本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的備份加密 AWS Backup
<a name="encryption"></a>

## 獨立 加密
<a name="independent-encryption"></a>

AWS Backup 為[支援完整 AWS Backup 管理的資源類型](backup-feature-availability.md#features-by-resource)提供獨立加密。獨立加密表示您透過 建立的復原點 （備份） AWS Backup 可以具有由來源資源加密決定的加密方法以外的加密方法。例如，您的 Amazon S3 儲存貯體備份可以有與您使用 Amazon S3 加密加密的來源儲存貯體不同的加密方法。此加密是透過儲存備份的備份文件庫中的 AWS KMS 金鑰組態來控制。

未完全受 管理的資源類型備份 AWS Backup 通常會繼承其來源資源的加密設定。您可以根據該服務的指示來設定這些加密設定，例如 [Amazon EBS 使用者指南中的 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **

您的 IAM 角色必須能夠存取用來備份和還原物件的 KMS 金鑰。否則任務會成功，但物件不會備份或還原。IAM 政策和 KMS 金鑰政策中的許可必須一致。如需詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》[中的在 IAM 政策陳述式中指定 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。

下表列出了每個支援的資源類型、如何設定備份的加密，以及是否支援備份獨立的加密。當 AWS Backup 獨立加密備份時，會使用業界標準的 AES-256 加密演算法。如需 加密的詳細資訊 AWS Backup，請參閱[跨區域](cross-region-backup.md)和[跨帳戶](create-cross-account-backup.md)備份。


| Resource Type (資源類型) | 設定加密的方法 | 獨立 AWS Backup 加密 | 
| --- | --- | --- | 
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 備份會使用與備份保存庫相關聯的 a AWS KMS (AWS Key Management Service) 金鑰進行加密。 AWS KMS 金鑰可以是客戶受管金鑰或與 AWS Backup 服務相關聯的 AWS受管金鑰。即使來源 Amazon S3 儲存貯體未加密， 也會 AWS Backup 加密所有備份。 | 支援 | 
| VMware 虛擬機器 | VM 備份一律會加密。虛擬機器備份的 AWS KMS 加密金鑰是在儲存虛擬機器備份的保存 AWS Backup 庫中設定。 | 支援 | 
| 啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)後的 Amazon DynamoDB |  DynamoDB 備份一律會加密。DynamoDB 備份的 AWS KMS 加密金鑰是在 DynamoDB 備份存放所在的 AWS Backup 保存庫中設定。  | 支援 | 
| 不啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)的 Amazon DynamoDB |  DynamoDB 備份會自動加密 (使用和加密來源 DynamoDB 資料表時所用的同一個加密金鑰)。未加密 DynamoDB 資料表的快照也不會加密。 若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份，您必須將 許可`kms:Decrypt`和 `kms:GenerateDataKey` 新增至用於備份的 IAM 角色。或者，您可以使用 AWS Backup 預設的服務角色。  | 不支援 | 
| Amazon Elastic File System (Amazon EFS) | Amazon EFS 備份一律會加密。Amazon EFS 備份的 AWS KMS 加密金鑰是在存放 Amazon EFS 備份的 AWS Backup 保存庫中設定。 | 支援 | 
| Amazon Elastic Block Store (Amazon EBS) | 根據預設，Amazon EBS 備份會使用加密來源磁碟區時所用的金鑰加密，或者不會加密。在還原期間，您可以選擇指定 KMS 金鑰來覆寫預設加密方法。 | 不支援 | 
| Amazon Elastic Compute Cloud (Amazon EC2) AMI | AMIs未加密。EBS 快照由 EBS 備份的預設加密規則加密 （請參閱 EBS 的項目）。資料和根磁碟區的 EBS 快照可以加密並連接到 AMI。 | 不支援 | 
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS 快照會自動加密 (使用和加密來源 Amazon RDS 資料庫時所用的同一個加密金鑰)。未加密 Amazon RDS 資料庫的快照也不會加密。 | 不支援 | 
| Amazon Aurora | Aurora 叢集快照會自動加密 (使用和加密來源 Amazon Aurora 叢集時所用的同一個加密金鑰)。未加密 Aurora 叢集的快照也不會加密。 | 不支援 | 
| AWS Storage Gateway | Storage Gateway 快照會自動加密 (使用和加密來源 Storage Gateway 磁碟區時所用的同一個加密金鑰)。未加密 Storage Gateway 磁碟區的快照也不會加密。您不需要跨所有服務使用一個客戶自管金鑰來啟用 Storage Gateway。您只需要將 Storage Gateway 備份複製到已設定 KMS 金鑰的文件庫。這是因為 Storage Gateway 沒有服務特定的 AWS KMS 受管金鑰。  | 不支援 | 
| Amazon FSx | Amazon FSx 檔案系統的加密功能會因基礎檔案系統而有所不同。若要進一步了解特定 Amazon FSx 檔案系統，請參閱適當的《[FSx 使用者指南](https://docs.aws.amazon.com/fsx/)》。 | 不支援 | 
| Amazon DocumentDB | Amazon DocumentDB 叢集快照會自動加密 (使用和加密來源 Amazon DocumentDB 叢集時所用的同一個加密金鑰)。未加密 Amazon DocumentDB 叢集的快照也不會加密。 | 不支援 | 
| Amazon Neptune | Neptune 叢集快照會自動加密 (使用和加密來源 Neptune 叢集時所用的同一個加密金鑰)。未加密 Neptune 叢集的快照也不會加密。 | 不支援 | 
| Amazon Timestream | Timestream 資料表快照備份一律會加密。Timestream 備份的 AWS KMS 加密金鑰是在存放 Timestream 備份的備份文件庫中設定。 | 支援 | 
| Amazon Redshift | Amazon Redshift 叢集會自動加密 (使用和加密來源 Amazon Redshift 叢集時所用的同一個加密金鑰)。未加密 Amazon Redshift 叢集的快照也不會加密。 | 不支援 | 
| Amazon Redshift Serverless | Redshift Serverless 快照會使用用來加密來源的相同加密金鑰自動加密。 | 不支援 | 
| CloudFormation | CloudFormation 備份一律會加密。CloudFormation 備份的 CloudFormation 加密金鑰，會在儲存 CloudFormation 備份的 CloudFormation 文件庫中設定。 | 支援 | 
| Amazon EC2 執行個體上的 SAP HANA 資料庫 | SAP HANA 資料庫備份一律會加密。SAP HANA 資料庫備份的 AWS KMS 加密金鑰是在儲存資料庫備份的保存 AWS Backup 庫中設定。 | 支援 | 

