Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arbeiten mit Audit-Frameworks
Ein *Framework* ist eine Sammlung von Kontrollen, mit denen Sie Ihre Backup-Praktiken auswerten können. Sie können vorgefertigte, anpassbare Kontrollen verwenden, um Ihre Richtlinien zu definieren und zu bewerten, ob Ihre Backup-Methoden mit Ihren Richtlinien konform sind. Sie können auch automatische tägliche Berichte einrichten, um entsprechend Einblick in den Compliance-Status Ihrer Frameworks zu erhalten.
Jedes Framework gilt für ein einzelnes Konto und AWS-Region. Sie können maximal 15 Frameworks pro Konto und Region bereitstellen. Sie können keine doppelten Frameworks (Frameworks, die dieselben Kontrollen und Parameter enthalten) bereitstellen.
Es gibt zwei verschiedene Arten von Frameworks:
+ Das **AWS Backup -Framework** (empfohlen): Verwenden Sie das AWS Backup -Framework, um alle verfügbaren Kontrollen bereitzustellen, um Ihre Backup-Aktivität, den Umfang und die Ressourcen anhand der von uns empfohlenen Best Practices zu überwachen.
+ Ein **benutzerdefiniertes Framework**, das Sie definieren: Verwenden Sie ein benutzerdefiniertes Framework, um eine oder mehrere spezifische Kontrollen auszuwählen und die Kontrollparameter anzupassen.
**Topics**
+ [Auswählen Ihrer Kontrollen](choosing-controls.md)
+ [Aktivieren der Ressourcennachverfolgung](turning-on-resource-tracking.md)
+ [Frameworks mithilfe der AWS Backup Konsole erstellen](creating-frameworks-console.md)
+ [Frameworks mithilfe der AWS Backup API erstellen](creating-frameworks-api.md)
+ [Anzeigen des Framework-Compliance-Status](viewing-frameworks.md)
+ [Suchen nicht konformer Ressourcen](finding-non-compliant-resources.md)
+ [Aktualisieren von Audit-Frameworks](updating-frameworks.md)
+ [Löschen von Audit-Frameworks](deleting-frameworks.md)
# Auswählen Ihrer Kontrollen
In der folgenden Tabelle sind die AWS Backup Audit Manager Manager-Steuerelemente, ihre anpassbaren Parameter und ihre AWS Config Aufzeichnungsressourcentypen aufgeführt.
**Verfügbare Kontrollen**
| Name der Kontrolle | Beschreibung der Kontrolle | Anpassbare Parameter | AWS Config Art der Aufzeichnungsressource |
| --- | --- | --- | --- |
| Backup-Ressourcen sind in mindestens einem Backup-Plan enthalten | Prüft, ob Ressourcen in mindestens einem Backup-Plan enthalten sind. | Keine | AWS Backup: backup selection |
| Backup-Plan hat eine Mindestfrequenz und einen Mindestaufbewahrungszeitraum. | Prüft, ob die Backup-Frequenz mindestens [1 Tag] und der Aufbewahrungszeitraum mindestens [35 Tage] beträgt. | Backup-Frequenz; Aufbewahrungszeitraum | AWS Backup: backup plans |
| Tresore verhindern das manuelle Löschen von Wiederherstellungspunkten. | Prüft, ob Backup-Tresore das manuelle Löschen von Wiederherstellungspunkten nur bei bestimmten AWS Identity and Access Management (IAM-) Rollen zulassen. Standardmäßig bestehen keine Ausnahmen für IAM-Rollen. Es gibt auch keine Ausnahmen für IAM-Rollen, wenn Sie dieses Steuerelement mit dem Framework bereitstellen. AWS Backup | Bis zu 5 IAM-Rollen, die das manuelle Löschen von Wiederherstellungspunkten ermöglichen | AWS Backup: backup vaults |
| Wiederherstellungspunkte sind verschlüsselt. | Prüft, ob die Wiederherstellungspunkte verschlüsselt sind. | Keine | AWS Backup: recovery points |
| Mindestaufbewahrungszeitraum ist für den Wiederherstellungspunkt festgelegt. | Prüft, ob der Aufbewahrungszeitraum für Wiederherstellungspunkte mindestens [35 Tage] beträgt. | Aufbewahrungszeitraum für Wiederherstellungspunkte | AWS Backup: recovery points |
| Regionsübergreifende Backup-Kopie ist geplant. | Prüft, ob eine Ressource so konfiguriert ist, dass Kopien ihrer Backups in einer anderen AWS-Region erstellt werden. | AWS-Region | AWS Backup: backup selection |
| Kontenübergreifende Backup-Kopie ist geplant. | Prüft, ob für eine Ressource eine kontenübergreifende Backup-Kopie konfiguriert ist. | AWS Konto-ID | AWS Backup: backup selection |
