup - AWS Backup
独立した 暗号化コピーの暗号化アクセス許可、許可、拒否ステートメント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのバックアップの暗号化 AWS Backup

独立した 暗号化

AWS Backup は、フル AWS Backup 管理をサポートするリソースタイプの独立した暗号化を提供します。独立した暗号化とは、 を介して作成する復旧ポイント (バックアップ) が、ソースリソースの暗号化によって決定されるもの以外の暗号化メソッドを持つ AWS Backup ことができることを意味します。たとえば、Amazon S3 バケットのバックアップには、Amazon S3 暗号化で暗号化したソースバケットとは異なる暗号化方法を使用できます。この暗号化は、 にバックアップが保存されているバックアップボールトの AWS KMS キー設定によって制御されます。

AWS Backup によって完全に管理されていないリソースタイプのバックアップは通常、ソースリソースから暗号化設定を継承します。これらの暗号化設定は、「Amazon EBS ユーザーガイド」の「Amazon EBS 暗号化」など、そのサービスの指示に従って設定できます。

IAM ロールは、オブジェクトのバックアップと復元に使用中の KMS キーにアクセスできる必要があります。それ以外の場合、ジョブは成功しますが、オブジェクトはバックアップまたは復元されません。IAM ポリシーと KMS キーポリシーのアクセス許可は一貫している必要があります。詳細については、「AWS Key Management Service デベロッパーガイド」の「IAM ポリシーステートメントで KMS キーを指定する」を参照してください。

以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。 AWS Backup がバックアップを個別に暗号化する場合、業界標準の AES-256 暗号化アルゴリズムを使用します。での暗号化の詳細については AWS Backup、「クロスリージョンおよびクロスアカウントバックアップ」を参照してください。

リソースタイプ 暗号化を設定する方法 独立した AWS Backup 暗号化
Amazon Simple Storage Service (Amazon S3) Amazon S3 バックアップは、バックアップボールトに関連付けられた AWS KMS (AWS Key Management Service) キーを使用して暗号化されます。 AWS KMS キーは、カスタマーマネージドキーでも、 AWS Backup サービスに関連付けられた AWSマネージドキーでもかまいません。 は、ソース Amazon S3 バケットが AWS Backup 暗号化されていない場合でも、すべてのバックアップを暗号化します。 サポート
VMware 仮想マシン VM バックアップは常に暗号化されます。仮想マシンバックアップの AWS KMS 暗号化キーは、仮想マシンバックアップが保存されている AWS Backup ボールトで設定されます。 サポート
アドバンスト DynamoDB バックアップを有効にした後の Amazon DynamoDB

DynamoDB バックアップは常に暗号化されます。DynamoDB バックアップの AWS KMS 暗号化キーは、DynamoDB バックアップが保存されている AWS Backup ボールトで設定されます。

 サポート
アドバンスト DynamoDB バックアップ を有効にしない Amazon DynamoDB

DynamoDB スナップショットは、ソース DynamoDB テーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない DynamoDB テーブルのスナップショットは引き続き暗号化されません。

AWS Backup が暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用される IAM ロールkms:GenerateDataKeyにアクセス許可kms:Decryptと を追加する必要があります。または、 AWS Backup デフォルトのサービスロールを使用することもできます。

 非サポート
Amazon Elastic File System (Amazon EFS) Amazon EFS バックアップは常に暗号化されます。Amazon EFS バックアップの AWS KMS 暗号化キーは、Amazon EFS AWS Backup バックアップが保存されているボールトに設定されます。 サポート
Amazon Elastic Block Store (Amazon EBS) デフォルトでは、Amazon EBS バックアップは、ソースボリュームの暗号化に使用されたキーを使用して暗号化されるか、暗号化されないかのいずれかです。復元時には、KMS キーを指定してデフォルトの暗号化方法を無効にする選択ができます。 サポートされていません
Amazon Elastic Compute Cloud (Amazon EC2) AMI AMI は暗号化されていません。EBS スナップショットは、EBS バックアップのデフォルトの暗号化ルールによって暗号化されます (EBS のエントリを参照)。データおよびルートボリュームの EBS スナップショットを暗号化して AMI にアタッチできます。 サポートされていません
Amazon Relational Database Service (Amazon RDS) Amazon RDS スナップショットは、ソース Amazon RDS データベースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Aurora Aurora クラスタースナップショットは、ソース Amazon Auroraーの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
AWS Storage Gateway Storage Gateway スナップショットは、ソース Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Storage Gatewayボリュームのスナップショットは引き続き暗号化されません。

Storage Gateway を有効化するために、すべてのサービスでカスタマー管理キーを使用する必要はありません。Storage Gateway のバックアップを、KMS キーを設定した保管庫にコピーするだけです。これは、Storage Gateway にサービス固有の AWS KMS マネージドキーがないためです。

