本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的資料保護 AWS Backup
<a name="data-protection"></a>

AWS Backup 遵循 AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)，其中包括資料保護的法規和指導方針。 AWS 負責保護執行所有 AWS 服務的全球基礎設施。 AWS 會維持對在此基礎設施上託管資料的控制，包括處理客戶內容和個人資料的安全組態控制。 AWS 客戶和 AWS 合作夥伴網路 (APN) 合作夥伴作為資料控制者或資料處理者，負責處理他們在 中放置的任何個人資料 AWS 雲端。

基於資料保護目的，我們建議您保護 AWS 帳戶 登入資料，並使用 AWS Identity and Access Management (IAM) 設定個別使用者帳戶。這有助於確保每個使用者都只獲得完成其任務所需的許可。我們也建議您採用下列方式保護資料：
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用安全通訊端層 (SSL)/傳輸層安全性 (TLS) 來與 AWS 資源通訊。
+ 使用 AWS 加密解決方案，以及 服務中的所有 AWS 預設安全控制。

我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊，放在自由格式的欄位中，例如**Name (名稱)** 欄位。這包括當您使用 或其他 AWS 使用主控台、API AWS CLI AWS Backup 或 AWS SDKs的服務時。您輸入 AWS Backup 或其他服務的任何資料都可能被選入診斷日誌中。當您提供外部伺服器的 URL 時，請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

如需關於資料保護的詳細資訊，請參閱 *AWS 安全部落格*上的 [AWS 共同責任模型和歐盟《一般資料保護規範》(GDPR)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。

# 中的備份加密 AWS Backup
<a name="encryption"></a>

## 獨立 加密
<a name="independent-encryption"></a>

AWS Backup 為[支援完整 AWS Backup 管理的資源類型](backup-feature-availability.md#features-by-resource)提供獨立加密。獨立加密表示您透過 建立的復原點 （備份） AWS Backup 可以具有由來源資源加密決定的加密方法以外的加密方法。例如，您的 Amazon S3 儲存貯體備份可以有與您使用 Amazon S3 加密加密的來源儲存貯體不同的加密方法。此加密是透過儲存備份的備份文件庫中的 AWS KMS 金鑰組態來控制。

未完全受 管理的資源類型備份 AWS Backup 通常會繼承其來源資源的加密設定。您可以根據該服務的指示來設定這些加密設定，例如 [Amazon EBS 使用者指南中的 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **

您的 IAM 角色必須能夠存取用來備份和還原物件的 KMS 金鑰。否則任務會成功，但物件不會備份或還原。IAM 政策和 KMS 金鑰政策中的許可必須一致。如需詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》[中的在 IAM 政策陳述式中指定 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。

下表列出了每個支援的資源類型、如何設定備份的加密，以及是否支援備份獨立的加密。當 AWS Backup 獨立加密備份時，會使用業界標準的 AES-256 加密演算法。如需 加密的詳細資訊 AWS Backup，請參閱[跨區域](cross-region-backup.md)和[跨帳戶](create-cross-account-backup.md)備份。


