Verschlüsselung für Backups in AWS Backup - AWS Backup
Unabhängige -VerschlüsselungVerschlüsselung kopierenErklärungen zu Berechtigungen, Ermächtigungen und Ablehnungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung für Backups in AWS Backup

Unabhängige -Verschlüsselung

AWS Backup bietet unabhängige Verschlüsselung für Ressourcentypen, die eine vollständige AWS Backup Verwaltung unterstützen. Unabhängige Verschlüsselung bedeutet, dass für Wiederherstellungspunkte (Backups), die Sie erstellen, eine andere Verschlüsselungsmethode als die, die durch die Verschlüsselung der Quellressource bestimmt wird, verwendet werden AWS Backup kann. Beispielsweise kann Ihr Backup eines Amazon S3 S3-Buckets eine andere Verschlüsselungsmethode haben als das Quell-Bucket, das Sie mit der Amazon S3 S3-Verschlüsselung verschlüsselt haben. Diese Verschlüsselung wird über die AWS KMS Schlüsselkonfiguration im Backup-Tresor gesteuert, in dem Ihr Backup gespeichert ist.

Backups von Ressourcentypen, die nicht vollständig von verwaltet werden, erben AWS Backup in der Regel die Verschlüsselungseinstellungen von ihrer Quellressource. Sie können diese Verschlüsselungseinstellungen gemäß den Anweisungen dieses Dienstes konfigurieren, z. B. die Amazon EBS-Verschlüsselung im Amazon EBS-Benutzerhandbuch.

Ihre IAM-Rolle muss Zugriff auf den KMS-Schlüssel haben, der zum Sichern und Wiederherstellen des Objekts verwendet wird. Andernfalls ist der Job erfolgreich, aber die Objekte werden nicht gesichert oder wiederhergestellt. Die Berechtigungen in der IAM-Richtlinie und der KMS-Schlüsselrichtlinie müssen konsistent sein. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Angabe von KMS-Schlüsseln in IAM-Richtlinienerklärungen.

Die folgende Tabelle führt alle unterstützten Ressourcentypen und die Konfiguration der Verschlüsselung für Sicherungen auf und gibt an, ob die unabhängige Verschlüsselung für Sicherungen unterstützt wird. Wenn AWS Backup eine Sicherung unabhängig verschlüsselt, wird der branchenübliche AES-256-Verschlüsselungsalgorithmus verwendet. Weitere Informationen zur Verschlüsselung in AWS Backup finden Sie unter Regions- und kontoübergreifendes Backup.

Ressourcentyp Konfigurieren der Verschlüsselung Unabhängige Verschlüsselung AWS Backup
Amazon Simple Storage Service (Amazon-S3) Amazon S3 S3-Backups werden mit einem AWS KMS (AWS Key Management Service) -Schlüssel verschlüsselt, der dem Backup-Tresor zugeordnet ist. Der AWS KMS-Schlüssel kann entweder ein vom Kunden verwalteter Schlüssel oder ein AWS verwalteter Schlüssel sein, der AWS Backup dem Service zugeordnet ist. AWS Backup verschlüsselt alle Backups, auch wenn die Amazon S3 S3-Quell-Buckets nicht verschlüsselt sind. Unterstützt
VMware virtuelle Maschinen VM-Backups sind immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für Backups virtueller Maschinen wird in dem AWS Backup Tresor konfiguriert, in dem die Backups der virtuellen Maschinen gespeichert sind. Unterstützt
Amazon DynamoDB nach der Aktivierung von Erweitertes DynamoDB-Backup

DynamoDB-Sicherungen werden immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für DynamoDB-Backups wird in dem AWS Backup Tresor konfiguriert, in dem die DynamoDB-Backups gespeichert sind.

 Unterstützt
Amazon DynamoDB ohne Aktivierung von Erweitertes DynamoDB-Backup

DynamoDB-Sicherungen werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung der DynamoDB-Tabelle verwendet wurde. Snapshots unverschlüsselter DynamoDB-Tabellen sind ebenfalls unverschlüsselt.

Um eine Sicherungskopie einer verschlüsselten DynamoDB-Tabelle AWS Backup zu erstellen, müssen Sie die Berechtigungen kms:Decrypt und kms:GenerateDataKey zur IAM-Rolle hinzufügen, die für die Sicherung verwendet wird. Alternativ können Sie die Standard-Servicerolle verwenden. AWS Backup

