Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in AWS Backup
AWS Backup entspricht dem [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/), das Vorschriften und Richtlinien für den Datenschutz beinhaltet. AWS ist verantwortlich für den Schutz der globalen Infrastruktur, die alle AWS Dienste betreibt. AWS behält die Kontrolle über die auf dieser Infrastruktur gehosteten Daten, einschließlich der Sicherheitskonfigurationen für den Umgang mit Kundeninhalten und personenbezogenen Daten. AWS Kunden und AWS Partner Network (APN), die entweder als Datenverantwortliche oder als Datenverarbeiter agieren, sind für alle personenbezogenen Daten verantwortlich, die AWS Cloud sie eingeben.
Aus Datenschutzgründen empfehlen wir Ihnen, Ihre AWS-Konto Anmeldeinformationen zu schützen und individuelle Benutzerkonten bei AWS Identity and Access Management (IAM) einzurichten. Auf diese Weise erhält jeder Benutzer nur die Berechtigungen, die zum Erledigen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie Secure Sockets Layer (SSL)/Transport Layer Security (TLS) für die Kommunikation mit AWS -Ressourcen.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld **Name** keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dazu gehört auch, wenn Sie mit AWS Backup oder anderen AWS Diensten arbeiten, die die Konsole, die API oder verwenden AWS SDKs. AWS CLI Alle Daten, die Sie in AWS Backup oder andere Services eingeben, werden möglicherweise in Diagnoseprotokolle aufgenommen. Wenn Sie eine URL für einen externen Server bereitstellen, schließen Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL ein.
Weitere Informationen zum Datenschutz enthält der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
# Verschlüsselung für Backups in AWS Backup
## Unabhängige -Verschlüsselung
AWS Backup bietet unabhängige Verschlüsselung für [Ressourcentypen, die eine vollständige AWS Backup Verwaltung unterstützen](backup-feature-availability.md#features-by-resource). Unabhängige Verschlüsselung bedeutet, dass für Wiederherstellungspunkte (Backups), die Sie erstellen, eine andere Verschlüsselungsmethode als die, die durch die Verschlüsselung der Quellressource bestimmt wird, verwendet werden AWS Backup kann. Beispielsweise kann Ihr Backup eines Amazon S3 S3-Buckets eine andere Verschlüsselungsmethode haben als das Quell-Bucket, das Sie mit der Amazon S3 S3-Verschlüsselung verschlüsselt haben. Diese Verschlüsselung wird über die AWS KMS Schlüsselkonfiguration im Backup-Tresor gesteuert, in dem Ihr Backup gespeichert ist.
Backups von Ressourcentypen, die nicht vollständig von verwaltet werden, erben AWS Backup in der Regel die Verschlüsselungseinstellungen von ihrer Quellressource. Sie können diese Verschlüsselungseinstellungen gemäß den Anweisungen dieses Dienstes konfigurieren, z. B. die [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) im *Amazon EBS-Benutzerhandbuch*.
Ihre IAM-Rolle muss Zugriff auf den KMS-Schlüssel haben, der zum Sichern und Wiederherstellen des Objekts verwendet wird. Andernfalls ist der Job erfolgreich, aber die Objekte werden nicht gesichert oder wiederhergestellt. Die Berechtigungen in der IAM-Richtlinie und der KMS-Schlüsselrichtlinie müssen konsistent sein. Weitere Informationen finden Sie im [*AWS Key Management Service Entwicklerhandbuch* unter Angabe von KMS-Schlüsseln in IAM-Richtlinienerklärungen](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html).