 サポートされていません
Amazon FSx Amazon FSx ファイルシステムの暗号化機能は、基盤となるファイルシステムによって異なります。特定の Amazon FSx ファイルシステムの詳細については、FSx ユーザーガイドの該当するサイトを参照してください。 サポートされていません
Amazon DocumentDB Amazon DocumentDB クラスタースナップショットは、ソース Amazon DocumentDB クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon DocumentDB クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Neptune Neptune クラスタースナップショットは、ソース Neptune クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Neptune クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Timestream Timestream テーブルスナップショットのバックアップは常に暗号化されます。Timestream バックアップの AWS KMS 暗号化キーは、Timestream バックアップが保存されているバックアップボールトに設定されます。 サポート
Amazon Redshift Amazon Redshift クラスタースナップショットは、ソースの Amazon Redshift クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon Redshift クラスターのスナップショットは引き続き暗号化されません。 サポートされていません
Amazon Redshift Serverless Redshift Serverless スナップショットは、ソースの暗号化に使用したのと同じ暗号化キーで自動的に暗号化されます。 サポートされていません
AWS CloudFormation CloudFormation バックアップは常に暗号化されます。CloudFormation バックアップの CloudFormation 暗号化キーは、CloudFormation バックアップが保存される CloudFormation ボールトに設定されます。 サポート
Amazon EC2 インスタンスでの SAP HANA データベース SAP HANA データベースのバックアップは常に暗号化されます。SAP HANA データベースバックアップの AWS KMS 暗号化キーは、データベースバックアップが保存されている AWS Backup ボールトで設定されます。 サポート
ヒント

AWS Backup Audit Manager は、暗号化されていないバックアップを自動的に検出するのに役立ちます。

別のアカウントまたは へのバックアップのコピーの暗号化 AWS リージョン

アカウントまたはリージョン間でバックアップをコピーすると、元のバックアップが暗号化されていない場合でも、 はほとんどのリソースタイプのコピー AWS Backup を自動的に暗号化します。 AWS Backup は、ターゲットボールトの KMS キーを使用してコピーを暗号化します。

あるアカウントから別のアカウント (クロスアカウントコピージョブ) にバックアップをコピーしたり、あるリージョンから別のリージョン (クロスリージョンコピージョブ) にバックアップをコピーしたりする前に、以下の条件に注意してください。その多くは、バックアップのリソースタイプ (復旧ポイント) が完全に管理されているかどうかによって異なります AWS Backup

  • 別の へのバックアップのコピー AWS リージョン は、コピー先ボールトの キーを使用して暗号化されます。

  • によって完全に管理 AWS Backupされているリソースの復旧ポイント (バックアップ) のコピーについては、カスタマーマネージドキー (CMK) または マネージドキー () を使用して暗号化することを選択できますaws/backup。 AWS Backup

    によって完全に管理されていないリソースの復旧ポイントのコピーの場合 AWS Backup、送信先ボールトに関連付けられたキーは、基盤となるリソースを所有するサービスの CMK またはマネージドキーである必要があります。たとえば、EC2 インスタンスをコピーする場合、Backup マネージドキーは使用できません。代わりに、コピージョブの失敗を避けるために、CMK または Amazon EC2 KMS キー (aws/ec2) を使用する必要があります。

  • AWS マネージドキーを使用したクロスアカウントコピーは、 によって完全に管理されていないリソースではサポートされていません AWS Backup。マネージドキーの AWS キーポリシーはイミュータブルであるため、アカウント間でキーをコピーすることはできません。リソースが AWS マネージドキーで暗号化されており、クロスアカウントコピーを実行する場合は、暗号化キーをカスタマーマネージドキーに変更して、クロスアカウントコピーに使用できます。または、「クロスアカウントバックアップとクロスリージョンバックアップを使用して暗号化された Amazon RDS インスタンスを保護する」の手順に従って、 AWS マネージドキーを引き続き使用できます。

  • 暗号化されていない Amazon Aurora、Amazon DocumentDB、Amazon Neptune クラスターのコピーも暗号化されません。

AWS Backup アクセス許可、許可、拒否ステートメント

失敗したジョブを回避するには、 AWS KMS キーポリシーを調べて、必要なアクセス許可があり、オペレーションの成功を妨げる拒否ステートメントがないことを確認します。

失敗したジョブは、KMS キーに適用された 1 つ以上の拒否ステートメント、またはキーの許可が取り消されたために発生する可能性があります。

などの AWS マネージドアクセスポリシーではAWSBackupFullAccess、 が とインターフェイス AWS KMS して、バックアップ、コピー、ストレージオペレーションの一部として、お客様に代わって KMS キーに許可を作成することを許可 AWS Backup するアクションがあります。

キーポリシーには、少なくとも次のアクセス許可が必要です。

  • kms:createGrant

  • kms:generateDataKey

  • kms:decrypt

拒否ポリシーが必要な場合は、バックアップおよび復元オペレーションに必要なロールを許可リストに登録する必要があります。

これらの要素は、次のようになります。

{
    "Version": "2012-10-17",
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}

これらのアクセス許可は、 AWS 管理かカスタマー管理かにかかわらず、 キーの一部である必要があります。

  1. 必要なアクセス許可が KMS キーポリシーの一部であることを確認する

    1. KMS CLI get-key-policy (kms:GetKeyPolicy) を実行して、指定された KMS キーにアタッチされたキーポリシーを表示します。

    2. 返されたアクセス許可を確認します。

  2. オペレーションに影響する拒否ステートメントがないことを確認します。

    1. CLI get-key-policy () を実行 (または再実行kms:GetKeyPolicy) して、指定された KMS キーにアタッチされたキーポリシーを表示します。

    2. ポリシーを確認します。

    3. KMS キーポリシーから関連する拒否ステートメントを削除します。

  3. 必要に応じて、 を実行して、キーポリシーkms:put-key-policyを改訂されたアクセス許可に置き換えるか更新し、拒否ステートメントを削除します。

さらに、クロスリージョンコピージョブを開始するロールに関連付けられたキーは、 アクセスDescribeKey許可"kms:ResourcesAliases": "alias/aws/backup"に を持っている必要があります。