翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのデータ保護 AWS Backup
AWS Backup は、データ保護に関する規制とガイドラインを含む AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)に準拠しています。 AWS は、すべての AWS サービスを実行するグローバルインフラストラクチャを保護する責任を担います。 AWS は、顧客コンテンツや個人データを処理するためのセキュリティ設定コントロールなど、このインフラストラクチャでホストされるデータの制御を維持します。データ管理者またはデータ処理者として行動する AWS 顧客と AWS パートナーネットワーク (APN) パートナーは、 に格納された個人データに対して責任を負います AWS クラウド。
データ保護の目的で、 ( AWS Identity and Access Management IAM) を使用して AWS アカウント 認証情報を保護し、個々のユーザーアカウントを設定することをお勧めします。このようにすることで、それぞれの職務を遂行するために必要なアクセス権限のみを各ユーザーに付与することができます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ Secure Sockets Layer (SSL)/Transport Layer Security (TLS) を使用して AWS リソースと通信します。
+ AWS 暗号化ソリューションと、 サービス内のすべての AWS デフォルトのセキュリティコントロールを使用します。
顧客のアカウント番号などの機密の識別情報は、**[名前]** フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS CLI AWS Backup または他の AWS のサービスを使用する場合も同様です。 AWS SDKs AWS Backup または他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。
データ保護の詳細については、*AWS セキュリティブログ* のブログ投稿「[AWS の責任共有モデルと GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」を参照してください。
# でのバックアップの暗号化 AWS Backup
## 独立した 暗号化
AWS Backup は、[フル AWS Backup 管理をサポートするリソースタイプの](backup-feature-availability.md#features-by-resource)独立した暗号化を提供します。独立した暗号化とは、 を介して作成する復旧ポイント (バックアップ) が、ソースリソースの暗号化によって決定されるもの以外の暗号化メソッドを持つ AWS Backup ことができることを意味します。例えば、Amazon S3 バケットのバックアップには、Amazon S3 暗号化で暗号化したソースバケットとは異なる暗号化方式を使用できます。この暗号化は、 にバックアップが保存されているバックアップボールトの AWS KMS キー設定によって制御されます。
によって完全に管理されていないリソースタイプのバックアップは、 AWS Backup 通常、ソースリソースから暗号化設定を継承します。これらの暗号化設定は、「*Amazon EBS ユーザーガイド*」の「[Amazon EBS 暗号化](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)」など、各サービスの手順に従って設定できます。
IAM ロールは、オブジェクトのバックアップと復元に使用中の KMS キーにアクセスできる必要があります。それ以外の場合、ジョブは成功しますが、オブジェクトはバックアップまたは復元されません。IAM ポリシーと KMS キーポリシーのアクセス許可は一貫している必要があります。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[IAM ポリシーステートメントで KMS キーを指定する](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)」を参照してください。
以下の表では、サポートされている各リソースタイプ、バックアップ用の暗号化の設定方法を示しています。また、バックアップ用の独立した暗号化がサポートされているかどうかを示しています。 AWS Backup がバックアップを個別に暗号化する場合、業界標準の AES-256 暗号化アルゴリズムを使用します。での暗号化の詳細については AWS Backup、[「クロスリージョン](cross-region-backup.md)および[クロスアカウントバックアップ](create-cross-account-backup.md)」を参照してください。
| リソースタイプ | 暗号化を設定する方法 | 独立した AWS Backup 暗号化 |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 バックアップは、バックアップボールトに関連付けられた AWS KMS (AWS Key Management Service) キーを使用して暗号化されます。 AWS KMS キーは、カスタマーマネージドキーでも、 AWS Backup サービスに関連付けられた AWSマネージドキーでもかまいません。 は、ソース Amazon S3 バケットが AWS Backup 暗号化されていない場合でも、すべてのバックアップを暗号化します。 | サポート |
| VMware 仮想マシン | VM バックアップは常に暗号化されます。仮想マシンバックアップの AWS KMS 暗号化キーは、仮想マシンバックアップが保存されている AWS Backup ボールトで設定されます。 | サポート |