Die folgende Tabelle führt alle unterstützten Ressourcentypen und die Konfiguration der Verschlüsselung für Sicherungen auf und gibt an, ob die unabhängige Verschlüsselung für Sicherungen unterstützt wird. Wenn AWS Backup eine Sicherung unabhängig verschlüsselt, wird der branchenübliche AES-256-Verschlüsselungsalgorithmus verwendet. [Weitere Informationen zur Verschlüsselung in AWS Backup finden Sie unter [Regions- und kontoübergreifendes](cross-region-backup.md) Backup.](create-cross-account-backup.md)
| Ressourcentyp | Konfigurieren der Verschlüsselung | Unabhängige Verschlüsselung AWS Backup |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon-S3) | Amazon S3 S3-Backups werden mit einem AWS KMS (AWS Key Management Service) -Schlüssel verschlüsselt, der dem Backup-Tresor zugeordnet ist. Der AWS KMS-Schlüssel kann entweder ein vom Kunden verwalteter Schlüssel oder ein AWS verwalteter Schlüssel sein, der AWS Backup dem Service zugeordnet ist. AWS Backup verschlüsselt alle Backups, auch wenn die Amazon S3 S3-Quell-Buckets nicht verschlüsselt sind. | Unterstützt |
| VMware virtuelle Maschinen | VM-Backups sind immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für Backups virtueller Maschinen wird in dem AWS Backup Tresor konfiguriert, in dem die Backups der virtuellen Maschinen gespeichert sind. | Unterstützt |
| Amazon DynamoDB nach der Aktivierung von [Erweitertes DynamoDB-Backup](advanced-ddb-backup.md) | DynamoDB-Sicherungen werden immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für DynamoDB-Backups wird in dem AWS Backup Tresor konfiguriert, in dem die DynamoDB-Backups gespeichert sind. | Unterstützt |
| Amazon DynamoDB ohne Aktivierung von [Erweitertes DynamoDB-Backup](advanced-ddb-backup.md) | DynamoDB-Sicherungen werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung der DynamoDB-Tabelle verwendet wurde. Snapshots unverschlüsselter DynamoDB-Tabellen sind ebenfalls unverschlüsselt. Um eine Sicherungskopie einer verschlüsselten DynamoDB-Tabelle AWS Backup zu erstellen, müssen Sie die Berechtigungen `kms:Decrypt` und `kms:GenerateDataKey` zur IAM-Rolle hinzufügen, die für die Sicherung verwendet wird. Alternativ können Sie die Standard-Servicerolle verwenden. AWS Backup | Nicht unterstützt |
| Amazon Elastic File System (Amazon EFS) | Amazon EFS-Sicherungen werden immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für Amazon EFS-Backups wird in dem AWS Backup Tresor konfiguriert, in dem die Amazon EFS-Backups gespeichert sind. | Unterstützt |
| Amazon Elastic Block Store (Amazon EBS) | Standardmäßig werden Amazon EBS-Sicherungen entweder mit dem Schlüssel verschlüsselt, der zur Verschlüsselung des Quell-Volumes verwendet wurde, oder sie sind unverschlüsselt. Während der Wiederherstellung können Sie die Standardverschlüsselungsmethode überschreiben, indem Sie einen KMS-Schlüssel angeben. | Nicht unterstützt |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs sind unverschlüsselt. EBS-Snapshots werden nach den Standardverschlüsselungsregeln für EBS-Backups verschlüsselt (siehe Eintrag für EBS). EBS-Snapshots von Daten und Root-Volumes können verschlüsselt und an ein AMI angehängt werden. | Nicht unterstützt |
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung der Amazon RDS-Quell-Datenbank verwendet wurde. Snapshots unverschlüsselter Amazon RDS-Datenbanken sind ebenfalls unverschlüsselt. | Nicht unterstützt |
| Amazon Aurora | Aurora-Cluster-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Amazon Aurora-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Aurora-Cluster sind ebenfalls unverschlüsselt. | Nicht unterstützt |
| AWS Storage Gateway | Storage Gateway-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Storage Gateway-Quell-Volumes verwendet wurde. Snapshots unverschlüsselter Storage Gateway-Volumes sind ebenfalls unverschlüsselt. Sie müssen nicht für alle Services einen Customer Managed Key verwenden, um Storage Gateway zu aktivieren. Sie müssen die Storage Gateway-Sicherung nur in einen Tresor kopieren, für den ein KMS-Schlüssel konfiguriert ist. Das liegt daran, dass Storage Gateway keinen dienstspezifischen AWS KMS verwalteten Schlüssel hat. | Nicht unterstützt |
