翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 仮想マシンのハイパーバイザー認証情報の暗号化
<a name="bgw-hypervisor-encryption-page"></a>

[ハイパーバイザーによって管理](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html)される仮想マシンは、[AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) を使用してオンプレミスシステムを AWS Backupに接続します。ハイパーバイザーも同じように堅牢で信頼性の高いセキュリティを備えていることが重要です。このセキュリティは、 AWS 所有キーまたはカスタマーマネージドキーのいずれかでハイパーバイザーを暗号化することで実現できます。

## AWS 所有キーとカスタマーマネージドキー
<a name="bgw-encryption-keys"></a>

AWS Backup は、ハイパーバイザー認証情報の暗号化を提供し、**AWS 所有の**暗号化キーを使用して顧客の機密ログイン情報を保護します。代わりに**カスタマーマネージドキー**を使用することもできます。

デフォルトでは、ハイパーバイザーの認証情報の暗号化に使用されるキーは**AWS 所有キー**です。 はこれらのキー AWS Backup を使用して、ハイパーバイザーの認証情報を自動的に暗号化します。 AWS 所有キーを表示、管理、使用することも、その使用を監査することもできません。ただし、データを暗号化するキーを保護するためのアクションの実施やプログラムの変更を行う必要はありません。詳細については、「 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)」の AWS 「 所有キー」を参照してください。

または、*カスタマーマネージドキー*を使用して認証情報を暗号化することもできます。 AWS Backup は、暗号化を実行するための、ユーザーが作成、所有、管理する、対称型のカスタマーマネージドキーの使用をサポートします。この暗号化を完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+  タグを追加する
+ キーエイリアスの作成
+ 削除のためのキースケジューリング

カスタマーマネージドキーを使用する場合、 は、ロールにこのキーを使用して復号するアクセス許可があるかどうか AWS Backup を検証します (バックアップジョブまたは復元ジョブが実行される前に）。バックアップまたは復元ジョブの開始に使用するロールに `kms:Decrypt` アクションを追加する必要があります。

`kms:Decrypt` アクションはデフォルトのバックアップロールには追加できないため、カスタマーマネージドキーを使用するにはデフォルトのバックアップロール以外のロールを使用する必要があります。

詳細については、「**AWS Key Management Service デベロッパーガイド」の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。

## カスタマーマネージドキーを使用する場合に必要な許可
<a name="encryption-grant"></a>

AWS KMS には、カスタマーマネージドキーを使用するための[許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が必要です。カスタマーマネージドキーで暗号化された[ハイパーバイザー設定](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html)をインポートすると、 は[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)リクエストを に送信してユーザーに代わって許可 AWS Backup を作成します AWS KMS。 は、お客様のアカウントの KMS キーにアクセスするための許可 AWS Backup を使用します。

許可へのアクセスを取り消すことも、カスタマーマネージドキー AWS Backupへのアクセスを削除することもできます。その場合、ハイパーバイザーに関連付けられているすべてのゲートウェイは、カスタマーマネージドキーで暗号化されたハイパーバイザーのユーザー名とパスワードにアクセスできなくなり、バックアップジョブと復元ジョブに影響します。具体的には、このハイパーバイザー内の仮想マシンで実行するバックアップジョブと復元ジョブは失敗します。

ハイパーバイザーを削除するときに、バックアップゲートウェイは `RetireGrant` 操作を使用して許可を削除します。

## 暗号化キーのモニタリング
<a name="monitoring-encryption-keys"></a>

 AWS Backup リソースで AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、 が AWS Backup に送信するリクエストを追跡できます AWS KMS。

カスタマーマネージドキーによって暗号化されたデータにアクセスするために によって呼び出されるモニタリング AWS KMS オペレーションで AWS Backup 、 に次の`"eventName"`フィールドがある AWS CloudTrail イベントを探します。
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`