| [アドバンスト DynamoDB バックアップ](advanced-ddb-backup.md)を有効にした後の Amazon DynamoDB | DynamoDB バックアップは常に暗号化されます。DynamoDB バックアップの AWS KMS 暗号化キーは、DynamoDB バックアップが保存されている AWS Backup ボールトで設定されます。 | サポート |
| [アドバンスト DynamoDB バックアップ](advanced-ddb-backup.md) を有効にしない Amazon DynamoDB | DynamoDB スナップショットは、ソース DynamoDB テーブルの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない DynamoDB テーブルのスナップショットは引き続き暗号化されません。 AWS Backup が暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用される IAM ロール`kms:GenerateDataKey`にアクセス許可`kms:Decrypt`と を追加する必要があります。または、 AWS Backup デフォルトのサービスロールを使用することもできます。 | 非サポート |
| Amazon Elastic File System (Amazon EFS) | Amazon EFS バックアップは常に暗号化されます。Amazon EFS バックアップの AWS KMS 暗号化キーは、Amazon EFS AWS Backup バックアップが保存されているボールトに設定されます。 | サポート |
| Amazon Elastic Block Store (Amazon EBS) | デフォルトでは、Amazon EBS バックアップは、ソースボリュームの暗号化に使用されたキーを使用して暗号化されるか、暗号化されないかのいずれかです。復元時には、KMS キーを指定してデフォルトの暗号化方法を無効にする選択ができます。 | サポートされていません |
| Amazon Elastic Compute Cloud (Amazon EC2) AMI | AMI は暗号化されていません。EBS スナップショットは、EBS バックアップのデフォルトの暗号化ルールによって暗号化されます (EBS のエントリを参照)。データおよびルートボリュームの EBS スナップショットを暗号化して AMI にアタッチできます。 | サポートされていません |
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS スナップショットは、ソース Amazon RDS データベースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon RDS データベースのスナップショットは引き続き暗号化されません。 | サポートされていません |
| Amazon Aurora | Aurora クラスタースナップショットは、ソース Amazon Auroraーの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Aurora クラスターのスナップショットは引き続き暗号化されません。 | サポートされていません |
| AWS Storage Gateway | Storage Gateway スナップショットは、ソース Storage Gateway ボリュームの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Storage Gatewayボリュームのスナップショットは引き続き暗号化されません。Storage Gateway を有効化するために、すべてのサービスでカスタマー管理キーを使用する必要はありません。Storage Gateway のバックアップを、KMS キーを設定した保管庫にコピーするだけです。これは、Storage Gateway にサービス固有の AWS KMS マネージドキーがないためです。 | サポートされていません |
| Amazon FSx | Amazon FSx ファイルシステムの暗号化機能は、基盤となるファイルシステムによって異なります。特定の Amazon FSx ファイルシステムの詳細については、[FSx ユーザーガイド](https://docs.aws.amazon.com/fsx/)の該当するサイトを参照してください。 | サポートされていません |
| Amazon DocumentDB | Amazon DocumentDB クラスタースナップショットは、ソース Amazon DocumentDB クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon DocumentDB クラスターのスナップショットは引き続き暗号化されません。 | サポートされていません |
| Amazon Neptune | Neptune クラスタースナップショットは、ソース Neptune クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Neptune クラスターのスナップショットは引き続き暗号化されません。 | サポートされていません |
| Amazon Timestream | Timestream テーブルスナップショットのバックアップは常に暗号化されます。Timestream バックアップの AWS KMS 暗号化キーは、Timestream バックアップが保存されているバックアップボールトに設定されます。 | サポート |
| Amazon Redshift | Amazon Redshift クラスタースナップショットは、ソースの Amazon Redshift クラスターの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。暗号化されていない Amazon Redshift クラスターのスナップショットは引き続き暗号化されません。 | サポートされていません |
| Amazon Redshift Serverless | Redshift Serverless スナップショットは、ソースの暗号化に使用されたものと同じ暗号化キーで自動的に暗号化されます。 | サポートされていません |
