Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia delle credenziali dell'hypervisor delle macchine virtuali

Le macchine virtuali gestite da un hypervisor utilizzano AWS Backup Gateway per connettere i sistemi on-premise a AWS Backup. È importante che gli hypervisor dispongano di un sistema di sicurezza altrettanto solido e affidabile. Questa sicurezza può essere ottenuta crittografando l'hypervisor, tramite chiavi di AWS proprietà o tramite chiavi gestite dal cliente.

AWS chiavi possedute e gestite dal cliente

AWS Backup fornisce la crittografia delle credenziali dell'hypervisor per proteggere le informazioni sensibili di accesso dei clienti utilizzando chiavi di crittografia AWS proprietarie. In alternativa è possibile utilizzare chiavi gestite dal cliente.

Per impostazione predefinita, le chiavi utilizzate per crittografare le credenziali nell'hypervisor sono chiavi di proprietà.AWS AWS Backup utilizza queste chiavi per crittografare automaticamente le credenziali dell'hypervisor. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà, né controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le chiavi AWS possedute nella Guida per AWS KMS gli sviluppatori.

In alternativa, le credenziali possono essere crittografate utilizzando chiavi gestite dal cliente. AWS Backup supporta l'uso di chiavi simmetriche gestite dal cliente create, possedute e gestite dall'utente per eseguire la crittografia. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:

Quando utilizzi una chiave gestita dal cliente, AWS Backup verifica se il tuo ruolo è autorizzato a decrittografare utilizzando questa chiave (prima dell'esecuzione di un processo di backup o ripristino). Per avviare un processo di backup o ripristino è necessario aggiungere l'azione kms:Decrypt al ruolo utilizzato.

Poiché l'azione kms:Decrypt non può essere aggiunta al ruolo di backup predefinito, per utilizzare le chiavi gestite dal cliente è necessario utilizzare un ruolo diverso dal ruolo di backup predefinito.

Per ulteriori informazioni, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Autorizzazione richiesta quando si utilizzano le chiavi gestite dal cliente

AWS KMS richiede una concessione per utilizzare la chiave gestita dal cliente. Quando importi una configurazione dell'hypervisor crittografata con una chiave gestita dal cliente, AWS Backup crea una concessione per tuo conto inviando una CreateGrantrichiesta a. AWS KMS AWS Backup utilizza le concessioni per accedere a una chiave KMS in un account cliente.

Puoi revocare l'accesso alla concessione o rimuovere AWS Backup l'accesso alla chiave gestita dal cliente in qualsiasi momento. In tal caso, tutti i gateway associati all'hypervisor non potranno più accedere al nome utente e alla password dell'hypervisor crittografati dalla chiave gestita dal cliente, il che influirà sui processi di backup e ripristino. In particolare, i processi di backup e ripristino eseguiti sulle macchine virtuali in questo hypervisor avranno esito negativo.

Backup Gateway utilizza l'operazione RetireGrant per rimuovere un'autorizzazione quando si elimina un hypervisor.

Monitoraggio delle chiavi crittografiche

Quando utilizzi una chiave gestita AWS KMS dal cliente con AWS Backup le tue risorse, puoi utilizzare AWS CloudTrailAmazon CloudWatch Logs per tenere traccia delle richieste AWS Backup inviate a AWS KMS.

Cerca AWS CloudTrail gli eventi con i seguenti "eventName" campi per monitorare AWS KMS le operazioni chiamate AWS Backup ad accedere ai dati crittografati dalla chiave gestita dal cliente: