Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi kredensi hypervisor mesin virtual

Mesin virtual yang dikelola oleh hypervisor menggunakan AWS Backup Gateway untuk menghubungkan sistem lokal. AWS Backup Penting bahwa hypervisor memiliki keamanan yang kuat dan andal yang sama. Keamanan ini dapat dicapai dengan mengenkripsi hypervisor, baik dengan kunci yang AWS dimiliki atau dengan kunci yang dikelola pelanggan.

AWS kunci yang dimiliki dan dikelola pelanggan

AWS Backup menyediakan enkripsi untuk kredensil hypervisor untuk melindungi informasi login pelanggan yang sensitif menggunakan AWS kunci enkripsi yang dimiliki. Anda memiliki opsi untuk menggunakan kunci yang dikelola pelanggan sebagai gantinya.

Secara default, kunci yang digunakan untuk mengenkripsi kredensil di hypervisor Anda adalah kunci yang dimiliki.AWS AWS Backup menggunakan kunci ini untuk mengenkripsi kredensil hypervisor secara otomatis. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, Anda juga tidak dapat mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan AWS KMS Pengembang.

Atau, kredensil dapat dienkripsi menggunakan kunci yang dikelola Pelanggan. AWS Backup mendukung penggunaan kunci yang dikelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk melakukan enkripsi Anda. Karena Anda memiliki kendali penuh atas enkripsi ini, Anda dapat melakukan tugas-tugas seperti:

Saat Anda menggunakan kunci yang dikelola pelanggan, AWS Backup validasi apakah peran Anda memiliki izin untuk mendekripsi menggunakan kunci ini (sebelum pekerjaan pencadangan atau pemulihan dijalankan). Anda harus menambahkan kms:Decrypt tindakan ke peran yang digunakan untuk memulai pekerjaan pencadangan atau pemulihan.

Karena kms:Decrypt tindakan tidak dapat ditambahkan ke peran cadangan default, Anda harus menggunakan peran selain peran cadangan default untuk menggunakan kunci yang dikelola pelanggan.

Untuk informasi selengkapnya, lihat kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Hibah diperlukan saat menggunakan kunci yang dikelola pelanggan

AWS KMS membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda mengimpor konfigurasi hypervisor yang dienkripsi dengan kunci yang dikelola pelanggan, AWS Backup buat hibah atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS AWS Backup menggunakan hibah untuk mengakses KMS kunci di akun pelanggan.

Anda dapat mencabut akses ke hibah, atau menghapus AWS Backup akses ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, semua gateway Anda yang terkait dengan hypervisor Anda tidak dapat lagi mengakses nama pengguna dan kata sandi hypervisor yang dienkripsi oleh kunci yang dikelola pelanggan, yang akan memengaruhi pencadangan dan pemulihan pekerjaan Anda. Secara khusus, pencadangan dan pemulihan pekerjaan yang Anda lakukan pada mesin virtual di hypervisor ini akan gagal.

Backup gateway menggunakan RetireGrant operasi untuk menghapus hibah saat Anda menghapus hypervisor.

Memantau kunci enkripsi

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan AWS Backup sumber daya Anda, Anda dapat menggunakan AWS CloudTrailatau Amazon CloudWatch Logs untuk melacak permintaan yang AWS Backup dikirim AWS KMS.

Cari AWS CloudTrail peristiwa dengan "eventName" bidang berikut untuk memantau AWS KMS operasi yang dipanggil oleh AWS Backup untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda: