本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 第 5 步。加密备份数据和保管库
<a name="encrypt"></a>

组织越来越需要改进其数据安全策略，并且随着组织在云端中的扩展，他们可能需要遵守数据保护法规。通过正确实施加密方法，可以在基础访问控制机制之上再提供一层额外的保护。如果您的主访问控制策略失败，新增的层可提供缓解措施。

例如，如果您在 AWS Backup 数据上配置的访问控制策略过于宽松，您的密钥管理系统或流程可以减轻安全事件的最大影响。这是因为有单独的授权机制来访问您的数据和加密密钥，这意味着备份数据只能以密文形式查看。

要充分利用 AWS Cloud 加密，请对传输中的数据和静态数据进行加密。为了保护传输中的数据， AWS 使用已发布的 API 调用， AWS Backup 通过 [TLS 协议](https://aws.amazon.com/blogs/security/tls-1-2-to-become-the-minimum-for-all-aws-fips-endpoints/)通过网络进行访问，从而在您、您的应用程序和 AWS Backup 服务之间提供加密。要保护静态数据，您可以使用 AWS 云原生 [AWS Key Management Service](https://aws.amazon.com/kms/)(AWS KMS) 或[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)。基于云的硬件安全模型（HSM）， AWS CloudHSM 使用带有 256 位密钥（AES-256）的高级加密标准（AES），这是一种行业中经常采用的用于加密数据的强大算法。评估您的数据治理和监管要求，并选择适当的加密服务来加密您的云数据和备份保管库。

加密配置因资源类型和跨账户或跨区域的备份操作而异。在加密备份时，某些资源类型支持使用与用于加密源资源的密钥不同的加密密钥。由于您负责管理访问控制以确定谁可以访问您的 AWS Backup 数据或保管库加密密钥以及在哪些条件下可以访问您的数据或保管库加密密钥，因此请使用提供的策略语言 AWS KMS 来定义对密钥的访问控制。您也可以使用 [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) 确认您的备份已正确加密。有关更多信息，请参阅 [AWS Backup中的备份加密](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)。

您可以使用 [AWS KMS](https://aws.amazon.com/blogs/security/encrypt-global-data-client-side-with-aws-kms-multi-region-keys/) 多区域密钥将密钥从一个区域复制到另一个区域。多区域密钥旨在当您的加密数据必须复制到其他区域进行灾难恢复时，其可以简化加密管理。评估是否需要将多区域 AWS KMS 密钥作为整体备份策略的一部分。