Cifrado de copias de seguridad en AWS Backup - AWS Backup

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de copias de seguridad en AWS Backup

Puede configurar el cifrado para los tipos de recursos que permiten una AWS Backup administración total de su uso AWS Backup. Si el tipo de recurso no admite la AWS Backup administración completa, debe configurar su cifrado de respaldo siguiendo las instrucciones de ese servicio, como el cifrado de Amazon EBS en la Guía del usuario de Amazon EBS. Para ver la lista de tipos de recursos que admiten la AWS Backup administración completa, consulte la sección « AWS Backup Administración completa» de la Disponibilidad de características por recurso tabla.

Su rol de IAM debe tener acceso a la Clave de KMS que se utiliza para hacer copias de seguridad del objeto y restaurarlo. De lo contrario, el trabajo se realizará correctamente, pero no se realizará una copia de seguridad de los objetos ni se restaurará. Los permisos de la política de IAM y la política de claves de KMS deben ser coherentes. Para obtener más información, consulte Specifying KMS keys in IAM policy statements en la Guía para desarrolladores de AWS Key Management Service .

nota

AWS Backup Audit Manager le ayuda a detectar automáticamente las copias de seguridad no cifradas.

En la siguiente tabla se muestra cada tipo de recurso admitido, cómo está configurado el cifrado para las copias de seguridad y si se admite el cifrado independiente para las copias de seguridad. Cuando AWS Backup cifra de forma independiente una copia de seguridad, utiliza el algoritmo de cifrado AES-256 estándar del sector. Para obtener más información sobre el cifrado AWS Backup, consulte Copias de seguridad entre regiones y entre cuentas.

Tipo de recurso Cómo configurar el cifrado Cifrado independiente AWS Backup
Amazon Simple Storage Service (Amazon S3) Las copias de seguridad de Amazon S3 se cifran mediante una clave AWS KMS (AWS Key Management Service) asociada a la bóveda de copias de seguridad. La clave AWS KMS puede ser una clave administrada por el cliente o una clave AWS administrada asociada al servicio. AWS Backup AWS Backup cifra todas las copias de seguridad incluso si los buckets de Amazon S3 de origen no están cifrados. Compatible
VMware máquinas virtuales Las copias de seguridad de VM están siempre cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las máquinas virtuales se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las máquinas virtuales. Compatible
Amazon DynamoDB después de habilitar Copia de seguridad avanzada de DynamoDB

Las copias de seguridad de DynamoDB siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de DynamoDB se configura en AWS Backup el almacén en el que se almacenan las copias de seguridad de DynamoDB.

Compatible
Amazon DynamoDB sin habilitar Copia de seguridad avanzada de DynamoDB

Las copias de seguridad de DynamoDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la tabla de DynamoDB de origen. Las instantáneas de tablas de DynamoDB sin cifrar también están sin cifrar.

AWS Backup Para crear una copia de seguridad de una tabla de DynamoDB cifrada, debe añadir los kms:Decrypt permisos kms:GenerateDataKey y la función de IAM utilizada para la copia de seguridad. Como alternativa, puede utilizar el rol de servicio predeterminado. AWS Backup

No compatible
Amazon Elastic File System (Amazon EFS) Las copias de seguridad de Amazon EFS siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de Amazon EFS se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de Amazon EFS. Compatible
Amazon Elastic Block Store (Amazon EBS) De forma predeterminada, las copias de seguridad de Amazon EBS se cifran con la clave que se utilizó para cifrar el volumen de origen, o no se cifran. Durante la restauración, puede especificar una clave de KMS para anular el método de cifrado predeterminado. No compatible
Amazon Elastic Compute Cloud (Amazon EC2) AMIs AMIs no están cifrados. Las instantáneas de EBS se cifran según las reglas de cifrado predeterminadas para las copias de seguridad de EBS (consulte la entrada correspondiente a EBS). Las instantáneas de EBS de datos y volúmenes raíz se pueden cifrar y adjuntar a una AMI. No compatible
Amazon Relational Database Service (Amazon RDS) Las instantáneas de Amazon RDS se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la base de datos de Amazon RDS de origen. Las instantáneas de bases de datos de Amazon RDS sin cifrar también están sin cifrar. No compatible
Amazon Aurora Las instantáneas de clúster de Aurora se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Aurora de origen. Las instantáneas de clústeres de Aurora sin cifrar también están sin cifrar. No compatible
AWS Storage Gateway Las instantáneas de Storage Gateway se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el volumen de Storage Gateway de origen. Las instantáneas de volúmenes de Storage Gateway sin cifrar también están sin cifrar.

No es necesario utilizar una clave administrada por el cliente en todos los servicios para habilitar Storage Gateway. Basta con replicar la copia de seguridad de Storage Gateway en un almacén donde se haya configurado una clave de KMS. Esto se debe a que Storage Gateway no tiene una clave AWS KMS administrada específica del servicio.

No compatible
Amazon FSx Las funciones de cifrado de los sistemas de FSx archivos de Amazon varían según el sistema de archivos subyacente. Para obtener más información sobre tu sistema de FSx archivos de Amazon en particular, consulta la Guía FSx del usuario correspondiente. No compatible
Amazon DocumentDB Las instantáneas de clúster de Amazon DocumentDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon DocumentDB de origen. Las instantáneas de clústeres de Amazon DocumentDB sin cifrar también están sin cifrar. No compatible
Amazon Neptune Las instantáneas de clúster de Neptune se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Neptune de origen. Las instantáneas de clústeres de Neptune sin cifrar también están sin cifrar. No compatible
Amazon Timestream Las copias de seguridad de las instantáneas de la tabla de Timestream siempre están cifradas. La clave de cifrado de AWS KMS para las copias de seguridad de Timestream se configura en el almacén de copias de seguridad donde se almacenan las copias de seguridad de Timestream. Compatible
Amazon Redshift Las instantáneas de clúster de Amazon Redshift se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Redshift de origen. Las instantáneas de clústeres de Amazon Redshift sin cifrar también están sin cifrar. No compatible
AWS CloudFormation CloudFormation las copias de seguridad siempre están cifradas. La clave de CloudFormation cifrado de las CloudFormation copias de seguridad se configura en el CloudFormation almacén en el que se almacenan las CloudFormation copias de seguridad. Compatible
Bases de datos SAP HANA en EC2 instancias de Amazon Las copias de seguridad de las bases de datos de SAP HANA siempre están cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las bases de datos de SAP HANA se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las bases de datos. Compatible

Cifrado de copias de seguridad

Al copiar copias de AWS Backup seguridad entre cuentas o regiones, cifra AWS Backup automáticamente esas copias para la mayoría de los tipos de recursos, incluso si la copia de seguridad original no está cifrada. AWS Backup cifra la copia con la clave KMS del almacén de destino. Sin embargo, las instantáneas de los clústeres de Aurora, Amazon DocumentDB y Neptune sin cifrar también están sin cifrar.

Copias de cifrado y copias de seguridad

No se admite la copia multicuenta con claves de KMS AWS administradas en el caso de recursos que no estén completamente gestionados por. AWS Backup Consulte AWS Backup Administración completa para determinar qué recursos se administran por completo.

En el caso de los recursos gestionados en su totalidad AWS Backup, las copias de seguridad se cifran con la clave de cifrado del almacén de copias de seguridad. En el caso de los recursos que no se administran por completo AWS Backup, las copias multicuenta utilizan la misma clave de KMS que el recurso de origen. Para obtener más información, consulte Claves de cifrado y copias entre cuentas