Nicht unterstützt
Amazon Elastic File System (Amazon EFS) Amazon EFS-Sicherungen werden immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für Amazon EFS-Backups wird in dem AWS Backup Tresor konfiguriert, in dem die Amazon EFS-Backups gespeichert sind. Unterstützt
Amazon Elastic Block Store (Amazon EBS) Standardmäßig werden Amazon EBS-Sicherungen entweder mit dem Schlüssel verschlüsselt, der zur Verschlüsselung des Quell-Volumes verwendet wurde, oder sie sind unverschlüsselt. Während der Wiederherstellung können Sie die Standardverschlüsselungsmethode überschreiben, indem Sie einen KMS-Schlüssel angeben. Nicht unterstützt
Amazon Elastic Compute Cloud (Amazon EC2) AMIs AMIs sind unverschlüsselt. EBS-Snapshots werden nach den Standardverschlüsselungsregeln für EBS-Backups verschlüsselt (siehe Eintrag für EBS). EBS-Snapshots von Daten und Root-Volumes können verschlüsselt und an ein AMI angehängt werden. Nicht unterstützt
Amazon Relational Database Service (Amazon RDS) Amazon RDS-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung der Amazon RDS-Quell-Datenbank verwendet wurde. Snapshots unverschlüsselter Amazon RDS-Datenbanken sind ebenfalls unverschlüsselt. Nicht unterstützt
Amazon Aurora Aurora-Cluster-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Amazon Aurora-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Aurora-Cluster sind ebenfalls unverschlüsselt. Nicht unterstützt
AWS Storage Gateway Storage Gateway-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Storage Gateway-Quell-Volumes verwendet wurde. Snapshots unverschlüsselter Storage Gateway-Volumes sind ebenfalls unverschlüsselt.

Sie müssen nicht für alle Services einen Customer Managed Key verwenden, um Storage Gateway zu aktivieren. Sie müssen die Storage Gateway-Sicherung nur in einen Tresor kopieren, für den ein KMS-Schlüssel konfiguriert ist. Das liegt daran, dass Storage Gateway keinen dienstspezifischen AWS KMS verwalteten Schlüssel hat.

 Nicht unterstützt
Amazon FSx Die Verschlüsselungsfunktionen für FSx Amazon-Dateisysteme unterscheiden sich je nach dem zugrunde liegenden Dateisystem. Weitere Informationen zu Ihrem speziellen FSx Amazon-Dateisystem finden Sie im entsprechenden FSx Benutzerhandbuch. Nicht unterstützt
Amazon DocumentDB Amazon DocumentDB-Cluster-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Amazon DocumentDB-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Amazon DocumentDB-Cluster sind ebenfalls unverschlüsselt. Nicht unterstützt
Amazon Neptune Neptune-Cluster-Snapshots werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Neptune-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Neptune-Cluster sind ebenfalls unverschlüsselt. Nicht unterstützt
Amazon Timestream Sicherungen von Timestream-Tabellen-Snapshots sind immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für Timestream-Backups wird im Backup-Tresor konfiguriert, in dem die Timestream-Backups gespeichert sind. Unterstützt
Amazon Redshift Amazon Redshift-Cluster werden automatisch mit demselben Schlüssel verschlüsselt, der zur Verschlüsselung des Amazon Redshift-Quell-Clusters verwendet wurde. Snapshots unverschlüsselter Amazon Redshift-Cluster sind ebenfalls unverschlüsselt. Nicht unterstützt
Amazon Redshift Serverless Redshift Serverless-Snapshots werden automatisch mit demselben Verschlüsselungsschlüssel verschlüsselt, der zur Verschlüsselung der Quelle verwendet wurde. Nicht unterstützt
AWS CloudFormation CloudFormation Backups werden immer verschlüsselt. Der CloudFormation Verschlüsselungsschlüssel für CloudFormation Backups wird in dem CloudFormation Tresor konfiguriert, in dem die CloudFormation Backups gespeichert werden. Unterstützt
SAP HANA-Datenbanken auf EC2 Amazon-Instances SAP HANA-Datenbank-Sicherungen sind immer verschlüsselt. Der AWS KMS Verschlüsselungsschlüssel für SAP HANA-Datenbanksicherungen wird in dem AWS Backup Tresor konfiguriert, in dem die Datenbanksicherungen gespeichert sind. Unterstützt
Tipp

AWS Backup Audit Manager hilft Ihnen dabei, unverschlüsselte Backups automatisch zu erkennen.

Verschlüsselung für Kopien eines Backups auf ein anderes Konto oder AWS-Region

Wenn Sie Ihre Backups zwischen Konten oder Regionen kopieren, AWS Backup werden diese Kopien für die meisten Ressourcentypen automatisch verschlüsselt, auch wenn das ursprüngliche Backup unverschlüsselt ist. AWS Backup verschlüsselt die Kopie mithilfe des KMS-Schlüssels des Zieltresors.

Bevor Sie ein Backup von einem Konto auf ein anderes kopieren (kontoübergreifender Kopierauftrag) oder ein Backup von einer Region in eine andere kopieren (regionsübergreifender Kopierauftrag), beachten Sie die folgenden Bedingungen, von denen viele davon abhängen, ob der Ressourcentyp im Backup (Recovery Point) vollständig verwaltet wird AWS Backup oder nicht.

  • Eine Kopie eines Backups auf ein anderes AWS-Region wird mit dem Schlüssel des Zieltresors verschlüsselt.

  • Für eine Kopie eines Wiederherstellungspunkts (Backup) einer Ressource, die vollständig von verwaltet wird, können Sie wählen AWS Backup, ob Sie sie mit einem vom Kunden verwalteten Schlüssel (CMK) oder einem AWS Backup verwalteten Schlüssel (aws/backup) verschlüsseln möchten.