| CloudFormation | CloudFormation バックアップは常に暗号化されます。CloudFormation バックアップの CloudFormation 暗号化キーは、CloudFormation バックアップが保存される CloudFormation ボールトに設定されます。 | サポート |
| Amazon EC2 インスタンスでの SAP HANA データベース | SAP HANA データベースのバックアップは常に暗号化されます。SAP HANA データベースバックアップの AWS KMS 暗号化キーは、データベースバックアップが保存されている AWS Backup ボールトで設定されます。 | サポート |
**ヒント**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) は、暗号化されていないバックアップを自動的に検出するのに役立ちます。
## 別のアカウントまたは へのバックアップのコピーの暗号化 AWS リージョン
アカウントまたはリージョン間でバックアップをコピーすると、元のバックアップが暗号化されていない場合でも、 はほとんどのリソースタイプのコピー AWS Backup を自動的に暗号化します。 AWS Backup は、ターゲットボールトの KMS キーを使用してコピーを暗号化します。
あるアカウントから別のアカウント (クロスアカウントコピージョブ) にバックアップをコピーしたり、あるリージョンから別のリージョン (クロスリージョンコピージョブ) にバックアップをコピーしたりする前に、以下の条件に注意してください。その多くは、バックアップのリソースタイプ (復旧ポイント) [が完全に管理されているかどうかによって異なります AWS Backup](backup-feature-availability.md#features-by-resource)。
+ 別の へのバックアップのコピー AWS リージョン は、コピー先ボールトの キーを使用して暗号化されます。
+ **によって完全に管理 AWS Backup**されているリソースの復旧ポイント (バックアップ) のコピーについては、[カスタマーマネージドキー (CMK) または マネージドキー ()](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) を使用して暗号化することを選択できます`aws/backup`。 AWS Backup
によって**完全に管理されていない**リソースの復旧ポイントのコピーの場合 AWS Backup、送信先ボールトに関連付けられたキーは、基盤となるリソースを所有するサービスの CMK またはマネージドキーである必要があります。例えば、EC2 インスタンスをコピーする場合、Backup マネージドキーは使用できません。代わりに、コピージョブの失敗を避けるために、CMK または Amazon EBS KMS キー (`aws/ebs`) を使用する必要があります。
+ AWS マネージドキーを使用したクロスアカウントコピーは、 によって完全に管理されていないリソースではサポートされていません AWS Backup。 AWS 管理キーの[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)はイミュータブルなので、アカウント間でキーがコピーすることはできません。リソースが AWS マネージドキーで暗号化されており、クロスアカウントコピーを実行する場合は、[暗号化キー](https://repost.aws/knowledge-center/update-encryption-key-rds)をカスタマーマネージドキーに変更して、クロスアカウントコピーに使用できます。または、[「クロスアカウントバックアップとクロスリージョンバックアップを使用して暗号化された Amazon RDS インスタンスを保護する](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)」の手順に従って、 AWS マネージドキーを引き続き使用できます。
+ Amazon Aurora クラスター、Amazon DocumentDB クラスター、Amazon Neptune クラスターが暗号化されていない場合、そのコピーも暗号化されません。
## AWS Backup アクセス許可、許可、拒否ステートメント
失敗したジョブを回避するには、 AWS KMS キーポリシーを調べて、必要なアクセス許可があり、オペレーションの成功を妨げる拒否ステートメントがないことを確認します。
ジョブの失敗は、KMS キーに適用された 1 つ以上の拒否ステートメント、またはキーの[許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が取り消されたことによって発生する可能性があります。
などの AWS マネージドアクセスポリシーでは[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)、 が とインターフェイス AWS KMS して、バックアップ、コピー、ストレージオペレーションの一部として、お客様に代わって KMS キーに許可を作成することを許可 AWS Backup するアクションがあります。
このキーポリシーには少なくとも次のアクセス許可が必要です。
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
拒否ポリシーが必要な場合は、バックアップおよび復元オペレーションに必要なロールを許可リストに登録する必要があります。
これらの要素は、次のようになります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
これらのアクセス許可は、 AWS 管理かカスタマー管理かにかかわらず、 キーの一部である必要があります。
1. 必要なアクセス許可が KMS キーポリシーの一部であることを確認します。
1. KMS CLI `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) を実行して、指定された KMS キーにアタッチされたキーポリシーを表示します。
