Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en AWS Backup
AWS Backup se ajusta al [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/), que incluye normas y directrices para la protección de datos. AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los AWS servicios. AWS mantiene el control de los datos alojados en esta infraestructura, incluidos los controles de configuración de seguridad para gestionar el contenido y los datos personales de los clientes. AWS los clientes y los socios de AWS Partner Network (APN), que actúan como controladores o procesadores de datos, son responsables de cualquier dato personal que introduzcan en la Nube de AWS.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure cuentas de usuario individuales con AWS Identity and Access Management (IAM). Esto ayuda a garantizar que a cada usuario solo se le otorguen los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice una capa de conexión segura (SSL)/seguridad de la capa de transporte (TLS) para comunicarse con los recursos de AWS .
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de los AWS servicios.
Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo **Nombre**. Esto incluye cuando trabaja con AWS Backup u otros AWS servicios mediante la consola, la API o AWS SDKs. AWS CLI Es posible que cualquier dato que ingrese en AWS Backup o en otros servicios se incluya en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al [modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *blog de seguridad de AWS *.
# Cifrado de copias de seguridad en AWS Backup
## Cifrado de independiente
AWS Backup ofrece un cifrado independiente para los [tipos de recursos que permiten una AWS Backup administración completa](backup-feature-availability.md#features-by-resource). El cifrado independiente significa que los puntos de recuperación (copias de seguridad) que se crean AWS Backup pueden tener un método de cifrado distinto del determinado por el cifrado del recurso de origen. Por ejemplo, la copia de seguridad de un bucket de Amazon S3 puede tener un método de cifrado diferente al del bucket de origen que cifró con el cifrado de Amazon S3. Este cifrado se controla mediante la configuración de AWS KMS claves en la bóveda de copias de seguridad donde se almacena la copia de seguridad.
Las copias de seguridad de los tipos de recursos que no se gestionan por completo AWS Backup suelen heredar la configuración de cifrado de su recurso de origen. Puede configurar estos ajustes de cifrado según las instrucciones de ese servicio, como [Cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la *Guía del usuario de Amazon EBS*.
Su rol de IAM debe tener acceso a la Clave de KMS que se utiliza para hacer copias de seguridad del objeto y restaurarlo. De lo contrario, el trabajo se realizará correctamente, pero no se realizará una copia de seguridad de los objetos ni se restaurará. Los permisos de la política de IAM y la política de claves de KMS deben ser coherentes. Para obtener más información, consulte [Specifying KMS keys in IAM policy statements](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.
En la siguiente tabla se muestra cada tipo de recurso admitido, cómo está configurado el cifrado para las copias de seguridad y si se admite el cifrado independiente para las copias de seguridad. Cuando AWS Backup cifra de forma independiente una copia de seguridad, utiliza el algoritmo de cifrado AES-256 estándar del sector. Para obtener más información sobre el cifrado AWS Backup, consulte Copias de seguridad [entre regiones](cross-region-backup.md) y [entre cuentas.](create-cross-account-backup.md)
| Tipo de recurso | Cómo configurar el cifrado | Cifrado independiente AWS Backup |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | Las copias de seguridad de Amazon S3 se cifran mediante una clave AWS KMS (AWS Key Management Service) asociada a la bóveda de copias de seguridad. La clave AWS KMS puede ser una clave administrada por el cliente o una clave AWS administrada asociada al servicio. AWS Backup AWS Backup cifra todas las copias de seguridad incluso si los buckets de Amazon S3 de origen no están cifrados. | compatible |
| VMware máquinas virtuales | Las copias de seguridad de VM están siempre cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las máquinas virtuales se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las máquinas virtuales. | compatible |
| Amazon DynamoDB después de habilitar [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md) | Las copias de seguridad de DynamoDB siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de DynamoDB se configura en AWS Backup el almacén en el que se almacenan las copias de seguridad de DynamoDB. | compatible |
