選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

中的備份加密 AWS Backup

PDF
RSS
焦點模式
中的備份加密 AWS Backup - AWS Backup
獨立 加密複製加密許可、授予和拒絕陳述式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

獨立 加密

AWS Backup 為支援完整 AWS Backup 管理的資源類型提供獨立加密。獨立加密表示您透過 建立的復原點 (備份) AWS Backup 可以具有由來源資源加密決定的加密方法以外的加密方法。例如,您的 Amazon S3 儲存貯體備份可以有不同於使用 Amazon S3 加密所加密來源儲存貯體的加密方法。此加密是透過備份文件庫中的 AWS KMS 金鑰組態來控制,備份文件庫存放於 中。

未完全受 管理的資源類型備份 AWS Backup 通常會繼承其來源資源的加密設定。您可以根據該服務的指示來設定這些加密設定,例如 Amazon EBS 使用者指南中的 Amazon EBS 加密

您的 IAM 角色必須能夠存取用來備份和還原物件的 KMS 金鑰。否則,任務會成功,但物件不會備份或還原。IAM 政策和 KMS 金鑰政策中的許可必須一致。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南中的在 IAM 政策陳述式中指定 KMS 金鑰

下表列出了每個支援的資源類型、如何設定備份的加密,以及是否支援備份獨立的加密。當 AWS Backup 獨立加密備份時,會使用業界標準的 AES-256 加密演算法。如需 加密的詳細資訊 AWS Backup,請參閱跨區域跨帳戶備份。

資源類型 設定加密的方法 獨立 AWS Backup 加密
Amazon Simple Storage Service (Amazon S3) Amazon S3 備份會使用與備份保存庫相關聯的 a AWS KMS (AWS Key Management Service) 金鑰進行加密。 AWS KMS 金鑰可以是客戶受管金鑰或與服務相關聯的 AWS受管金鑰 AWS Backup 。即使來源 Amazon S3 儲存貯體未加密, 也會 AWS Backup 加密所有備份。 支援
VMware 虛擬機器 VM 備份一律會加密。虛擬機器備份的 AWS KMS 加密金鑰是在儲存虛擬機器備份的保存 AWS Backup 庫中設定。 支援
啟用進階 DynamoDB 備份後的 Amazon DynamoDB

DynamoDB 備份一律會加密。DynamoDB 備份的 AWS KMS 加密金鑰是在 DynamoDB 備份存放所在的保存 AWS Backup 庫中設定。

 支援
不啟用進階 DynamoDB 備份的 Amazon DynamoDB

DynamoDB 備份會自動加密 (使用和加密來源 DynamoDB 資料表時所用的同一個加密金鑰)。未加密 DynamoDB 資料表的快照也不會加密。

若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份,您必須將 許可kms:Decryptkms:GenerateDataKey 新增至用於備份的 IAM 角色。或者,您可以使用 AWS Backup 預設的服務角色。

 不支援
Amazon Elastic File System (Amazon EFS) Amazon EFS 備份一律會加密。Amazon EFS 備份的 AWS KMS 加密金鑰是在存放 Amazon EFS 備份的 AWS Backup 保存庫中設定。 支援
Amazon Elastic Block Store (Amazon EBS) 根據預設,Amazon EBS 備份會使用加密來源磁碟區時所用的金鑰加密,或者不會加密。在還原期間,您可以選擇指定 KMS 金鑰來覆寫預設加密方法。 不支援
Amazon Elastic Compute Cloud (Amazon EC2) AMI AMIs未加密。EBS 快照由 EBS 備份的預設加密規則加密 (請參閱 EBS 的項目)。資料和根磁碟區的 EBS 快照可以加密並連接到 AMI。 不支援
Amazon Relational Database Service (Amazon RDS) Amazon RDS 快照會自動加密 (使用和加密來源 Amazon RDS 資料庫時所用的同一個加密金鑰)。未加密 Amazon RDS 資料庫的快照也不會加密。 不支援
Amazon Aurora Aurora 叢集快照會自動加密 (使用和加密來源 Amazon Aurora 叢集時所用的同一個加密金鑰)。未加密 Aurora 叢集的快照也不會加密。 不支援
AWS Storage Gateway Storage Gateway 快照會自動加密 (使用和加密來源 Storage Gateway 磁碟區時所用的同一個加密金鑰)。未加密 Storage Gateway 磁碟區的快照也不會加密。

您不需要跨所有服務使用一個客戶自管金鑰來啟用 Storage Gateway。您只需要將 Storage Gateway 備份複製到已設定 KMS 金鑰的文件庫。這是因為 Storage Gateway 沒有服務特定的 AWS KMS 受管金鑰。