| Ressourcen befinden sich in einem Backup-Plan mit AWS Backup Vault Lock | Prüft, ob für eine Ressource ein Backup-Plan so konfiguriert ist, dass Backups in einem gesperrten Backup-Tresor gespeichert werden. | Min. Anzahl an Aufbewahrungstagen; max. Anzahl an Aufbewahrungstagen | AWS Backup: backup selection |
| Letzter Wiederherstellungspunkt wurde erstellt. | Prüft, ob innerhalb eines angegebenen Zeitraums ein Wiederherstellungspunkt erstellt wurde. | Wert in Stunden [1 bis 744] oder Tagen [1 bis 31] | AWS Backup recovery points |
| Wiederherstellungszeit für Ressourcen entspricht dem Ziel | Prüft, ob der Wiederherstellungstestauftrag innerhalb der Zielwiederherstellungszeit abgeschlossen wurde | Wert in Minuten | Keine |
| Ressourcen befinden sich in einem Tresor mit logischem Air-Gap | Prüft, ob für Ressourcen innerhalb des angegebenen Werts und Zeitrahmens mindestens ein Wiederherstellungspunkt in einen Tresor mit logischem Air-Gap kopiert wurde. | Wert in Minuten, Stunden oder Tagen | AWS Backup: recovery points |
Detaillierte Informationen zu diesen Kontrollen finden Sie unter [Steuerelemente und Abhilfemaßnahmen](controls-and-remediation.md).
Eine Liste der AWS Backup unterstützten Ressourcen, die nicht alle Kontrollen unterstützen, finden Sie im Abschnitt AWS Backup Audit Manager der [Feature-Verfügbarkeit nach Ressource](backup-feature-availability.md#features-by-resource) Tabelle.
**Anmerkung**
Wenn Sie keine der oben genannten Kontrollen verwenden möchten, können Sie AWS Backup Audit Manager trotzdem verwenden, um tägliche Berichte über Ihre Sicherungs-, Kopier- und Wiederherstellungsaufträge zu erstellen. Weitere Informationen finden Sie unter [Arbeiten mit Auditberichten](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-audit-reports.html).
# Aktivieren der Ressourcennachverfolgung
Bevor Sie das erste Compliance-Framework erstellen, müssen Sie die Ressourcennachverfolgung aktivieren. Auf diese Weise können AWS Config Sie Ihre AWS Backup Ressourcen verfolgen. Technische Dokumentation zur Verwaltung der Ressourcenverfolgung finden Sie im *AWS Config Entwicklerhandbuch* unter [Einrichtung AWS Config mit der Konsole](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html).
Wenn Sie die Ressourcennachverfolgung aktivieren, fallen Gebühren an. Informationen zu Preisen und Fakturierung von Resource Tracking für AWS Backup Audit Manager [finden Sie unter Erfassung, Kosten und Abrechnung](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html).
**Topics**
+ [Aktivieren der Ressourcennachverfolgung mithilfe der Konsole](#turning-on-resource-tracking-console)
+ [Aktivieren Sie die Ressourcenverfolgung mit dem AWS Command Line Interface (AWS CLI)](#turning-on-resource-tracking-cli)
+ [Aktivieren der Ressourcenverfolgung mithilfe einer CloudFormation Vorlage](#turning-on-resource-tracking-cfn)
## Aktivieren der Ressourcennachverfolgung mithilfe der Konsole
**So aktivieren Sie die Ressourcennachverfolgung über die Konsole**
1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Wählen Sie im linken Navigationsbereich unter **Audit Manager** die Option **Frameworks** aus.
1. Aktivieren Sie die Ressourcennachverfolgung, indem Sie **Ressourcennachverfolgung verwalten** auswählen.
1. Wählen Sie **Gehe zu AWS Config Einstellungen.**
1. Wählen Sie **Aufzeichnung aktivieren oder deaktivieren** aus.
1. Wählen Sie **Aufzeichnung aktivieren** für alle der folgenden Ressourcentypen aus oder aktivieren Sie die Aufzeichnung für einige Ressourcentypen. Informationen darüber, welche Ressourcentypen für Ihre Kontrollen erforderlich sind, finden Sie unter [AWS Backup Audit Manager – Kontrollen und Abhilfe](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ `AWS Backup: backup plans`
+ `AWS Backup: backup vaults`
+ `AWS Backup: recovery points`
+ `AWS Backup: backup selection`
1. Klicken Sie auf **Schließen**.
1. Warten Sie, bis aus dem blauen Banner mit dem Text **Ressourcennachverfolgung wird aktiviert** ein grüner Banner mit dem Text **Ressourcennachverfolgung ist aktiviert** wird.