| Resource Type (資源類型) | 設定加密的方法 | 獨立 AWS Backup 加密 | 
| --- | --- | --- | 
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 備份會使用與備份保存庫相關聯的 a AWS KMS (AWS Key Management Service) 金鑰進行加密。 AWS KMS 金鑰可以是客戶受管金鑰或與 AWS Backup 服務相關聯的 AWS受管金鑰。即使來源 Amazon S3 儲存貯體未加密， 也會 AWS Backup 加密所有備份。 | 支援 | 
| VMware 虛擬機器 | VM 備份一律會加密。虛擬機器備份的 AWS KMS 加密金鑰是在儲存虛擬機器備份的保存 AWS Backup 庫中設定。 | 支援 | 
| 啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)後的 Amazon DynamoDB |  DynamoDB 備份一律會加密。DynamoDB 備份的 AWS KMS 加密金鑰是在 DynamoDB 備份存放所在的 AWS Backup 保存庫中設定。  | 支援 | 
| 不啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)的 Amazon DynamoDB |  DynamoDB 備份會自動加密 (使用和加密來源 DynamoDB 資料表時所用的同一個加密金鑰)。未加密 DynamoDB 資料表的快照也不會加密。 若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份，您必須將 許可`kms:Decrypt`和 `kms:GenerateDataKey` 新增至用於備份的 IAM 角色。或者，您可以使用 AWS Backup 預設的服務角色。  | 不支援 | 
| Amazon Elastic File System (Amazon EFS) | Amazon EFS 備份一律會加密。Amazon EFS 備份的 AWS KMS 加密金鑰是在存放 Amazon EFS 備份的 AWS Backup 保存庫中設定。 | 支援 | 
| Amazon Elastic Block Store (Amazon EBS) | 根據預設，Amazon EBS 備份會使用加密來源磁碟區時所用的金鑰加密，或者不會加密。在還原期間，您可以選擇指定 KMS 金鑰來覆寫預設加密方法。 | 不支援 | 
| Amazon Elastic Compute Cloud (Amazon EC2) AMI | AMIs未加密。EBS 快照由 EBS 備份的預設加密規則加密 （請參閱 EBS 的項目）。資料和根磁碟區的 EBS 快照可以加密並連接到 AMI。 | 不支援 | 
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS 快照會自動加密 (使用和加密來源 Amazon RDS 資料庫時所用的同一個加密金鑰)。未加密 Amazon RDS 資料庫的快照也不會加密。 | 不支援 | 
| Amazon Aurora | Aurora 叢集快照會自動加密 (使用和加密來源 Amazon Aurora 叢集時所用的同一個加密金鑰)。未加密 Aurora 叢集的快照也不會加密。 | 不支援 | 
| AWS Storage Gateway | Storage Gateway 快照會自動加密 (使用和加密來源 Storage Gateway 磁碟區時所用的同一個加密金鑰)。未加密 Storage Gateway 磁碟區的快照也不會加密。您不需要跨所有服務使用一個客戶自管金鑰來啟用 Storage Gateway。您只需要將 Storage Gateway 備份複製到已設定 KMS 金鑰的文件庫。這是因為 Storage Gateway 沒有服務特定的 AWS KMS 受管金鑰。  | 不支援 | 
| Amazon FSx | Amazon FSx 檔案系統的加密功能會因基礎檔案系統而有所不同。若要進一步了解特定 Amazon FSx 檔案系統，請參閱適當的《[FSx 使用者指南](https://docs.aws.amazon.com/fsx/)》。 | 不支援 | 
| Amazon DocumentDB | Amazon DocumentDB 叢集快照會自動加密 (使用和加密來源 Amazon DocumentDB 叢集時所用的同一個加密金鑰)。未加密 Amazon DocumentDB 叢集的快照也不會加密。 | 不支援 | 
| Amazon Neptune | Neptune 叢集快照會自動加密 (使用和加密來源 Neptune 叢集時所用的同一個加密金鑰)。未加密 Neptune 叢集的快照也不會加密。 | 不支援 | 
| Amazon Timestream | Timestream 資料表快照備份一律會加密。Timestream 備份的 AWS KMS 加密金鑰是在存放 Timestream 備份的備份文件庫中設定。 | 支援 | 
| Amazon Redshift | Amazon Redshift 叢集會自動加密 (使用和加密來源 Amazon Redshift 叢集時所用的同一個加密金鑰)。未加密 Amazon Redshift 叢集的快照也不會加密。 | 不支援 | 
| Amazon Redshift Serverless | Redshift Serverless 快照會使用用來加密來源的相同加密金鑰自動加密。 | 不支援 | 
| CloudFormation | CloudFormation 備份一律會加密。CloudFormation 備份的 CloudFormation 加密金鑰，會在儲存 CloudFormation 備份的 CloudFormation 文件庫中設定。 | 支援 | 
| Amazon EC2 執行個體上的 SAP HANA 資料庫 | SAP HANA 資料庫備份一律會加密。SAP HANA 資料庫備份的 AWS KMS 加密金鑰是在儲存資料庫備份的保存 AWS Backup 庫中設定。 | 支援 | 

