As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia para backups em AWS Backup
Você pode configurar a criptografia para tipos de recursos que oferecem suporte ao AWS Backup gerenciamento total do uso AWS Backup. Se o tipo de recurso não oferecer suporte ao AWS Backup gerenciamento completo, você deverá configurar sua criptografia de backup seguindo as instruções desse serviço, como a EBScriptografia da Amazon no Guia EBS do Usuário da Amazon. Para ver a lista de tipos de recursos que oferecem suporte ao AWS Backup gerenciamento completo, consulte a seção “ AWS Backup Gerenciamento completo” da Disponibilidade de recursos por recurso tabela.
Sua IAM função deve ter acesso à KMS chave que está sendo usada para fazer backup e restaurar o objeto. Caso contrário, o trabalho será bem-sucedido, mas os objetos não serão copiados nem restaurados. As permissões na IAM política e na política KMS principal devem ser consistentes. Para obter mais informações, consulte Especificação de KMS chaves em declarações IAM de política no Guia do AWS Key Management Service desenvolvedor.
nota
AWS Backup O Audit Manager ajuda você a detectar automaticamente backups não criptografados.
A tabela a seguir lista cada tipo de recurso com suporte, como a criptografia é configurada para backups e se a criptografia independente para backups é compatível. Quando criptografa um backup de AWS Backup forma independente, ele usa o algoritmo de criptografia -256 padrão do setorAES. Para obter mais informações sobre criptografia em AWS Backup, consulte Backup entre regiões e entre contas.
| Tipo de recurso | Como configurar a criptografia | AWS Backup Criptografia independente |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Os backups do Amazon S3 são criptografados usando uma chave AWS KMS (AWS Key Management Service) associada ao cofre de backup. A AWS KMS chave pode ser uma chave gerenciada pelo cliente ou uma chave AWS gerenciada associada ao serviço. AWS Backup AWS Backup criptografa todos os backups, mesmo que os buckets de origem do Amazon S3 não estejam criptografados. | Compatível |
| VMwaremáquinas virtuais | Os backups da VM são sempre criptografados. A chave de AWS KMS criptografia para backups de máquinas virtuais é configurada no AWS Backup cofre no qual os backups da máquina virtual são armazenados. | Compatível |
| Amazon DynamoDB após a habilitar Backup avançado do DynamoDB |
Os backups do DynamoDB sempre são criptografados. A chave AWS KMS de criptografia para backups do DynamoDB é configurada no cofre em que os backups AWS Backup do DynamoDB são armazenados. |
Compatível |
| Amazon DynamoDB sem habilitar Backup avançado do DynamoDB |
Os backups do DynamoDB são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar a tabela de origem do DynamoDB. Os snapshots das tabelas não criptografadas do DynamoDB também não são criptografados. AWS Backup Para criar um backup de uma tabela criptografada do DynamoDB, você deve adicionar |
Sem compatibilidade |
| Amazon Elastic File System (AmazonEFS) | EFSOs backups da Amazon são sempre criptografados. A chave de AWS KMS criptografia para EFS backups da Amazon é configurada no AWS Backup cofre em que os EFS backups da Amazon são armazenados. | Compatível |
| Amazon Elastic Block Store (AmazonEBS) | Por padrão, os EBS backups da Amazon são criptografados usando a chave usada para criptografar o volume de origem ou não são criptografados. Durante a restauração, você pode optar por substituir o método de criptografia padrão especificando uma KMS chave. | Sem compatibilidade |
| Nuvem de computação elástica da Amazon (AmazonEC2) AMIs | AMIsnão são criptografados. EBSos instantâneos são criptografados pelas regras de criptografia padrão para EBS backups (consulte a entrada paraEBS). EBSinstantâneos de dados e volumes raiz podem ser criptografados e anexados a umAMI. | Sem compatibilidade |
| Amazon Relational Database Service (AmazonRDS) | Os RDS snapshots da Amazon são criptografados automaticamente com a mesma chave de criptografia usada para criptografar o banco de dados de origem da AmazonRDS. Os instantâneos de RDS bancos de dados não criptografados da Amazon também não são criptografados. | Sem compatibilidade |
| Amazon Aurora | Os snapshots do cluster do Aurora são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon Aurora. Os snapshots de clusters não criptografados do Aurora também não são criptografados. | Sem compatibilidade |
| AWS Storage Gateway | Os snapshots do Storage Gateway são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o volume de origem do Storage Gateway. Os snapshots de volumes não criptografados do Storage Gateway também não são criptografados. Não é necessário usar uma chave gerenciada pelo do cliente em todos os serviços para habilitar o Storage Gateway. Você só precisa copiar o backup do Storage Gateway para um cofre que configurou uma KMS chave. Isso ocorre porque o Storage Gateway não tem uma chave AWS KMS gerenciada específica do serviço. |
Sem compatibilidade |
| Amazon FSx | Os recursos de criptografia dos sistemas de FSx arquivos da Amazon diferem com base no sistema de arquivos subjacente. Para saber mais sobre seu sistema de FSx arquivos específico da Amazon, consulte o Guia FSx do usuário apropriado. | Sem compatibilidade |
| Amazon DocumentDB | Os snapshots do cluster do Amazon DocumentDB são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon DocumentDB. Os snapshots de clusters não criptografados do Amazon DocumentDB também não são criptografados. | Sem compatibilidade |
| Amazon Neptune | Os snapshots do cluster do Neptune são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Neptune. Os snapshots de clusters não criptografados do Neptune também não são criptografados. | Sem compatibilidade |
| Amazon Timestream | Os backups de snapshots de tabelas do Timestream são sempre criptografados. A chave de criptografia do AWS KMS para backups do Timestream é configurada no cofre de backup no qual os backups do Timestream são armazenados. | Compatível |
| Amazon Redshift | Os snapshots do cluster do Amazon Redshift são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon Redshift. Os snapshots de clusters não criptografados do Amazon Redshift também não são criptografados. | Sem compatibilidade |
| AWS CloudFormation | CloudFormation os backups são sempre criptografados. A chave de CloudFormation criptografia para CloudFormation backups é configurada no CloudFormation cofre no qual os CloudFormation backups são armazenados. | Compatível |
| SAPHANAbancos de dados em EC2 instâncias da Amazon | SAPHANAos backups do banco de dados são sempre criptografados. A chave de AWS KMS criptografia para backups do SAP HANA banco de dados é configurada no AWS Backup cofre no qual os backups do banco de dados são armazenados. | Compatível |
Criptografia para cópias de backup
Quando você usa AWS Backup para copiar seus backups em contas ou regiões, criptografa AWS Backup automaticamente essas cópias para a maioria dos tipos de recursos, mesmo que o backup original não esteja criptografado. AWS Backup criptografa sua cópia usando a chave do cofre de KMS destino. No entanto, os snapshots dos clusters não criptografados do Aurora, do Amazon DocumentDB e do Neptune também não são criptografados.
Criptografia e cópias de backup
A cópia entre contas com KMS chaves AWS gerenciadas não é compatível com recursos que não são totalmente gerenciados pelo AWS Backup. Consulte AWS Backup Gerenciamento completo para determinar quais recursos são totalmente gerenciados.
Para os recursos totalmente gerenciados pelo AWS Backup, os backups são criptografados com a chave de criptografia do cofre de backup. Para os recursos que não são totalmente gerenciados pelo AWS Backup, as cópias entre contas usam a mesma KMS chave do recurso de origem. Para ter mais informações, consulte Chaves de criptografia e cópias entre contas