Sie können an zwei Stellen in der AWS Backup Konsole überprüfen, ob Sie die Ressourcenverfolgung aktiviert haben und wenn ja, welche Ressourcentypen Sie aufzeichnen. Führen Sie im linken Navigationsbereich einen der folgenden Schritte aus:
+ Wählen Sie **Frameworks** und dann den Text unter **AWS Config -Recorder-Status** aus.
+ Wählen Sie **Einstellungen** und dann den Text unter **AWS Config -Recorder-Status** aus.
## Aktivieren Sie die Ressourcenverfolgung mit dem AWS Command Line Interface (AWS CLI)
Wenn Sie sich noch nicht angemeldet haben AWS Config, ist es möglicherweise schneller, das Onboarding mit dem durchzuführen. AWS CLI
**So aktivieren Sie die Ressourcennachverfolgung mithilfe der AWS CLI**
1. Geben Sie den folgenden Befehl ein, um festzustellen, ob Sie den AWS Config -Recorder bereits aktiviert haben.
```
$ aws configservice describe-configuration-recorders
```
1. Überprüfen Sie, ob Ihre `ConfigurationRecorders`-Liste wie hier leer ist:
```
{
"ConfigurationRecorders": []
}
```
In diesem Fall ist der Recorder nicht aktiviert. Fahren Sie mit Schritt 2 fort, um Ihren Recorder zu erstellen.
1. Wenn Sie die Aufzeichnung bereits für alle Ressourcen aktiviert haben, sieht die `ConfigurationRecorders`-Ausgabe wie folgt aus:
```
{
"ConfigurationRecorders":[
{
"recordingGroup":{
"allSupported":true,
"resourceTypes":[
],
"includeGlobalResourceTypes":true
},
"roleARN":"arn:aws:iam::[account]:role/[roleName]",
"name":"default"
}
]
}
```
Da Sie alle Ressourcen aktiviert haben, haben Sie die Ressourcenverfolgung bereits aktiviert. Sie müssen den Rest dieses Verfahrens nicht abschließen, um AWS Backup Audit Manager zu verwenden.
1. Erstellen Sie einen AWS Config Rekorder mit den AWS Backup Audit Manager Manager-Ressourcentypen
```
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"
```
1. Beschreiben Sie Ihren AWS Config Rekorder.
```
$ aws configservice describe-configuration-recorders
```
Stellen Sie sicher, dass es über die AWS Backup Audit Manager Manager-Ressourcentypen verfügt, indem Sie Ihre Ausgabe mit der folgenden erwarteten Ausgabe vergleichen.
```
{
"ConfigurationRecorders":[
{
"name":"default",
"roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
"recordingGroup":{
"allSupported":false,
"includeGlobalResourceTypes":false,
"resourceTypes":[
"AWS::Backup::BackupPlan",
"AWS::Backup::BackupSelection",
"AWS::Backup::BackupVault",
"AWS::Backup::RecoveryPoint"
]
}
}
]
}
```
1. Erstellen Sie einen Amazon S3 S3-Bucket als Ziel zum Speichern der AWS Config Konfigurationsdateien.
```
$ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1
```
1. Verwenden Sie diese *policy.json* Option, um die AWS Config Erlaubnis für den Zugriff auf Ihren Bucket zu erteilen. Sehen Sie sich das folgende Beispiel an*policy.json*.
```
$ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AWSConfigBucketPermissionsCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketExistenceCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketDelivery",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Konfigurieren Sie Ihren Bucket als AWS Config Lieferkanal
```
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket
```
1. AWS Config Aufnahme aktivieren
```
$ aws configservice start-configuration-recorder --configuration-recorder-name default
```
1. Stellen Sie sicher, dass `"FrameworkStatus":"ACTIVE"` in der letzten Zeile Ihrer `DescribeFramework`-Ausgabe wie folgt aussieht.
