Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi untuk backup di AWS Backup
Anda dapat mengonfigurasi enkripsi untuk jenis sumber daya yang mendukung AWS Backup pengelolaan penuh dalam penggunaan AWS Backup. Jika jenis sumber daya tidak mendukung AWS Backup manajemen penuh, Anda harus mengonfigurasi enkripsi cadangannya dengan mengikuti instruksi layanan tersebut, seperti enkripsi Amazon EBS di Panduan Pengguna Amazon EBS. Untuk melihat daftar jenis sumber daya yang mendukung AWS Backup manajemen penuh, lihat bagian “ AWS Backup Manajemen penuh” pada Ketersediaan fitur berdasarkan sumber daya tabel.
Peran IAM Anda harus memiliki akses ke kunci KMS yang digunakan untuk mencadangkan dan memulihkan objek. Jika tidak, pekerjaan berhasil tetapi objek tidak didukung atau dipulihkan. Izin dalam kebijakan IAM dan kebijakan kunci KMS harus konsisten. Untuk informasi selengkapnya, lihat Menentukan kunci KMS dalam pernyataan kebijakan IAM di Panduan Pengembang.AWS Key Management Service
catatan
AWS Backup Audit Manager membantu Anda mendeteksi backup yang tidak terenkripsi secara otomatis.
Tabel berikut mencantumkan setiap jenis sumber daya yang didukung, cara enkripsi dikonfigurasi untuk backup, dan apakah enkripsi independen untuk backup didukung. Ketika AWS Backup secara independen mengenkripsi cadangan, ia menggunakan algoritma enkripsi AES-256 standar industri. Untuk informasi selengkapnya tentang enkripsi di AWS Backup, lihat Pencadangan lintas wilayah dan lintas akun.
| Jenis sumber daya | Cara mengkonfigurasi enkripsi | AWS Backup Enkripsi independen |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Cadangan Amazon S3 dienkripsi menggunakan kunci AWS KMS (AWS Key Management Service) yang terkait dengan brankas cadangan. Kunci AWS KMS dapat berupa kunci yang dikelola pelanggan atau kunci yang dikelola yang AWS terkait dengan layanan. AWS Backup AWS Backup mengenkripsi semua cadangan bahkan jika bucket Amazon S3 sumber tidak dienkripsi. | Didukung |
| VMware mesin virtual | Cadangan VM selalu dienkripsi. Kunci AWS KMS enkripsi untuk pencadangan mesin virtual dikonfigurasi di AWS Backup brankas tempat cadangan mesin virtual disimpan. | Didukung |
| Amazon DynamoDB setelah mengaktifkan Cadangan DynamoDB tingkat lanjut |
Pencadangan DynamoDB selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup DynamoDB dikonfigurasi di AWS Backup vault tempat cadangan DynamoDB disimpan. |
Didukung |
| Amazon DynamoDB tanpa mengaktifkan Cadangan DynamoDB tingkat lanjut |
Pencadangan DynamoDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi tabel DynamoDB sumber. Snapshot dari tabel DynamoDB yang tidak terenkripsi juga tidak terenkripsi. AWS Backup Agar dapat membuat cadangan tabel DynamoDB terenkripsi, Anda harus menambahkan izin |
Tidak didukung |
| Amazon Elastic File System (Amazon EFS) | Cadangan Amazon EFS selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Amazon EFS dikonfigurasi di AWS Backup brankas tempat cadangan Amazon EFS disimpan. | Didukung |
| Amazon Elastic Block Store (Amazon EBS) | Secara default, cadangan Amazon EBS dienkripsi menggunakan kunci yang digunakan untuk mengenkripsi volume sumber, atau tidak dienkripsi. Selama pemulihan, Anda dapat memilih untuk mengganti metode enkripsi default dengan menentukan kunci KMS. | Tidak didukung |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs tidak terenkripsi. Snapshot EBS dienkripsi oleh aturan enkripsi default untuk cadangan EBS (lihat entri untuk EBS). Cuplikan data dan volume root EBS dapat dienkripsi dan dilampirkan ke AMI. | Tidak didukung |
| Amazon Relational Database Service (Amazon RDS) | Snapshot Amazon RDS secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi basis data Amazon RDS sumber. Cuplikan database Amazon RDS yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Aurora | Snapshot cluster Aurora secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi sumber cluster Amazon Aurora. Cuplikan cluster Aurora yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| AWS Storage Gateway | Snapshot Storage Gateway secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi volume Storage Gateway sumber. Snapshot dari volume Storage Gateway yang tidak terenkripsi juga tidak terenkripsi. Anda tidak perlu menggunakan kunci yang dikelola pelanggan di semua layanan untuk mengaktifkan Storage Gateway. Anda hanya perlu menyalin cadangan Storage Gateway ke vault yang mengonfigurasi kunci KMS. Ini karena Storage Gateway tidak memiliki kunci AWS KMS terkelola khusus layanan. |
Tidak didukung |
| Amazon FSx | Fitur enkripsi untuk sistem FSx file Amazon berbeda berdasarkan sistem file yang mendasarinya. Untuk mempelajari selengkapnya tentang sistem FSx file Amazon tertentu, lihat Panduan FSx Pengguna yang sesuai. | Tidak didukung |
| Amazon DocumentDB | Snapshot cluster Amazon DocumentDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon DocumentDB sumber. Cuplikan cluster Amazon DocumentDB yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Neptune | Snapshot cluster Neptunus secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Neptunus sumber. Cuplikan cluster Neptunus yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Timestream | Pencadangan snapshot tabel timestream selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Timestream dikonfigurasi di brankas cadangan tempat cadangan Timestream disimpan. | Didukung |
| Amazon Redshift | Cluster Amazon Redshift secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon Redshift sumber. Cuplikan cluster Amazon Redshift yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| AWS CloudFormation | CloudFormation backup selalu dienkripsi. Kunci CloudFormation enkripsi untuk CloudFormation cadangan dikonfigurasi di CloudFormation brankas tempat CloudFormation cadangan disimpan. | Didukung |
| Database SAP HANA pada instans Amazon EC2 | Pencadangan basis data SAP HANA selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup database SAP HANA dikonfigurasi di AWS Backup brankas tempat backup database disimpan. | Didukung |
Enkripsi untuk salinan cadangan
Saat Anda menggunakannya AWS Backup untuk menyalin cadangan di seluruh akun atau Wilayah, AWS Backup secara otomatis mengenkripsi salinan tersebut untuk sebagian besar jenis sumber daya, meskipun cadangan asli tidak dienkripsi. AWS Backup mengenkripsi salinan Anda menggunakan kunci KMS vault target. Namun, snapshot dari cluster Aurora, Amazon DocumentDB, dan Neptunus yang tidak terenkripsi juga tidak terenkripsi.
Enkripsi dan salinan cadangan
Salinan lintas akun dengan kunci KMS AWS terkelola tidak didukung untuk sumber daya yang tidak dikelola sepenuhnya oleh. AWS Backup Lihat AWS Backup Manajemen penuh untuk menentukan sumber daya mana yang sepenuhnya dikelola.
Untuk sumber daya yang dikelola sepenuhnya oleh AWS Backup, cadangan dienkripsi dengan kunci enkripsi brankas cadangan. Untuk sumber daya yang tidak sepenuhnya dikelola oleh AWS Backup, salinan lintas akun menggunakan kunci KMS yang sama dengan sumber daya sumber. Untuk informasi selengkapnya, silakan lihat Kunci enkripsi dan salinan lintas akun
