APEX Backup Servicesのセキュリティについて

これの意味するところは、ユーザ側で何か
鍵管理サーバなどを構築して鍵管理をしないといけない、
というようなものになりますでしょうか？

いいえ。鍵管理サーバなどを別途構築する必要はありません。お客様サイトで動いているDruvaのソフトウェア（エージェント）がその動作を担ってくれるはずなので。

これは動作的には暗号化鍵を更に暗号化するエンベロープ暗号化を利用して、お客様側にしか存在しない鍵を利用してデータ通信を行うことが可能ということです。また、その動作に関する説明はAPEX Backup Services Security Overviewの「Protecting data in flight and at rest」にて以下のように記載されています。

The customer encryption key is a session-only based key algorithm modeled on digital envelope encryption. This results in the customer key is never stored unencrypted, transferred, or accessible from outside a user’s active cloud-side session. Thus, the need for expensive and complex key management solutions is eliminated.

バックアップ先のS3には管理者ユーザでも

アクセスできず、(つまり現物のバックアップファイルの確認は不可？)

あくまでもGUIからバックアップを取った日付などを確認できるのみ、

という理解で正しいでしょうか？

そうですね。SSH接続も許可されていないのでそのような認識で間違いないでしょう。

この仕様はCyber Securityの観点から策定されたものであると考えられます。バックアップ先のS3などにユーザが直接アクセスできるということは、ランサムウェアなどに侵入されるとそれら悪意のあるソフトウェアもアクセスができるということになると思います。
そうするとS3などのインフラ内部に侵入され、更にそれらのインフラに関する仕様などはある程度わかっている部分があるので、攻撃者としては比較的容易に影響範囲を広げることが可能となることが想定されるため、万が一の際でもそのように悪影響が広がらないように考えられた仕様なのでしょう。