```
$ aws backup describe-framework --framework-name test --region us-east-1
```
```
{
"FrameworkName":"test",
"FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
"FrameworkDescription":"",
"FrameworkControls":[
{
"ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredFrequencyUnit",
"ParameterValue":"hours"
},
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"35"
},
{
"ParameterName":"requiredFrequencyValue",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":[
],
"ControlScope":{
}
}
],
"CreationTime":1633463605.233,
"DeploymentStatus":"COMPLETED",
"FrameworkStatus":"ACTIVE"
}
```
## Aktivieren der Ressourcenverfolgung mithilfe einer CloudFormation Vorlage
Eine CloudFormation Vorlage, die die Ressourcenverfolgung aktiviert, finden Sie unter [AWS Backup Audit Manager verwenden mit CloudFormation](https://docs.aws.amazon.com/aws-backup/latest/devguide/bam-cfn-integration.html).
# Frameworks mithilfe der AWS Backup Konsole erstellen
Nachdem Sie die Ressourcennachverfolgung aktiviert haben, erstellen Sie mithilfe der folgenden Schritte ein Framework.
1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Wählen Sie im linken Navigationsbereich die Option **Frameworks** aus.
1. Wählen Sie **Framework erstellen** aus.
1. Geben Sie unter **Name des Frameworks** einen eindeutigen Namen ein. Der Framework-Name muss eine Länge von maximal 256 Zeichen haben, die mit einem Buchstaben beginnen und aus Buchstaben (a–z, A–Z), Zahlen (0–9) und Unterstrichen (\$1) bestehen.
1. (Optional) Geben Sie eine **Beschreibung des Frameworks** ein.
1. In **Steuerelemente** werden Ihre aktiven Kontrollen angezeigt. Standardmäßig werden alle Kontrollen aufgeführt, die für eine Ressource in Frage kommen.
Um zu ändern, welche Kontrollen aktiv sind, klicken Sie auf **Steuerelemente bearbeiten**.
1. Das erste Kontrollkästchen gibt an, ob die Kontrolle aktiviert ist. Um eine Kontrolle auszuschalten, deaktivieren Sie das Kontrollkästchen.
1. Unter **Auszuwertende Ressourcen auswählen** können Sie festlegen, wie Ressourcen ausgewählt werden sollen, entweder nach Typ, nach Tags oder nach einzelner Ressource.
In der Liste der [Kontrollen in AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) werden die Anpassungsoptionen für jede Kontrolle beschrieben.
1. (Optional) Markieren Sie Ihr Framework, indem Sie **Neues Tag hinzufügen** auswählen. Mithilfe von Tags können Sie Ihre Frameworks suchen und filtern oder Ihre Kosten nachverfolgen.
1. Wählen Sie **Framework erstellen** aus.
AWS Backup Die Erstellung des Frameworks durch Audit Manager kann mehrere Minuten dauern.
Wenn der Fehler `AlreadyExists` auftritt, ist bereits ein Framework mit denselben Kontrollen und Parametern vorhanden. Um erfolgreich ein neues Framework zu erstellen, muss sich mindestens eine Kontrolle oder ein Parameter von bestehenden Frameworks unterscheiden.
# Frameworks mithilfe der AWS Backup API erstellen
Die folgende Tabelle enthält [CreateFramework](API_CreateFramework.md)-API-Beispielanfragen für jede Kontrolle sowie API-Beispielantworten auf die entsprechenden [DescribeFramework](API_DescribeFramework.md)-Anfragen. Um programmgesteuert mit AWS Backup Audit Manager zu arbeiten, können Sie auf diese Codefragmente zurückgreifen.
****
| Steuerung | `CreateFramework`-Anfrage | `DescribeFramework`-Antwort |
| --- | --- | --- |
| Backup resources are included in at least one backup plan | {"FrameworkName": "Control1",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"] // Evaluate only RDS instances
}
}
],
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control1",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control1-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup plan minimum frequency and minimum retention | {"FrameworkName": "Control2",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"} // Evaluate backup plans that tagged with "key1": "prod".
}
}
],
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control2",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"}
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} |
| Vaults prevent manual deletion of recovery points | {"FrameworkName": "Control3",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control3",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} |
| Minimum retention established for recovery point | {"FrameworkName": "Control4",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {} // Default scope (no scope input) sets scope to all recovery points.