| Amazon FSx | Die Verschlüsselungsfunktionen für FSx Amazon-Dateisysteme unterscheiden sich je nach dem zugrunde liegenden Dateisystem. Weitere Informationen zu Ihrem speziellen FSx Amazon-Dateisystem finden Sie im entsprechenden [FSx Benutzerhandbuch](https://docs.aws.amazon.com/fsx/). | Nicht unterstützt |
| Amazon DocumentDB | Amazon DocumentDB-Cluster-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Amazon DocumentDB-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Amazon DocumentDB-Cluster sind ebenfalls unverschlüsselt. | Nicht unterstützt |
| Amazon Neptune | Neptune-Cluster-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Neptune-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Neptune-Cluster sind ebenfalls unverschlüsselt. | Nicht unterstützt |
| Amazon Timestream | Sicherungen von Timestream-Tabellen-Snapshots sind immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für Timestream-Backups wird im Backup-Tresor konfiguriert, in dem die Timestream-Backups gespeichert sind. | Unterstützt |
| Amazon Redshift | Amazon Redshift-Cluster werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Amazon Redshift-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Amazon Redshift-Cluster sind ebenfalls unverschlüsselt. | Nicht unterstützt |
| Amazon Redshift Serverless | Redshift Serverless-Snapshots werden automatisch mit demselben Verschlüsselungsschlüssel verschlüsselt, der zur Verschlüsselung der Quelle verwendet wurde. | Nicht unterstützt |
| CloudFormation | CloudFormation Backups werden immer verschlüsselt. Der CloudFormation Verschlüsselungsschlüssel für CloudFormation Backups wird in dem CloudFormation Tresor konfiguriert, in dem die CloudFormation Backups gespeichert werden. | Unterstützt |
| SAP HANA-Datenbanken auf Amazon EC2-Instances | SAP HANA-Datenbank-Sicherungen sind immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für SAP HANA-Datenbanksicherungen wird in dem AWS Backup Tresor konfiguriert, in dem die Datenbanksicherungen gespeichert sind. | Unterstützt |
**Tipp**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) hilft Ihnen dabei, unverschlüsselte Backups automatisch zu erkennen.
## Verschlüsselung für Kopien eines Backups auf ein anderes Konto oder AWS-Region
Wenn Sie Ihre Backups zwischen Konten oder Regionen kopieren, AWS Backup werden diese Kopien für die meisten Ressourcentypen automatisch verschlüsselt, auch wenn das ursprüngliche Backup unverschlüsselt ist. AWS Backup verschlüsselt die Kopie mithilfe des KMS-Schlüssels des Zieltresors.
Bevor Sie ein Backup von einem Konto auf ein anderes kopieren (kontoübergreifender Kopierauftrag) oder ein Backup von einer Region in eine andere kopieren (regionsübergreifender Kopierauftrag), beachten Sie die folgenden Bedingungen, von denen viele davon abhängen, ob der Ressourcentyp im Backup (Recovery Point) [vollständig verwaltet wird AWS Backup oder nicht](backup-feature-availability.md#features-by-resource).
+ Eine Kopie eines Backups auf ein anderes AWS-Region wird mit dem Schlüssel des Zieltresors verschlüsselt.
+ Für eine Kopie eines Wiederherstellungspunkts (Backup) einer Ressource, die **vollständig von verwaltet** wird, können Sie wählen AWS Backup, ob Sie sie mit einem vom [Kunden verwalteten Schlüssel (CMK) oder einem AWS Backup verwalteten Schlüssel (`aws/backup`)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) verschlüsseln möchten.
Für eine Kopie des Wiederherstellungspunkts einer Ressource, die **nicht vollständig verwaltet** wird AWS Backup, muss es sich bei dem dem Zieltresor zugewiesenen Schlüssel um einen CMK oder um den verwalteten Schlüssel des Dienstes handeln, dem die zugrunde liegende Ressource gehört. Wenn Sie beispielsweise eine EC2-Instance kopieren, kann ein verwalteter Backup-Schlüssel nicht verwendet werden. Stattdessen muss ein CMK- oder Amazon EBS-KMS-Schlüssel (`aws/ebs`) verwendet werden, um ein Fehlschlagen des Kopierauftrags zu vermeiden.