**提示**  
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) 可協助您自動偵測未加密的備份。

## 加密備份到不同 帳戶或 的複本 AWS 區域
<a name="copy-encryption"></a>

當您跨帳戶或區域複製備份時， AWS Backup 會自動加密大多數資源類型的這些複本，即使原始備份未加密。 AWS Backup 會使用目標保存庫的 KMS 金鑰來加密複本。

在您將備份從一個帳戶複製到另一個帳戶 （跨帳戶複製任務） 或將備份從一個區域複製到另一個區域 （跨區域複製任務） 之前，請注意以下條件，其中許多條件取決於備份中的資源類型 （復原點） 是否[完全受管 AWS Backup](backup-feature-availability.md#features-by-resource)。
+ 備份到另一個 的複本 AWS 區域 會使用目的地保存庫的 金鑰加密。
+ 對於**完全受管 AWS Backup**資源的復原點 （備份） 副本，您可以選擇使用[客戶受管金鑰 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 或 AWS Backup 受管金鑰 () 進行加密`aws/backup`。

  對於**未完全受管**資源的復原點副本 AWS Backup，與目的地保存庫相關聯的金鑰必須是 CMK 或擁有基礎資源之服務的受管金鑰。例如，如果您複製 EC2 執行個體，則無法使用 Backup 受管金鑰。相反地，必須使用 CMK 或 Amazon EBS KMS 金鑰 (`aws/ebs`) 來避免複製任務失敗。
+ 未完全受管資源不支援具有 AWS 受管金鑰的跨帳戶複製 AWS Backup。受管金鑰的 AWS [金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)不可變，可防止跨帳戶複製金鑰。如果您的資源使用 AWS 受管金鑰加密，而且您想要執行跨帳戶複製，您可以將[加密金鑰變更為](https://repost.aws/knowledge-center/update-encryption-key-rds)客戶受管金鑰，可用於跨帳戶複製。或者，您可以遵循[使用跨帳戶和跨區域備份保護加密的 Amazon RDS 執行個體](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)中的指示，以繼續使用 AWS 受管金鑰。
+ 未加密 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集的副本也會未加密。

## AWS Backup 許可、授予和拒絕陳述式
<a name="backup-permissions-grants-deny-statements"></a>

為了協助避免任務失敗，您可以檢查 AWS KMS 金鑰政策，以確保其具有必要的許可，且沒有任何拒絕陳述式會阻止操作成功。

由於套用到 KMS 金鑰的一或多個拒絕陳述式，或由於金鑰的[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)遭到撤銷，可能會發生任務失敗。

在 等 AWS 受管存取政策中[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)，有允許 動作 AWS Backup 與 互動 AWS KMS ，以代表客戶在 KMS 金鑰上建立授予，做為組件備份、複製和儲存操作。