| Amazon DynamoDB sin habilitar [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md) | Las copias de seguridad de DynamoDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la tabla de DynamoDB de origen. Las instantáneas de tablas de DynamoDB sin cifrar también están sin cifrar. AWS Backup Para crear una copia de seguridad de una tabla de DynamoDB cifrada, debe añadir los `kms:Decrypt` permisos `kms:GenerateDataKey` y la función de IAM utilizada para la copia de seguridad. Como alternativa, puede utilizar el rol de servicio predeterminado. AWS Backup | No compatible |
| Amazon Elastic File System (Amazon EFS) | Las copias de seguridad de Amazon EFS siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de Amazon EFS se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de Amazon EFS. | compatible |
| Amazon Elastic Block Store (Amazon EBS) | De forma predeterminada, las copias de seguridad de Amazon EBS se cifran con la clave que se utilizó para cifrar el volumen de origen, o no se cifran. Durante la restauración, puede especificar una clave de KMS para anular el método de cifrado predeterminado. | No compatible |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs no están cifrados. Las instantáneas de EBS se cifran según las reglas de cifrado predeterminadas para las copias de seguridad de EBS (consulte la entrada correspondiente a EBS). Las instantáneas de EBS de datos y volúmenes raíz se pueden cifrar y adjuntar a una AMI. | No compatible |
| Amazon Relational Database Service (Amazon RDS) | Las instantáneas de Amazon RDS se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la base de datos de Amazon RDS de origen. Las instantáneas de bases de datos de Amazon RDS sin cifrar también están sin cifrar. | No compatible |
| Amazon Aurora | Las instantáneas de clúster de Aurora se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Aurora de origen. Las instantáneas de clústeres de Aurora sin cifrar también están sin cifrar. | No compatible |
| AWS Storage Gateway | Las instantáneas de Storage Gateway se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el volumen de Storage Gateway de origen. Las instantáneas de volúmenes de Storage Gateway sin cifrar también están sin cifrar. No es necesario utilizar una clave administrada por el cliente en todos los servicios para habilitar Storage Gateway. Basta con replicar la copia de seguridad de Storage Gateway en un almacén donde se haya configurado una clave de KMS. Esto se debe a que Storage Gateway no tiene una clave AWS KMS administrada específica del servicio. | No compatible |
| Amazon FSx | Las funciones de cifrado de los sistemas de FSx archivos de Amazon varían según el sistema de archivos subyacente. Para obtener más información sobre tu sistema de FSx archivos de Amazon en particular, consulta la [Guía FSx del usuario](https://docs.aws.amazon.com/fsx/) correspondiente. | No compatible |
| Amazon DocumentDB | Las instantáneas de clúster de Amazon DocumentDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon DocumentDB de origen. Las instantáneas de clústeres de Amazon DocumentDB sin cifrar también están sin cifrar. | No compatible |
| Amazon Neptune | Las instantáneas de clúster de Neptune se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Neptune de origen. Las instantáneas de clústeres de Neptune sin cifrar también están sin cifrar. | No compatible |
| Amazon Timestream | Las copias de seguridad de las instantáneas de la tabla de Timestream siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de Timestream se configura en la bóveda de copias de seguridad en la que se almacenan las copias de seguridad de Timestream. | compatible |
| Amazon Redshift | Las instantáneas de clúster de Amazon Redshift se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Redshift de origen. Las instantáneas de clústeres de Amazon Redshift sin cifrar también están sin cifrar. | No compatible |
| Amazon Redshift sin servidor | Las instantáneas de Redshift sin servidor se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el origen. | No compatible |
| CloudFormation | CloudFormation las copias de seguridad siempre están cifradas. La clave de CloudFormation cifrado de las CloudFormation copias de seguridad se configura en el CloudFormation almacén en el que se almacenan las CloudFormation copias de seguridad. | compatible |
| Bases de datos de SAP HANA en instancias de Amazon EC2 | Las copias de seguridad de las bases de datos de SAP HANA siempre están cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las bases de datos de SAP HANA se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las bases de datos. | compatible |
**sugerencia**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) le ayuda a detectar automáticamente las copias de seguridad no cifradas.