+ Kontoübergreifendes Kopieren mit AWS verwalteten Schlüsseln wird nicht für Ressourcen unterstützt, die nicht vollständig von verwaltet werden. AWS Backup Die [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) eines AWS verwalteten Schlüssels ist unveränderlich, wodurch verhindert wird, dass der Schlüssel kontenübergreifend kopiert wird. Wenn Ihre Ressourcen mit AWS verwalteten Schlüsseln verschlüsselt sind und Sie eine kontoübergreifende Kopie durchführen möchten, können Sie [die Verschlüsselungsschlüssel in einen vom Kunden verwalteten Schlüssel ändern](https://repost.aws/knowledge-center/update-encryption-key-rds), der für kontoübergreifendes Kopieren verwendet werden kann. Oder folgen Sie den Anweisungen unter [Schützen verschlüsselter Amazon RDS-Instances durch konto- und regionsübergreifende Backups](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/), um weiterhin AWS verwaltete Schlüssel zu verwenden.
+ Kopien von unverschlüsselten Amazon Aurora-, Amazon DocumentDB- und Amazon Neptune Neptune-Clustern sind ebenfalls unverschlüsselt.
## AWS Backup Erklärungen zu Berechtigungen, Bewilligungen und Ablehnungen
Um fehlgeschlagene Aufträge zu vermeiden, können Sie die AWS KMS Schlüsselrichtlinie überprüfen, um sicherzustellen, dass sie über erforderliche Berechtigungen verfügt und keine Ablehnungsaussagen enthält, die erfolgreiche Operationen verhindern.
Fehlgeschlagene Aufträge können entweder auf eine oder mehrere Deny-Anweisungen zurückzuführen sein, die auf den KMS-Schlüssel angewendet wurden, oder darauf, dass eine [Zuweisung](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) für den Schlüssel aufgehoben wurde.
In einer Richtlinie für AWS verwalteten Zugriff [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), z. B. im Rahmen von Sicherungs-, Kopier- und Speichervorgängen, gibt es „Zulassen“ -Aktionen, die es ermöglichen, im Namen eines Kunden eine Genehmigung AWS Backup für einen KMS-Schlüssel zu erstellen. AWS KMS
Für die Schlüsselrichtlinie sind mindestens die folgenden Berechtigungen erforderlich:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Wenn Ablehnungsrichtlinien erforderlich sind, müssen Sie die erforderlichen Rollen für Sicherungs- und Wiederherstellungsvorgänge auf eine Zulassungsliste setzen.
Diese Elemente können wie folgt aussehen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Diese Berechtigungen müssen Teil des Schlüssels sein, unabhängig davon, ob er AWS verwaltet oder vom Kunden verwaltet wird.
1. Stellen Sie sicher, dass die erforderlichen Berechtigungen Teil der KMS-Schlüsselrichtlinie sind
1. Führen Sie KMS CLI `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) aus, um die Schlüsselrichtlinie anzuzeigen, die dem angegebenen KMS-Schlüssel zugeordnet ist.
1. Überprüfen Sie die zurückgegebenen Berechtigungen.
1. Stellen Sie sicher, dass keine Deny-Anweisungen vorhanden sind, die sich auf den Betrieb auswirken
1. Führen Sie CLI () aus `get-key-policy` (oder führen Sie es erneut aus [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)), um die Schlüsselrichtlinie anzuzeigen, die dem angegebenen KMS-Schlüssel zugeordnet ist.
1. Überprüfen Sie die Richtlinie.
1. Entfernen Sie die entsprechenden Deny-Anweisungen aus der KMS-Schlüsselrichtlinie.
1. Führen Sie bei Bedarf das Programm aus, [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)um die Schlüsselrichtlinie durch überarbeitete Berechtigungen und entfernte Deny-Anweisungen zu ersetzen oder zu aktualisieren.
Darüber hinaus muss der Schlüssel, der der Rolle zugeordnet ist, die einen regionsübergreifenden Kopierauftrag initiiert, über die `DescribeKey` entsprechende `"kms:ResourcesAliases": "alias/aws/backup"` Berechtigung verfügen.
# Verschlüsselung der Hypervisor-Anmeldeinformationen für virtuelle Maschinen
Virtuelle Maschinen, die [von einem Hypervisor verwaltet werden](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html), verwenden [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html), um lokale Systeme mit AWS Backup zu verbinden. Es ist wichtig, dass Hypervisoren über dieselbe robuste und zuverlässige Sicherheit verfügen. Diese Sicherheit kann erreicht werden, indem der Hypervisor entweder mit eigenen Schlüsseln oder mit vom Kunden AWS verwalteten Schlüsseln verschlüsselt wird.
