虛擬機器 Hypervisor 憑證加密 - AWS Backup
AWS 擁有的金鑰授權監控加密金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

虛擬機器 Hypervisor 憑證加密

由 Hypervisor 管理的虛擬機器使用 AWS Backup 閘道將內部部署系統連線到 AWS Backup。所有 Hypervisor 都必須擁有同樣強大且可靠的安全性。這種安全可以透過加密 Hypervisor 來實現,無論是透過 AWS 擁有的金鑰還是客戶受管的金鑰。

AWS 擁有和客戶受管金鑰

AWS Backup 為 Hypervisor 憑證提供加密,以使用AWS 擁有的加密金鑰保護敏感的客戶登入資訊。您可以選擇改用客戶自管金鑰

根據預設,用來加密 Hypervisor 中憑證的金鑰是AWS 擁有的金鑰。 AWS Backup 使用這些金鑰自動加密 Hypervisor 憑證。您無法檢視、管理或使用 AWS 擁有的金鑰,也無法稽核其使用。不過,您不需要採取任何動作或變更任何程式,即可保護加密您資料的金鑰。如需詳細資訊,請參閱 AWS KMS 開發人員指南 中的 AWS 擁有金鑰。

或者,您也可以使用「客戶自管金鑰」來加密憑證。 AWS Backup 支援使用您建立、擁有和管理的對稱客戶自管金鑰來執行加密。由於您可以完全控管此加密,因此能執行以下任務:

  • 建立和維護金鑰政策

  • 建立和維護IAM政策和授予

  • 啟用和停用金鑰政策

  • 輪換金鑰密碼編譯資料

  • 新增標籤

  • 建立金鑰別名

  • 安排金鑰供刪除

當您使用客戶受管金鑰時, 會 AWS Backup 驗證您的角色是否具有使用此金鑰解密的許可 (在執行備份或還原任務之前)。您必須將 kms:Decrypt 動作新增至用於啟動備份或還原任務的角色。

由於 kms:Decrypt 動作無法新增至預設備份角色,因此您必須使用預設備份角色以外的角色才能使用客戶自管金鑰。

如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的客戶自管金鑰

使用客戶自管金鑰時需要授予

AWS KMS 需要授予才能使用客戶受管金鑰。當您匯入以客戶受管金鑰加密的 Hypervisor 組態時, 會透過傳送CreateGrant請求至 來代表您 AWS Backup 建立授予 AWS KMS。 AWS Backup 使用授予來存取客戶帳戶中的KMS金鑰。

您可以隨時撤銷授予的存取權,或移除 AWS Backup對客戶受管金鑰的存取權。如果這樣做,所有與 Hypervisor 相關的閘道將無法再存取由客戶自管金鑰加密的 Hypervisor 使用者名稱和密碼,這會影響您的備份和還原任務。具體而言,您在此 Hypervisor 中的虛擬機器上執行的備份和還原任務將會失敗。

當您刪除 Hypervisor 時,Backup 閘道會使用 RetireGrant 操作來移除授予。

監控加密金鑰

當您將 AWS KMS 客戶受管金鑰與 AWS Backup 資源搭配使用時,您可以使用 AWS CloudTrailAmazon CloudWatch Logs 來追蹤 AWS Backup 傳送至 的請求 AWS KMS。

尋找具有下列"eventName"欄位 AWS CloudTrail 的事件,以監控 呼叫 AWS Backup 以存取客戶受管金鑰加密的資料 AWS KMS 的操作:

  • "eventName": "CreateGrant"

  • "eventName": "Decrypt"

  • "eventName": "Encrypt"

  • "eventName": "DescribeKey"