 不支援
Amazon FSx Amazon FSx 檔案系統的加密功能會因基礎檔案系統而有所不同。若要進一步了解特定 Amazon FSx 檔案系統,請參閱適當的《FSx 使用者指南》。 不支援
Amazon DocumentDB Amazon DocumentDB 叢集快照會自動加密 (使用和加密來源 Amazon DocumentDB 叢集時所用的同一個加密金鑰)。未加密 Amazon DocumentDB 叢集的快照也不會加密。 不支援
Amazon Neptune Neptune 叢集快照會自動加密 (使用和加密來源 Neptune 叢集時所用的同一個加密金鑰)。未加密 Neptune 叢集的快照也不會加密。 不支援
Amazon Timestream Timestream 資料表快照備份一律會加密。Timestream 備份的 AWS KMS 加密金鑰是在存放 Timestream 備份的備份文件庫中設定。 支援
Amazon Redshift Amazon Redshift 叢集會自動加密 (使用和加密來源 Amazon Redshift 叢集時所用的同一個加密金鑰)。未加密 Amazon Redshift 叢集的快照也不會加密。 不支援
AWS CloudFormation CloudFormation 備份一律會加密。CloudFormation 備份的 CloudFormation 加密金鑰,會在儲存 CloudFormation 備份的 CloudFormation 文件庫中設定。 支援
Amazon EC2 執行個體上的 SAP HANA 資料庫 SAP HANA 資料庫備份一律會加密。SAP HANA 資料庫備份的 AWS KMS 加密金鑰是在儲存資料庫備份的保存 AWS Backup 庫中設定。 支援
提示

AWS Backup Audit Manager 可協助您自動偵測未加密的備份。

將備份複本加密至不同帳戶或 AWS 區域

當您跨帳戶或區域複製備份時, AWS Backup 會自動加密大多數資源類型的這些複本,即使原始備份未加密。

在您將備份從一個帳戶複製到另一個帳戶 (跨帳戶複製任務) 或將備份從一個區域複製到另一個區域 (跨區域複製任務) 之前,請注意以下條件,其中許多條件取決於備份中的資源類型 (復原點) 是否完全受管 AWS Backup

  • 備份到另一個 的複本 AWS 區域 會使用目的地保存庫的 金鑰加密。

  • 對於完全由 管理 AWS Backup之資源的復原點 (備份) 副本,您可以選擇使用客戶受管金鑰 (CMK) 或 AWS Backup 受管金鑰 (aws/backup) 加密。

    對於未完全受管資源的復原點副本 AWS Backup,與目的地保存庫相關聯的金鑰必須是 CMK 或擁有基礎資源之服務的受管金鑰。例如,如果您要複製 EC2 執行個體,則無法使用 Backup 受管金鑰。相反地,必須使用 CMK 或 Amazon EC2 KMS 金鑰 (aws/ec2) 以避免複製任務失敗。

  • 未完全受管資源不支援具有 AWS 受管金鑰的跨帳戶複製 AWS Backup。受管金鑰的 AWS 金鑰政策不可變,可防止跨帳戶複製金鑰。如果您的資源使用 AWS 受管金鑰加密,而且您想要執行跨帳戶複製,您可以將加密金鑰變更為客戶受管金鑰,可用於跨帳戶複製。或者,您可以遵循使用跨帳戶和跨區域備份保護加密的 Amazon RDS 執行個體中的指示,以繼續使用 AWS 受管金鑰。

  • 未加密的 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集複本也會未加密。

AWS Backup 許可、授予和拒絕陳述式

為了協助避免任務失敗,您可以檢查 AWS KMS 金鑰政策,以確保其具有必要的許可,且沒有任何拒絕陳述式可阻止操作成功。

由於套用到 KMS 金鑰的一或多個拒絕陳述式,或因金鑰的授予撤銷,可能會發生失敗的任務。

在 等 AWS 受管存取政策中AWSBackupFullAccess,有允許 動作,允許 AWS Backup 與 界面 AWS KMS ,以代表客戶在 KMS 金鑰上建立授予,做為組件備份、複製和儲存操作。

金鑰政策至少需要下列許可:

  • kms:createGrant

  • kms:generateDataKey

  • kms:decrypt

如果需要拒絕政策,您將需要允許列出備份和還原操作所需的角色。

這些元素看起來會如下所示:


{
    "Sid": "KmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:ListKeys",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:ListAliases"
    ],
    "Resource": "*"
},
{
    "Sid": "KmsCreateGrantPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:backup:backup-vault"
        },
        "Bool": {
            "kms:GrantIsForAWSResource": true
        },
        "StringLike": {
            "kms:ViaService": "backup.*.amazonaws.com"
        }
    }
}

這些許可必須是金鑰的一部分,無論是 AWS 受管還是客戶受管。

  1. 確保必要的許可是 KMS 金鑰政策的一部分

    1. 執行 KMS CLI get-key-policy(kms:GetKeyPolicy) 以檢視連接到指定 KMS 金鑰的金鑰政策。

    2. 檢閱傳回的許可。

  2. 確保沒有會影響操作的拒絕陳述式

    1. 執行 (或重新執行) CLI get-key-policy(kms:GetKeyPolicy) 以檢視連接到指定 KMS 金鑰的金鑰政策。

    2. 檢閱政策。

    3. 從 KMS 金鑰政策中移除相關的拒絕陳述式。

  3. 如有需要,請執行 kms:put-key-policy 以使用修訂的許可取代或更新金鑰政策,並移除拒絕陳述式。

此外,與啟動跨區域複製任務的角色相關聯的金鑰,必須在 DescribeKey許可"kms:ResourcesAliases": "alias/aws/backup"中具有 。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。