## Cifrado para copias de una copia de seguridad en una cuenta diferente o Región de AWS
Al copiar las copias de seguridad entre cuentas o regiones, las cifra AWS Backup automáticamente para la mayoría de los tipos de recursos, incluso si la copia de seguridad original no está cifrada. AWS Backup cifra la copia con la clave KMS del almacén de destino.
Antes de copiar una copia de seguridad de una cuenta a otra (tarea de copia entre cuentas) o de copiar una copia de seguridad de una región a otra (tarea de copia entre regiones), tenga en cuenta las siguientes condiciones, muchas de las cuales dependen de si el tipo de recurso de la copia de seguridad (punto de recuperación) está [completamente administrado AWS Backup o no](backup-feature-availability.md#features-by-resource).
+ La copia de una copia de seguridad a otra Región de AWS se cifra con la clave del almacén de destino.
+ Si se trata de una copia de un punto de recuperación (copia de seguridad) de un recurso **gestionado en su totalidad AWS Backup, puede optar por** cifrarla con una [clave gestionada por el cliente (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) o una clave AWS Backup gestionada (`aws/backup`).
Para obtener una copia de un punto de recuperación de un recurso que **no esté completamente gestionado** AWS Backup, la clave asociada al almacén de destino debe ser una CMK o la clave gestionada del servicio propietario del recurso subyacente. Por ejemplo, si está copiando una instancia de EC2, no se puede utilizar una clave administrada por Backup. En su lugar, se debe usar una clave de CMK o Amazon EBS KMS (`aws/ebs`) para evitar errores en el trabajo de copia.
+ No se admite la copia multicuenta con claves AWS administradas en el caso de los recursos que no estén gestionados por completo. AWS Backup La [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) de una clave administrada de AWS es inmutable, lo que impide que se copie la clave entre cuentas. Si tus recursos están cifrados con claves AWS administradas y deseas realizar una copia multicuenta, puedes [cambiarlas por una clave gestionada por el](https://repost.aws/knowledge-center/update-encryption-key-rds) cliente, que se puede utilizar para copiar entre cuentas. O bien, puede seguir las instrucciones de [Protección de instancias de Amazon RDS cifradas con copias de seguridad entre cuentas y regiones para](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/) seguir utilizando AWS las claves gestionadas.
+ Las copias de los clústeres de Amazon Aurora, Amazon DocumentDB y Amazon Neptune sin cifrar también están sin cifrar.
## AWS Backup declaraciones de permisos, concesiones y denegaciones
Para evitar errores en los trabajos, puede examinar la política AWS KMS clave para asegurarse de que cuenta con los permisos necesarios y que no contiene ninguna declaración de denegación que impida que las operaciones se realicen correctamente.
Los errores en los trabajos pueden producirse debido a la aplicación de una o más instrucciones de rechazo a la clave de KMS o a la revocación de la [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) de la clave.
En una política de acceso AWS gestionado, por ejemplo [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), se incluyen acciones de permiso que AWS Backup permiten interactuar con AWS KMS la creación de una concesión de una clave KMS en nombre de un cliente como parte de las operaciones de copia de seguridad, copia y almacenamiento.
La política de claves requiere, como mínimo, los siguientes permisos:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Si las políticas de rechazo son necesarias, tendrá que incluir en una lista los roles necesarios para las operaciones de copia de seguridad y de restauración.
Estos elementos pueden tener el siguiente aspecto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Estos permisos deben formar parte de la clave, ya sea que esté AWS gestionada o gestionada por el cliente.
1. Asegúrese de que los permisos necesarios formen parte de la política de claves de KMS.
1. Ejecute el comando `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) de la CLI de KMS para ver la política de claves asociada a la clave de KMS especificada.
1. Revise los permisos devueltos.
1. Asegúrese de que no haya instrucciones de rechazo que afecten a las operaciones.
1. Ejecute (o vuelva a ejecutar) el comando `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) de la CLI para ver la política de claves asociada a la clave de KMS especificada.
1. Revise la política.
1. Elimine las instrucciones de rechazo pertinentes de la política de claves de KMS.
1. Si es necesario, ejecute [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) para reemplazar o actualizar la política de claves con los permisos revisados y las instrucciones de rechazo eliminadas.
