Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS
REL09-BP02 Mengamankan dan mengenkripsi cadangan - Pilar Keandalan
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

REL09-BP02 Mengamankan dan mengenkripsi cadangan

PDFRSS

Kontrol dan deteksi akses ke cadangan menggunakan autentikasi dan otorisasi. Gunakan enkripsi untuk mencegah dan mendeteksi jika integritas data cadangan terancam.

Anti-pola umum:

  • Buatlah akses yang sama ke cadangan dan otomatisasi pemulihan seperti yang dilakukan pada data.

  • Tidak mengenkripsi cadangan.

Manfaat menerapkan praktik terbaik ini: Mengamankan data Anda akan mencegah adanya gangguan terhadap data, dan enkripsi data mencegah akses ke data tersebut jika tidak sengaja terekspos.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Kontrol dan deteksi akses ke cadangan menggunakan otentikasi dan otorisasi, seperti (). AWS Identity and Access Management IAM Gunakan enkripsi untuk mencegah dan mendeteksi jika integritas data cadangan terancam.

Amazon S3 mendukung beberapa metode enkripsi data diam. Dengan menggunakan enkripsi di sisi server, Amazon S3 dapat menerima objek sebagai data yang tidak terenkripsi dan mengenkripsinya saat disimpan. Dengan menggunakan enkripsi di sisi klien, aplikasi beban kerja bertanggung jawab untuk mengenkripsi data sebelum mengirimkannya ke Amazon S3. Kedua metode memungkinkan Anda menggunakan AWS Key Management Service (AWS KMS) untuk membuat dan menyimpan kunci data, atau Anda dapat memberikan kunci Anda sendiri, yang kemudian menjadi tanggung jawab Anda. Dengan menggunakan AWS KMS, Anda dapat menetapkan kebijakan menggunakan IAM siapa yang dapat dan tidak dapat mengakses kunci data dan data yang didekripsi.

Untuk AmazonRDS, jika Anda telah memilih untuk mengenkripsi database Anda, maka cadangan Anda juga dienkripsi. Pencadangan DynamoDB selalu dienkripsi. Saat menggunakan AWS Elastic Disaster Recovery, semua data dalam perjalanan dan saat istirahat dienkripsi. Dengan Elastic Disaster Recovery, data saat istirahat dapat dienkripsi menggunakan Kunci EBS Enkripsi Volume enkripsi Amazon default atau kunci yang dikelola pelanggan khusus.

Langkah-langkah implementasi

  1. Gunakan enkripsi untuk setiap penyimpanan data. Jika sumber data terenkripsi, maka cadangannya juga akan terenkripsi.

    • Gunakan enkripsi di AmazonRDS. . Anda dapat mengonfigurasi enkripsi saat istirahat menggunakan AWS Key Management Service saat Anda membuat RDS instance.

    • Gunakan enkripsi pada EBS volume Amazon. . Anda dapat mengonfigurasi enkripsi default atau menentukan sebuah kunci unik saat pembuatan volume.

    • Gunakan enkripsi Amazon DynamoDB yang diperlukan. DynamoDB mengenkripsi semua data diam. Anda dapat menggunakan kunci yang AWS dimiliki atau AWS KMS kunci AWS terkelolaKMS, menentukan kunci yang disimpan di akun Anda.

    • Enkripsi data Anda yang disimpan di Amazon EFS. Konfigurasikan enkripsi saat Anda membuat sistem file.

    • Konfigurasikan enkripsi di Wilayah sumber dan tujuan. Anda dapat mengonfigurasi enkripsi saat istirahat di Amazon S3 menggunakan kunci yang disimpanKMS, tetapi kuncinya khusus Wilayah. Anda dapat menentukan kunci tujuan saat Anda mengonfigurasikan replikasi.

    • Pilih apakah akan menggunakan EBSenkripsi Amazon default atau kustom untuk Elastic Disaster Recovery. Opsi ini akan mengenkripsi data diam yang direplikasi di diska Subnet Area Staging dan diska yang direplikasi.

  2. Implementasikan izin hak akses paling rendah untuk mengakses cadangan Anda. Ikuti praktik-praktik terbaik untuk membatasi akses ke cadangan, snapshot, dan replika sesuai dengan praktik terbaik untuk keamanan.

Sumber daya

Dokumen terkait:

Contoh terkait:

Perlu bantuan?

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.