}
],
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control4",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-6e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup recovery points are encrypted | {"FrameworkName": "Control5",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {} // Default scope (no scope input) is all recovery points
}
],
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control5",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-7e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-Region backup copy is scheduled | {"FrameworkName": "Control6",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control6",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-account backup copy is scheduled | {"FrameworkName": "Control7",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control7",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} |
| Resources are in a backup plan with an AWS Backup Vault Lock | {"FrameworkName": "Control8",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control8",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control8-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} |
| Last recovery point was created | {"FrameworkName": "Control9",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control9",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} |
| Restore time for resources meet target | {"FrameworkName":"Control10",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[
{
"ParameterName":"maxRestoreTime",
"ParameterValue":"720"
}
],
"ControlScope":{
"ComplianceResourceIds":[
],
"ComplianceResourceTypes":[
"DynamoDB" // Evaluates only DynamoDB databases
]
}
}
]"IdempotencyToken":"Control10",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control10",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control10",
"FrameworkTags":
{"key1": "foo"}
} |
| RESOURCES\$1IN\$1LOGICALLY\$1AIR\$1GAPPED\$1VAULT | {"FrameworkName":"Control11",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT",
"ControlInputParameters":[
{
"ParameterName":"recoveryPointAgeValue",
"ParameterValue":"10"
}
{
"ParameterName":"recoveryPointAgeUnit",
"ParameterValue":"days"
}
],
"ControlScope":{
"ComplianceResourceTypes":[
"EC2"
]
}
}
]"IdempotencyToken":"Control11",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control11",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control11-ab1234cd-5e67-89fg-06a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2","EBS"]
}
}
],
"CreationTime": 1726087776.316,
"DeploymentStatus": "COMPLETED",
"FrameworkStatus": "ACTIVE",
"IdempotencyToken": "Control11",
"FrameworkTags":
{"key1": "foo"}
} |
# Anzeigen des Framework-Compliance-Status
Sobald Sie ein Audit-Framework erstellt haben, wird es in der Tabelle **Frameworks** angezeigt. Sie können diese Tabelle anzeigen, indem Sie im linken Navigationsbereich der AWS Backup Konsole **Frameworks** auswählen. Um die Audit-Ergebnisse für das Framework anzuzeigen, wählen Sie den entsprechenden Namen unter **Namen des Frameworks** aus. Dadurch gelangen Sie zur Seite mit den **Framework-Details**, die aus zwei Abschnitten besteht: **Zusammenfassung** und **Steuerelemente**.
Im Abschnitt **Zusammenfassung** werden die folgenden Status von links nach rechts aufgeführt:
+ Der **Compliance-Status** ist der allgemeine Compliance-Status Ihres Audit-Frameworks, der durch den Compliance-Status der einzelnen Kontrollen bestimmt wird. Der Compliance-Status jeder Kontrolle wird vom Compliance-Status jeder Ressource bestimmt, die sie auswertet.
Der Status der Framework-Compliance ist nur `Compliant`, wenn alle Ressourcen im Umfang Ihrer Kontrollauswertungen diese Prüfungen bestanden haben. Wenn eine oder mehrere Ressourcen eine Kontrollauswertung nicht bestanden haben, ist der Compliance-Status `Non-Compliant`. Informationen darüber, wie Sie nicht konforme Ressourcen finden, erhalten Sie unter [Auffinden nicht konformer Ressourcen](https://docs.aws.amazon.com/aws-backup/latest/devguide/finding-non-compliant-resources.html). Informationen darüber, wie Sie die Compliance Ihrer Ressourcen sicherstellen, finden Sie im Abschnitt zum Thema Abhilfe im Artikel [AWS Backup Audit Manager – Kontrollen und Abhilfe](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ **Framework-Status** bezieht sich darauf, ob Sie die Ressourcennachverfolgung für all Ihre Ressourcen aktiviert haben. Die folgenden Status sind möglich:
+ `Active`, wenn die Aufzeichnung für alle Ressourcen, die das Framework auswertet, aktiviert ist.
+ `Partially active`, wenn die Aufzeichnung für mindestens eine Ressource, die das Framework auswertet, deaktiviert ist.
+ `Inactive`, wenn die Aufzeichnung für alle Ressourcen, die das Framework auswertet, deaktiviert ist.
+ `Unavailable`wenn AWS Backup Audit Manager derzeit nicht in der Lage ist, den Aufzeichnungsstatus zu überprüfen.
**So korrigieren Sie einen `Inactive`- oder `Partially active`-Status**
1. Wählen Sie im linken Navigationsbereich die Option **Frameworks** aus.
1. Wählen Sie **Ressourcennachverfolgung verwalten** aus.
1. Folgen Sie den Anweisungen im Pop-up, um Aufzeichnungen, die zuvor für Ihre Ressourcentypen nicht aktiviert waren, zu aktivieren.