    Für eine Kopie des Wiederherstellungspunkts einer Ressource, die nicht vollständig verwaltet wird AWS Backup, muss es sich bei dem dem Zieltresor zugewiesenen Schlüssel um einen CMK oder um den verwalteten Schlüssel des Dienstes handeln, dem die zugrunde liegende Ressource gehört. Wenn Sie beispielsweise eine EC2 Instanz kopieren, kann ein verwalteter Backup-Schlüssel nicht verwendet werden. Stattdessen muss ein CMK- oder Amazon EC2 KMS-Schlüssel (aws/ec2) verwendet werden, um ein Fehlschlagen des Kopierauftrags zu vermeiden.

  • Kontoübergreifendes Kopieren mit AWS verwalteten Schlüsseln wird nicht für Ressourcen unterstützt, die nicht vollständig von verwaltet werden. AWS Backup Die Schlüsselrichtlinie eines AWS verwalteten Schlüssels ist unveränderlich, wodurch verhindert wird, dass der Schlüssel kontenübergreifend kopiert wird. Wenn Ihre Ressourcen mit AWS verwalteten Schlüsseln verschlüsselt sind und Sie eine kontoübergreifende Kopie durchführen möchten, können Sie die Verschlüsselungsschlüssel in einen vom Kunden verwalteten Schlüssel ändern, der für kontoübergreifendes Kopieren verwendet werden kann. Oder folgen Sie den Anweisungen unter Schützen verschlüsselter Amazon RDS-Instances durch konto- und regionsübergreifende Backups, um weiterhin AWS verwaltete Schlüssel zu verwenden.

  • Kopien von unverschlüsselten Amazon Aurora-, Amazon DocumentDB- und Amazon Neptune Neptune-Clustern sind ebenfalls unverschlüsselt.

AWS Backup Erklärungen zu Berechtigungen, Bewilligungen und Ablehnungen

Um Fehlschläge bei Aufträgen zu vermeiden, können Sie die AWS KMS Schlüsselrichtlinie überprüfen, um sicherzustellen, dass sie über erforderliche Berechtigungen verfügt und keine Ablehnungsaussagen enthält, die erfolgreiche Operationen verhindern.

Fehlgeschlagene Aufträge können entweder auf eine oder mehrere Deny-Anweisungen zurückzuführen sein, die auf den KMS-Schlüssel angewendet wurden, oder darauf, dass eine Zuweisung für den Schlüssel aufgehoben wurde.

In einer Richtlinie für AWS verwalteten Zugriff AWSBackupFullAccess, z. B. im Rahmen von Sicherungs-, Kopier- und Speichervorgängen, gibt es „Zulassen“ -Aktionen, die es ermöglichen, im Namen eines Kunden eine Genehmigung AWS Backup für einen KMS-Schlüssel zu erstellen. AWS KMS

Für die Schlüsselrichtlinie sind mindestens die folgenden Berechtigungen erforderlich:

  • kms:createGrant

  • kms:generateDataKey

  • kms:decrypt

Wenn Ablehnungsrichtlinien erforderlich sind, müssen Sie die erforderlichen Rollen für Sicherungs- und Wiederherstellungsvorgänge auf eine Zulassungsliste setzen.

Diese Elemente können wie folgt aussehen:

{
    "Version": "2012-10-17",
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}

Diese Berechtigungen müssen Teil des Schlüssels sein, unabhängig davon, ob er AWS verwaltet oder vom Kunden verwaltet wird.

  1. Stellen Sie sicher, dass die erforderlichen Berechtigungen Teil der KMS-Schlüsselrichtlinie sind

    1. Führen Sie KMS CLI get-key-policy (kms:GetKeyPolicy) aus, um die Schlüsselrichtlinie anzuzeigen, die dem angegebenen KMS-Schlüssel zugeordnet ist.

    2. Überprüfen Sie die zurückgegebenen Berechtigungen.

  2. Stellen Sie sicher, dass keine Deny-Anweisungen vorhanden sind, die sich auf den Betrieb auswirken

    1. Führen Sie CLI () aus get-key-policy (oder führen Sie es erneut aus kms:GetKeyPolicy), um die Schlüsselrichtlinie anzuzeigen, die dem angegebenen KMS-Schlüssel zugeordnet ist.

    2. Überprüfen Sie die Richtlinie.

    3. Entfernen Sie die entsprechenden Deny-Anweisungen aus der KMS-Schlüsselrichtlinie.

  3. Führen Sie bei Bedarf das Programm aus, kms:put-key-policyum die Schlüsselrichtlinie durch überarbeitete Berechtigungen und entfernte Deny-Anweisungen zu ersetzen oder zu aktualisieren.

Darüber hinaus muss der Schlüssel, der der Rolle zugeordnet ist, die einen regionsübergreifenden Kopierauftrag initiiert, über die DescribeKey entsprechende "kms:ResourcesAliases": "alias/aws/backup" Berechtigung verfügen.