本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的備份加密 AWS Backup
您可以使用 為支援完整 AWS Backup 管理的資源類型設定加密 AWS Backup。如果資源類型不支援完整 AWS Backup 管理,您必須遵循該服務的指示來設定其備份加密,例如 Amazon 使用者指南 中的 Amazon EBS加密。 EBS 若要查看支援完整 AWS Backup 管理的資源類型清單,請參閱各資源的功能可用性資料表的「完整 AWS Backup 管理」一節。
您的IAM角色必須能夠存取用來備份和還原物件的KMS金鑰。否則任務會成功,但物件不會備份或還原。IAM 政策和KMS金鑰政策中的許可必須一致。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南 中的在IAM政策陳述式中指定KMS金鑰。
注意
AWS Backup Audit Manager 可協助您自動偵測未加密的備份。
下表列出了每個支援的資源類型、如何設定備份的加密,以及是否支援備份獨立的加密。獨立加密備份時 AWS Backup ,會使用業界標準 AES-256 加密演算法。如需 加密的詳細資訊 AWS Backup,請參閱跨區域和跨帳戶備份。
| 資源類型 | 設定加密的方法 | 獨立 AWS Backup 加密 |
|---|---|---|
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 備份會使用與備份保存庫相關聯的 AWS KMS (AWS Key Management Service) 金鑰進行加密。金鑰 AWS KMS可以是客戶受管金鑰或與 AWS Backup service 相關聯的 AWS受管金鑰。即使來源 Amazon S3 儲存貯體未加密, 也會 AWS Backup 加密所有備份。 | 支援 |
| VMware 虛擬機器 | VM 備份一律會加密。虛擬機器備份的 AWS KMS 加密金鑰是在儲存虛擬機器備份的 AWS Backup 保存庫中設定。 | 支援 |
| 啟用進階 DynamoDB 備份後的 Amazon DynamoDB |
DynamoDB 備份一律會加密。DynamoDB 備份的 AWS KMS 加密金鑰是在儲存 DynamoDB 備份的 AWS Backup 保存庫中設定。 |
支援 |
| 不啟用進階 DynamoDB 備份的 Amazon DynamoDB |
DynamoDB 備份會自動加密 (使用和加密來源 DynamoDB 資料表時所用的同一個加密金鑰)。未加密 DynamoDB 資料表的快照也不會加密。 若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份,您必須將 許可 |
不支援 |
| Amazon Elastic File System (Amazon EFS) | Amazon EFS 備份一律會加密。Amazon EFS 備份的 AWS KMS 加密金鑰是在存放 Amazon EFS 備份的 AWS Backup 保存庫中設定。 | 支援 |
| Amazon Elastic Block Store (Amazon EBS) | 依預設,Amazon EBS 備份會使用用來加密來源磁碟區的金鑰進行加密,或者未加密。在還原期間,您可以選擇透過指定KMS金鑰覆寫預設加密方法。 | 不支援 |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs 未加密。EBS 快照會依EBS備份的預設加密規則加密 (請參閱 的項目EBS)。EBS 資料和根磁碟區的快照可以加密並連接到 AMI。 | 不支援 |
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS快照會使用用來加密來源 Amazon RDS 資料庫的相同加密金鑰自動加密。未加密 Amazon RDS 資料庫的快照也會未加密。 | 不支援 |
| Amazon Aurora | Aurora 叢集快照會自動加密 (使用和加密來源 Amazon Aurora 叢集時所用的同一個加密金鑰)。未加密 Aurora 叢集的快照也不會加密。 | 不支援 |
| AWS Storage Gateway | Storage Gateway 快照會自動加密 (使用和加密來源 Storage Gateway 磁碟區時所用的同一個加密金鑰)。未加密 Storage Gateway 磁碟區的快照也不會加密。 您不需要跨所有服務使用一個客戶自管金鑰來啟用 Storage Gateway。您只需將 Storage Gateway 備份複製到設定KMS金鑰的保存庫。這是因為 Storage Gateway 沒有服務特定的 AWS KMS 受管金鑰。 |
不支援 |
| Amazon FSx | Amazon FSx 檔案系統的加密功能因基礎檔案系統而異。若要進一步了解特定 Amazon FSx 檔案系統,請參閱適當的 FSx 使用者指南。 | 不支援 |
| Amazon DocumentDB | Amazon DocumentDB 叢集快照會自動加密 (使用和加密來源 Amazon DocumentDB 叢集時所用的同一個加密金鑰)。未加密 Amazon DocumentDB 叢集的快照也不會加密。 | 不支援 |
| Amazon Neptune | Neptune 叢集快照會自動加密 (使用和加密來源 Neptune 叢集時所用的同一個加密金鑰)。未加密 Neptune 叢集的快照也不會加密。 | 不支援 |
| Amazon Timestream | Timestream 資料表快照備份一律會加密。Timestream 備份的 AWS KMS 加密金鑰,會在儲存 Timestream 備份的備份文件庫中設定。 | 支援 |
| Amazon Redshift | Amazon Redshift 叢集會自動加密 (使用和加密來源 Amazon Redshift 叢集時所用的同一個加密金鑰)。未加密 Amazon Redshift 叢集的快照也不會加密。 | 不支援 |
| AWS CloudFormation | CloudFormation 備份一律會加密。 CloudFormation 備份的 CloudFormation 加密金鑰是在儲存 CloudFormation 備份的 CloudFormation 保存庫中設定。 | 支援 |
| SAP HANA Amazon EC2執行個體上的資料庫 | SAP HANA 資料庫備份一律會加密。SAP HANA 資料庫備份的 AWS KMS 加密金鑰是在儲存資料庫備份的 AWS Backup 保存庫中設定。 | 支援 |
備份複本的加密
當您使用 AWS Backup 跨帳戶或區域複製備份時, AWS Backup 會自動加密大多數資源類型的這些複本,即使原始備份未加密。 會使用目標保存庫的KMS金鑰 AWS Backup 來加密您的複本。不過,未加密 Aurora、Amazon DocumentDB 和 Neptune 叢集的快照也會未加密。
加密和備份複本
未完全由 管理的資源不支援具有 AWS 受管KMS金鑰的跨帳戶複製 AWS Backup。請參閱 完整 AWS Backup 管理 以判斷哪些資源受到完整管理。
對於 完全管理的資源 AWS Backup,備份會使用備份保存庫的加密金鑰進行加密。對於 未完全管理的資源 AWS Backup,跨帳戶複本使用與來源資源相同的KMS金鑰。如需詳細資訊,請參閱 加密金鑰和跨帳戶複本