Además, la clave asociada al rol que inicia un trabajo de copia entre regiones debe tener `"kms:ResourcesAliases": "alias/aws/backup"` en el permiso `DescribeKey`.
# Cifrado de credenciales del hipervisor de máquinas virtuales
Las máquinas virtuales [administradas por un hipervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) utilizan una [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) para conectar los sistemas en las instalaciones a AWS Backup. Es importante que los hipervisores cuenten con la misma seguridad sólida y fiable. Esta seguridad se puede lograr cifrando el hipervisor, ya sea mediante claves AWS propias o administradas por el cliente.
## AWS claves propias y administradas por el cliente
AWS Backup proporciona cifrado para las credenciales del hipervisor a fin de proteger la información confidencial de inicio de sesión de los clientes mediante claves **AWS de cifrado propias**. En su lugar, tiene la opción de utilizar **claves administradas por el cliente**.
**De forma predeterminada, las claves que se utilizan para cifrar las credenciales en el hipervisor son AWS claves propias.** AWS Backup utiliza estas claves para cifrar automáticamente las credenciales del hipervisor. No puede ver, administrar ni usar las claves AWS propias, ni puede auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulta las claves AWS propias en la [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
Como alternativa, las credenciales se pueden cifrar mediante claves *administradas por el cliente*. AWS Backup admite el uso de claves simétricas administradas por el cliente que usted crea, posee y administra para realizar el cifrado. Como usted tiene el control total de este cifrado, puede realizar tareas como las siguientes:
+ Establecer y mantener políticas de claves
+ Establecer y mantener concesiones y políticas de IAM
+ Habilitar y deshabilitar políticas de claves
+ Rotar el material criptográfico
+ Adición de etiquetas de
+ Crear alias de clave
+ Programar la eliminación de claves
Cuando utilizas una clave gestionada por el cliente, AWS Backup valida si tu rol tiene permiso para descifrar con esta clave (antes de ejecutar una tarea de copia de seguridad o restauración). Debe agregar la acción `kms:Decrypt` al rol utilizado para iniciar un trabajo de copia de seguridad o restauración.
Como la acción `kms:Decrypt` no se puede agregar al rol de copia de seguridad predeterminado, debe usar un rol distinto del rol de copia de seguridad predeterminado para usar las claves administradas por el cliente.
Para obtener más información, consulte las [claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la * Guía para desarrolladores de AWS Key Management Service *.
## Concesión necesaria cuando se utilizan claves administradas por el cliente
AWS KMS requiere una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para utilizar la clave gestionada por el cliente. Al importar una [configuración de hipervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) cifrada con una clave gestionada por el cliente, AWS Backup crea una concesión en tu nombre enviando una [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a AWS KMS. AWS Backup utiliza las concesiones para acceder a una clave de KMS en una cuenta de cliente.
Puede revocar el acceso a la concesión o eliminar el acceso a AWS Backup la clave gestionada por el cliente en cualquier momento. Si lo hace, todas las puertas de enlace asociadas al hipervisor ya no podrán acceder al nombre de usuario y la contraseña del hipervisor cifrados por la clave administrada por el cliente, lo que afectará a sus trabajos de copia de seguridad y restauración. En concreto, los trabajos de copia de seguridad y restauración que realice en las máquinas virtuales de este hipervisor darán como resultado un error.
La puerta de enlace de la copia de seguridad utiliza la operación `RetireGrant` para eliminar una concesión cuando se elimina un hipervisor.
## Monitorización de claves de cifrado
Cuando utilizas una clave gestionada por el AWS KMS cliente con tus AWS Backup recursos, puedes utilizar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para realizar un seguimiento de las solicitudes que se AWS Backup envían a AWS KMS.
Busca AWS CloudTrail eventos con los siguientes `"eventName"` campos para supervisar AWS KMS las operaciones solicitadas para acceder AWS Backup a los datos cifrados por tu clave gestionada por el cliente:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`