Weitere Informationen darüber, für welche Ressourcentypen eine Ressourcennachverfolgung auf Grundlage der Kontrollen erforderlich ist, die Sie in Ihre Frameworks integriert haben, finden Sie in den Informationen zu Ressourcen in [AWS Backup Audit Manager – Kontrollen und Abhilfe](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ Der **Bereitstellungsstatus** bezieht sich auf den Bereitstellungsstatus des Frameworks. Dieser Status sollte in den meisten Fällen `Completed` sein, kann aber auch `Create in progress`, `Update in progress`, `Delete in progress` oder `Failed` sein.
+ Der Status `Failed` bedeutet, dass das Framework nicht ordnungsgemäß bereitgestellt wurde. [Löschen Sie das Framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html) und erstellen Sie es anschließend über die [AWS Backup -Konsole](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-console.html) oder über die [AWS Backup -API](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html) neu.
+ **Konforme Steuerelemente** zeigt die Anzahl der Framework-Kontrollen an, bei denen alle Auswertungen bestanden wurden.
+ **Nicht konforme Steuerelemente** zeigt eine Anzahl an Framework-Kontrollen an, bei denen mindestens eine Auswertung nicht bestanden wurde.
Der Abschnitt **Steuerelemente** stellt die folgenden Informationen bereit:
+ **Kontrollstatus** bezieht sich auf den Compliance-Status der einzelnen Kontrollen. Eine Kontrolle kann folgende Status aufweisen: `Compliant`, was bedeutet, dass alle Ressourcen diese Auswertung bestehen; `Non-compliant`, was bedeutet, dass mindestens eine Ressource diese Auswertung nicht bestanden hat, oder `Insufficient data`, was bedeutet, dass die Kontrolle keine Ressourcen innerhalb des Auswertungsbereichs gefunden hat, die ausgewertet werden könnten.
+ **Auswertungsbereich** beschränkt möglicherweise jede Kontrolle auf einen oder mehrere **Ressourcentypen**, eine **Ressourcen-ID** oder einen **Tag-Schlüssel** und **Tag-Wert**, je nachdem, wie Sie die Kontrolle bei der Erstellung des Audit-Frameworks angepasst haben. Wenn alle Felder leer sind (dargestellt durch einen Bindestrich: „-“), wertet die Kontrolle alle zutreffenden Ressourcen aus.
# Suchen nicht konformer Ressourcen
AWS Backup Audit Manager hilft Ihnen auf zwei Arten herauszufinden, welche Ressourcen nicht konform sind.
+ Wählen Sie, wenn Sie den [Compliance-Status des Frameworks anzeigen](https://docs.aws.amazon.com/aws-backup/latest/devguide/viewing-frameworks.html), im Abschnitt **Details** den Namen der Kontrolle aus. Dadurch gelangen Sie zur AWS Config Konsole, in der Sie eine Liste Ihrer `Non-Compliant` Ressourcen einsehen können.
+ Nachdem Sie einen [Berichtsplan mit der Ressourcen-Compliance-Vorlage erstellt haben](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html), der Ihr Framework enthält, können Sie [Ihren Bericht anzeigen](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-reports.html), um alle Ihre `Non-Compliant`-Ressourcen für alle Ihre Kontrollen zu identifizieren.
Außerdem zeigt Ihnen `Resource compliance report` an, wann AWS Backup Audit Manager Ihre Kontrollen zum letzten Mal ausgewertet hat.
# Aktualisieren von Audit-Frameworks
Sie können die Beschreibung, die Kontrollen und Parameter eines vorhandenen Audit-Frameworks aktualisieren.
**So aktualisieren Sie ein vorhandenes Framework**
1. Wählen Sie im linken Navigationsbereich der AWS Backup Konsole **Frameworks** aus.
1. Wählen Sie unter **Name des Frameworks** das Framework aus, das Sie bearbeiten möchten.
1. Wählen Sie **Bearbeiten** aus.
# Löschen von Audit-Frameworks
**So löschen Sie ein vorhandenes Framework**
1. Wählen Sie im linken Navigationsbereich der AWS Backup Konsole **Frameworks** aus.
1. Wählen Sie unter **Name des Frameworks** das Framework aus, das Sie löschen möchten.
1. Wählen Sie **Löschen** aus.
1. Geben Sie den Namen Ihres Frameworks ein und wählen Sie **Framework löschen** aus.