## AWS eigene und vom Kunden verwaltete Schlüssel
AWS Backup bietet Verschlüsselung für Hypervisor-Anmeldeinformationen, um vertrauliche Kunden-Anmeldeinformationen mithilfe **AWS eigener Verschlüsselungsschlüssel** zu schützen. Sie haben die Möglichkeit, stattdessen vom **Kunden verwaltete Schlüssel** zu verwenden.
**Standardmäßig handelt es sich bei den Schlüsseln, die zum Verschlüsseln von Anmeldeinformationen in Ihrem Hypervisor verwendet werden AWS , um eigene Schlüssel.** AWS Backup verwendet diese Schlüssel, um Hypervisor-Anmeldeinformationen automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel weder anzeigen, verwalten oder verwenden, noch können Sie deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie AWS im [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) unter Eigene Schlüssel.
Alternativ können Anmeldeinformationen mit *von Kunden verwalteten Schlüsseln* verschlüsselt werden. AWS Backup unterstützt die Verwendung von symmetrischen kundenverwalteten Schlüsseln, die Sie erstellen, besitzen und verwalten, um Ihre Verschlüsselung durchzuführen. Da Sie die volle Kontrolle über diese Verschlüsselung haben, können Sie Aufgaben wie die folgenden ausführen:
+ Festlegung und Pflege von Schlüsselrichtlinien
+ Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Kryptographisches Material mit rotierendem Schlüssel
+ Hinzufügen von -Tags
+ Erstellen von Schlüsselaliasen
+ Schlüssel für das Löschen von Schlüsseln planen
Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, wird AWS Backup überprüft, ob Ihre Rolle berechtigt ist, mithilfe dieses Schlüssels zu entschlüsseln (bevor ein Sicherungs- oder Wiederherstellungsauftrag ausgeführt wird). Sie müssen die `kms:Decrypt`-Aktion der Rolle hinzufügen, die zum Starten eines Sicherungs- oder Wiederherstellungsauftrags verwendet wurde.
Da die `kms:Decrypt`-Aktion nicht zur Standard-Sicherungsrolle hinzugefügt werden kann, müssen Sie eine andere Rolle als die Standard-Sicherungsrolle verwenden, um vom Kunden verwaltete Schlüssel zu verwenden.
Weitere Informationen finden Sie unter [von Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management Service -Entwicklerhandbuch*.
## Bei Verwendung kundenverwalteter Schlüssel erforderliche Erteilung
AWS KMS für die Nutzung Ihres vom Kunden verwalteten Schlüssels ist ein [Zuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) erforderlich. Wenn Sie eine [Hypervisor-Konfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) importieren, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, AWS Backup erstellt in Ihrem Namen einen Zuschuss, indem es eine [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an AWS KMS sendet. AWS Backup verwendet Zuschüsse, um auf einen KMS-Schlüssel in einem Kundenkonto zuzugreifen.
Sie können den Zugriff auf den Grant jederzeit widerrufen oder ihm den Zugriff auf den vom Kunden verwalteten Schlüssel entziehen AWS Backup. Wenn Sie dies tun, können all Ihre mit Ihrem Hypervisor verknüpften Gateways nicht mehr auf den Benutzernamen und das Passwort des Hypervisors zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Ihre Sicherungs- und Wiederherstellungsaufträge auswirkt. Insbesondere Sicherungs- und Wiederherstellungsaufträge, die Sie auf den virtuellen Maschinen in diesem Hypervisor ausführen, schlagen fehl.
Das Backup-Gateway verwendet den `RetireGrant`-Vorgang, um einen Zuschuss zu entfernen, wenn Sie einen Hypervisor löschen.
## Überwachen von Verschlüsselungsschlüsseln
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren AWS Backup Ressourcen verwenden, können Sie [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um Anfragen zu verfolgen, die AWS Backup an gesendet AWS KMS werden.
Suchen Sie nach AWS CloudTrail Ereignissen mit den folgenden `"eventName"` Feldern zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden AWS Backup , um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`