1. 返されたアクセス許可を確認します。
1. オペレーションに影響する拒否ステートメントがないことを確認します。
1. CLI `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) を実行 (または再実行) して、指定された KMS キーにアタッチされたキーポリシーを表示します。
1. ポリシーを確認します。
1. KMS キーポリシーから関連する拒否ステートメントを削除します。
1. 必要に応じて、[https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) を実行して、キーポリシーを改訂されたアクセス許可に置き換えるか更新し、拒否ステートメントを削除します。
さらに、クロスリージョンコピージョブを開始するロールに関連付けられたキーは、`DescribeKey` アクセス許可に `"kms:ResourcesAliases": "alias/aws/backup"` を含める必要があります。
# 仮想マシンのハイパーバイザー認証情報の暗号化
[ハイパーバイザーによって管理](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html)される仮想マシンは、[AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) を使用してオンプレミスシステムを AWS Backupに接続します。ハイパーバイザーも同じように堅牢で信頼性の高いセキュリティを備えていることが重要です。このセキュリティは、 AWS 所有キーまたはカスタマーマネージドキーのいずれかでハイパーバイザーを暗号化することで実現できます。
## AWS 所有キーとカスタマーマネージドキー
AWS Backup は、ハイパーバイザー認証情報の暗号化を提供し、**AWS 所有の**暗号化キーを使用して顧客の機密ログイン情報を保護します。代わりに**カスタマーマネージドキー**を使用することもできます。
デフォルトでは、ハイパーバイザーの認証情報の暗号化に使用されるキーは**AWS 所有キー**です。 はこれらのキー AWS Backup を使用して、ハイパーバイザーの認証情報を自動的に暗号化します。 AWS 所有キーを表示、管理、使用することも、その使用を監査することもできません。ただし、データを暗号化するキーを保護するためのアクションの実施やプログラムの変更を行う必要はありません。詳細については、「 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)」の AWS 「 所有キー」を参照してください。
または、*カスタマーマネージドキー*を使用して認証情報を暗号化することもできます。 AWS Backup は、暗号化を実行するための、ユーザーが作成、所有、管理する、対称型のカスタマーマネージドキーの使用をサポートします。この暗号化を完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグを追加する
+ キーエイリアスの作成
+ 削除のためのキースケジューリング
カスタマーマネージドキーを使用する場合、 は、ロールにこのキーを使用して復号するアクセス許可があるかどうか AWS Backup を検証します (バックアップジョブまたは復元ジョブが実行される前に)。バックアップまたは復元ジョブの開始に使用するロールに `kms:Decrypt` アクションを追加する必要があります。
`kms:Decrypt` アクションはデフォルトのバックアップロールには追加できないため、カスタマーマネージドキーを使用するにはデフォルトのバックアップロール以外のロールを使用する必要があります。
詳細については、「**AWS Key Management Service デベロッパーガイド」の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
## カスタマーマネージドキーを使用する場合に必要な許可
AWS KMS には、カスタマーマネージドキーを使用するための[許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が必要です。カスタマーマネージドキーで暗号化された[ハイパーバイザー設定](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html)をインポートすると、 は[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)リクエストを に送信してユーザーに代わって許可 AWS Backup を作成します AWS KMS。 は、お客様のアカウントの KMS キーにアクセスするための許可 AWS Backup を使用します。
許可へのアクセスを取り消すことも、カスタマーマネージドキー AWS Backupへのアクセスを削除することもできます。その場合、ハイパーバイザーに関連付けられているすべてのゲートウェイは、カスタマーマネージドキーで暗号化されたハイパーバイザーのユーザー名とパスワードにアクセスできなくなり、バックアップジョブと復元ジョブに影響します。具体的には、このハイパーバイザー内の仮想マシンで実行するバックアップジョブと復元ジョブは失敗します。
ハイパーバイザーを削除するときに、バックアップゲートウェイは `RetireGrant` 操作を使用して許可を削除します。
## 暗号化キーのモニタリング
AWS Backup リソースで AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、 が AWS Backup に送信するリクエストを追跡できます AWS KMS。
カスタマーマネージドキーによって暗号化されたデータにアクセスするために によって呼び出されるモニタリング AWS KMS オペレーションで AWS Backup 、 に次の`"eventName"`フィールドがある AWS CloudTrail イベントを探します。
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`