As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de credenciais de hipervisor de máquina virtual

As máquinas virtuais gerenciadas por um hipervisor usam o AWS Backup Gateway para conectar sistemas on-premises ao AWS Backup. É importante que os hipervisores tenham a mesma segurança robusta e confiável. Essa segurança pode ser obtida criptografando o hipervisor, seja por chaves AWS próprias ou por chaves gerenciadas pelo cliente.

AWS chaves próprias e gerenciadas pelo cliente

AWS Backup fornece criptografia para as credenciais do hipervisor para proteger as informações confidenciais de login do cliente usando chaves de criptografia AWS próprias. Em vez disso, você tem a opção de usar chaves gerenciadas pelo cliente.

Por padrão, as chaves usadas para criptografar as credenciais em seu hipervisor são AWS chaves próprias. AWS Backup usa essas chaves para criptografar automaticamente as credenciais do hipervisor. Você não pode visualizar, gerenciar ou usar chaves AWS próprias, nem auditar seu uso. No entanto, não é necessário realizar nenhuma ação nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte chaves AWS próprias no Guia do AWS KMS desenvolvedor.

Como alternativa, as credenciais podem ser criptografadas usando chaves gerenciadas pelo cliente. O AWS Backup é compatível com o uso de chaves simétricas gerenciadas pelo cliente que você cria, tem a propriedade e gerencia para executar a criptografia. Como você tem controle total dessa criptografia, é possível realizar tarefas como:

Ao usar uma chave gerenciada pelo cliente, AWS Backup valida se sua função tem permissão para descriptografar usando essa chave (antes da execução de um trabalho de backup ou restauração). Você deve adicionar a ação kms:Decrypt à função usada para iniciar um trabalho de backup ou de restauração.

Como não é possível adicionar a ação kms:Decrypt à função de backup padrão, você deve usar uma função diferente da função de backup padrão para usar as chaves gerenciadas pelo cliente.

Para obter mais informações, consulte chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Concessão necessária ao usar chaves gerenciadas pelo cliente

AWS KMS exige uma concessão para usar sua chave gerenciada pelo cliente. Quando você importa uma configuração de hipervisor criptografada com uma chave gerenciada pelo cliente, AWS Backup cria uma concessão em seu nome enviando uma CreateGrantsolicitação para AWS KMS. AWS Backup usa concessões para acessar uma chave KMS em uma conta de cliente.

Você pode revogar o acesso à concessão ou remover AWS Backup o acesso à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, todos os seus gateways associados ao seu hipervisor não poderão mais acessar o nome de usuário e a senha do hipervisor criptografados pela chave gerenciada pelo cliente, o que afetará os trabalhos de backup e de restauração. Especificamente, haverá falha nos trabalhos de backup e de restauração que você executa nas máquinas virtuais desse hipervisor.

O gateway de backup usa a operação RetireGrant para remover uma concessão quando você exclui um hipervisor.

Monitorar as chaves de criptografia

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus AWS Backup recursos, você pode usar AWS CloudTrailo Amazon CloudWatch Logs para rastrear solicitações AWS Backup enviadas para AWS KMS.

Procure AWS CloudTrail eventos com os seguintes "eventName" campos para monitorar AWS KMS as operações chamadas por AWS Backup para acessar dados criptografados pela chave gerenciada pelo cliente: