本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 虛擬機器 Hypervisor 憑證加密
<a name="bgw-hypervisor-encryption-page"></a>

[由 Hypervisor 管理](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html)的虛擬機器使用 [AWS Backup 閘道](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html)將內部部署系統連線到 AWS Backup。所有 Hypervisor 都必須擁有同樣強大且可靠的安全性。這種安全可以透過加密 Hypervisor 來實現，無論是透過 AWS 擁有的金鑰還是客戶受管的金鑰。

## AWS 擁有和客戶受管金鑰
<a name="bgw-encryption-keys"></a>

AWS Backup 為 Hypervisor 登入資料提供加密，以使用**AWS 擁有的加密**金鑰保護敏感的客戶登入資訊。您可以選擇改用**客戶自管金鑰**。

根據預設，用於加密 Hypervisor 中登入資料的金鑰為**AWS 擁有的金鑰**。 AWS Backup 使用這些金鑰自動加密 Hypervisor 登入資料。您無法檢視、管理或使用 AWS 擁有的金鑰，也無法稽核其使用方式。不過，您不需要採取任何動作或變更任何程式，即可保護加密您資料的金鑰。如需詳細資訊，請參閱《 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)》中的 AWS 擁有的金鑰。

或者，您也可以使用「客戶自管金鑰」**來加密憑證。 AWS Backup 支援使用您建立、擁有和管理的對稱客戶自管金鑰來執行加密。由於您可以完全控管此加密，因此能執行以下任務：
+ 建立和維護金鑰政策
+ 建立和維護 IAM 政策和授予操作
+ 啟用和停用金鑰政策
+ 輪換金鑰密碼編譯資料
+ 新增 標籤
+ 建立金鑰別名
+ 安排金鑰供刪除

當您使用客戶受管金鑰時， 會 AWS Backup 驗證您的角色是否具有使用此金鑰解密的許可 （在執行備份或還原任務之前）。您必須將 `kms:Decrypt` 動作新增至用於啟動備份或還原任務的角色。

由於 `kms:Decrypt` 動作無法新增至預設備份角色，因此您必須使用預設備份角色以外的角色才能使用客戶自管金鑰。

如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[客戶自管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。

## 使用客戶自管金鑰時需要授予
<a name="encryption-grant"></a>

AWS KMS 需要[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)才能使用您的客戶受管金鑰。當您匯入以客戶受管金鑰加密的 [ Hypervisor 組態](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html)時， 會透過傳送[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)請求至 來代表您 AWS Backup 建立授予 AWS KMS。 AWS Backup 使用授予來存取客戶帳戶中的 KMS 金鑰。

您可以隨時撤銷授予的存取權，或移除對客戶受管金鑰的 AWS Backup存取權。如果這樣做，所有與 Hypervisor 相關的閘道將無法再存取由客戶自管金鑰加密的 Hypervisor 使用者名稱和密碼，這會影響您的備份和還原任務。具體而言，您在此 Hypervisor 中的虛擬機器上執行的備份和還原任務將會失敗。

當您刪除 Hypervisor 時，Backup 閘道會使用 `RetireGrant` 操作來移除授予。

## 監控加密金鑰
<a name="monitoring-encryption-keys"></a>

當您搭配 AWS Backup 資源使用 AWS KMS 客戶受管金鑰時，您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 來追蹤 AWS Backup 傳送的請求 AWS KMS。

尋找具有下列`"eventName"`欄位 AWS CloudTrail 的事件，以監控 呼叫 AWS KMS 的操作 AWS Backup ，以存取客戶受管金鑰加密的資料：
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`