金鑰政策至少需要下列許可：
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`

如果需要拒絕政策，您將需要允許列出備份和還原操作所需的角色。

這些元素看起來會如下所示：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}
```

------

這些許可必須是金鑰的一部分，無論是 AWS 受管還是客戶受管。

1. 確保必要的許可是 KMS 金鑰政策的一部分

   1. 執行 KMS CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) 以檢視連接到指定 KMS 金鑰的金鑰政策。

   1. 檢閱傳回的許可。

1. 確保沒有會影響操作的拒絕陳述式

   1. 執行 （或重新執行） CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) 以檢視連接到指定 KMS 金鑰的金鑰政策。

   1. 檢閱政策。

   1. 從 KMS 金鑰政策中移除相關的拒絕陳述式。

1. 如有需要，請執行 [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 以使用修訂的許可取代或更新金鑰政策，並移除拒絕陳述式。

此外，與啟動跨區域複製任務之角色相關聯的金鑰，必須在 `DescribeKey`許可`"kms:ResourcesAliases": "alias/aws/backup"`中具有 。

# 虛擬機器 Hypervisor 憑證加密
<a name="bgw-hypervisor-encryption-page"></a>

[由 Hypervisor 管理](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html)的虛擬機器使用 [AWS Backup 閘道](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html)將內部部署系統連線到 AWS Backup。所有 Hypervisor 都必須擁有同樣強大且可靠的安全性。這種安全可以透過加密 Hypervisor 來實現，無論是透過 AWS 擁有的金鑰還是客戶受管的金鑰。

## AWS 擁有和客戶受管金鑰
<a name="bgw-encryption-keys"></a>

AWS Backup 為 Hypervisor 登入資料提供加密，以使用**AWS 擁有的加密**金鑰保護敏感的客戶登入資訊。您可以選擇改用**客戶自管金鑰**。

根據預設，用於加密 Hypervisor 中登入資料的金鑰為**AWS 擁有的金鑰**。 AWS Backup 使用這些金鑰自動加密 Hypervisor 登入資料。您無法檢視、管理或使用 AWS 擁有的金鑰，也無法稽核其使用方式。不過，您不需要採取任何動作或變更任何程式，即可保護加密您資料的金鑰。如需詳細資訊，請參閱《 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)》中的 AWS 擁有的金鑰。

或者，您也可以使用「客戶自管金鑰」**來加密憑證。 AWS Backup 支援使用您建立、擁有和管理的對稱客戶自管金鑰來執行加密。由於您可以完全控管此加密，因此能執行以下任務：
+ 建立和維護金鑰政策
+ 建立和維護 IAM 政策和授予操作
+ 啟用和停用金鑰政策
+ 輪換金鑰密碼編譯資料
+ 新增 標籤
+ 建立金鑰別名
+ 安排金鑰供刪除

當您使用客戶受管金鑰時， 會 AWS Backup 驗證您的角色是否具有使用此金鑰解密的許可 （在執行備份或還原任務之前）。您必須將 `kms:Decrypt` 動作新增至用於啟動備份或還原任務的角色。

由於 `kms:Decrypt` 動作無法新增至預設備份角色，因此您必須使用預設備份角色以外的角色才能使用客戶自管金鑰。

如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[客戶自管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。

## 使用客戶自管金鑰時需要授予
<a name="encryption-grant"></a>

AWS KMS 需要[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)才能使用您的客戶受管金鑰。當您匯入以客戶受管金鑰加密的 [ Hypervisor 組態](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html)時， 會透過傳送[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)請求至 來代表您 AWS Backup 建立授予 AWS KMS。 AWS Backup 使用授予來存取客戶帳戶中的 KMS 金鑰。

您可以隨時撤銷授予的存取權，或移除對客戶受管金鑰的 AWS Backup存取權。如果這樣做，所有與 Hypervisor 相關的閘道將無法再存取由客戶自管金鑰加密的 Hypervisor 使用者名稱和密碼，這會影響您的備份和還原任務。具體而言，您在此 Hypervisor 中的虛擬機器上執行的備份和還原任務將會失敗。

當您刪除 Hypervisor 時，Backup 閘道會使用 `RetireGrant` 操作來移除授予。

## 監控加密金鑰
<a name="monitoring-encryption-keys"></a>

當您搭配 AWS Backup 資源使用 AWS KMS 客戶受管金鑰時，您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 來追蹤 AWS Backup 傳送的請求 AWS KMS。

尋找具有下列`"eventName"`欄位 AWS CloudTrail 的事件，以監控 呼叫 AWS KMS 的操作 AWS Backup ，以存取客戶受管金鑰加密的資料：
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`