**提示**  
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) 可協助您自動偵測未加密的備份。

## 加密備份到不同 帳戶或 的複本 AWS 區域
<a name="copy-encryption"></a>

當您跨帳戶或區域複製備份時， AWS Backup 會自動加密大多數資源類型的這些複本，即使原始備份未加密。 AWS Backup 會使用目標保存庫的 KMS 金鑰來加密複本。

在您將備份從一個帳戶複製到另一個帳戶 （跨帳戶複製任務） 或將備份從一個區域複製到另一個區域 （跨區域複製任務） 之前，請注意以下條件，其中許多條件取決於備份中的資源類型 （復原點） 是否[完全受管 AWS Backup](backup-feature-availability.md#features-by-resource)。
+ 備份到另一個 的複本 AWS 區域 會使用目的地保存庫的 金鑰加密。
+ 對於**完全受管 AWS Backup**資源的復原點 （備份） 副本，您可以選擇使用[客戶受管金鑰 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 或 AWS Backup 受管金鑰 () 進行加密`aws/backup`。

  對於**未完全受管**資源的復原點副本 AWS Backup，與目的地保存庫相關聯的金鑰必須是 CMK 或擁有基礎資源之服務的受管金鑰。例如，如果您複製 EC2 執行個體，則無法使用 Backup 受管金鑰。相反地，必須使用 CMK 或 Amazon EBS KMS 金鑰 (`aws/ebs`) 來避免複製任務失敗。
+ 未完全受管資源不支援具有 AWS 受管金鑰的跨帳戶複製 AWS Backup。受管金鑰的 AWS [金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)不可變，可防止跨帳戶複製金鑰。如果您的資源使用 AWS 受管金鑰加密，而且您想要執行跨帳戶複製，您可以將[加密金鑰變更為](https://repost.aws/knowledge-center/update-encryption-key-rds)客戶受管金鑰，可用於跨帳戶複製。或者，您可以遵循[使用跨帳戶和跨區域備份保護加密的 Amazon RDS 執行個體](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)中的指示，以繼續使用 AWS 受管金鑰。
+ 未加密 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集的副本也會未加密。

## AWS Backup 許可、授予和拒絕陳述式
<a name="backup-permissions-grants-deny-statements"></a>

為了協助避免任務失敗，您可以檢查 AWS KMS 金鑰政策，以確保其具有必要的許可，且沒有任何拒絕陳述式會阻止操作成功。

由於套用到 KMS 金鑰的一或多個拒絕陳述式，或由於金鑰的[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)遭到撤銷，可能會發生任務失敗。

在 等 AWS 受管存取政策中[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)，有允許 動作 AWS Backup 與 互動 AWS KMS ，以代表客戶在 KMS 金鑰上建立授予，做為組件備份、複製和儲存操作。

金鑰政策至少需要下列許可：
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`

如果需要拒絕政策，您將需要允許列出備份和還原操作所需的角色。

這些元素看起來會如下所示：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}
```

------

這些許可必須是金鑰的一部分，無論是 AWS 受管還是客戶受管。

1. 確保必要的許可是 KMS 金鑰政策的一部分

   1. 執行 KMS CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) 以檢視連接到指定 KMS 金鑰的金鑰政策。

   1. 檢閱傳回的許可。

1. 確保沒有會影響操作的拒絕陳述式

   1. 執行 （或重新執行） CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) 以檢視連接到指定 KMS 金鑰的金鑰政策。

   1. 檢閱政策。

   1. 從 KMS 金鑰政策中移除相關的拒絕陳述式。

1. 如有需要，請執行 [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 以使用修訂的許可取代或更新金鑰政策，並移除拒絕陳述式。

此外，與啟動跨區域複製任務之角色相關聯的金鑰，必須在 `DescribeKey`許可`"kms:ResourcesAliases": "alias/aws/backup"`中具有 。