Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

AWS Backup Vault Lock

PDF
RSS
Modo de enfoque
AWS Backup Vault Lock - AWS Backup
Modos de bloqueo del almacénVentajas del bloqueo de almacenesBloqueo de un almacén de copias de seguridad mediante la consolaBloqueo de un almacén de copias de seguridad mediante programaciónRevise la configuración de Vault Lock de una AWS Backup bóveda de respaldoEliminación del bloqueo del almacén durante el periodo de gracia (modo de cumplimiento)Cuenta de AWS cierre con una bóveda cerradaConsideraciones adicionales de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

nota

AWS Backup Cohasset Associates ha evaluado Vault Lock para su uso en entornos sujetos a las normas SEC 17a-4, la CFTC y la FINRA. Para obtener más información sobre la relación de AWS Backup Vault Lock con estas normas, consulte la evaluación de conformidad de Cohasset Associates.

AWS Backup Vault Lock es una función opcional de las bóvedas de respaldo, que puede resultar útil para proporcionarle seguridad y control adicionales sobre las bóvedas de respaldo. Cuando hay un bloqueo activo en el modo de cumplimiento y finaliza el periodo de gracia, ni el cliente ni el propietario de la cuenta o los datos ni AWS pueden modificar ni eliminar la configuración del almacén mientras contenga puntos de recuperación. Cada almacén puede tener implementado un bloqueo de almacén.

AWS Backup garantiza que sus copias de seguridad estén disponibles para usted hasta que venzan sus períodos de retención. Si algún usuario (incluido el usuario root) intenta eliminar una copia de seguridad o cambiar las propiedades del ciclo de vida de un almacén bloqueado, AWS Backup denegará la operación.

  • Los usuarios con permisos de IAM suficientes pueden eliminar el bloqueo de los almacenes bloqueadas en modo de gobernanza.

  • Los almacenes bloqueadas en modo de gobernanza no se pueden eliminar una vez que el periodo de reflexión (“periodo de gracia”) venza si hay puntos de recuperación en el almacén. Durante el periodo de gracia, aún puede eliminar el bloqueo del almacén y cambiar la configuración del bloqueo.

Modos de bloqueo del almacén

Al crear un bloqueo de almacén, puede elegir entre dos modos: el modo de gobernanza o el modo de cumplimiento. El modo de gobernanza está diseñado para permitir que solo usuarios con suficientes privilegios de IAM administren el almacén. El modo de gobernanza ayuda a una organización a cumplir los requisitos de gobernanza, ya que garantiza que solo el personal designado pueda hacer cambios en un almacén de copias de seguridad. El modo de cumplimiento está pensado para almacenes de copias de seguridad en los que se espera que el almacén (y, por extensión, su contenido) no se vaya a eliminar ni modificar nunca hasta que se complete el periodo de retención de datos. Una vez que un almacén en modo de conformidad está bloqueado, es inmutable, lo que significa que el bloqueo no se puede eliminar (el propio almacén se puede eliminar si está vacío y no contiene ningún punto de recuperación).

Los usuarios que dispongan de los permisos de IAM adecuados pueden administrar o eliminar un almacén bloqueado en modo gobernanza.

Un bloqueo de almacén en modo de cumplimiento no puede ser modificado ni eliminado por ningún usuario ni por AWS. Un almacén bloqueado en modo de cumplimiento tiene un periodo de gracia que se establece antes de que se bloquee y los contenidos del almacén pasan a ser inmutables.

Ventajas del bloqueo de almacenes

AWS Backup Vault Lock ofrece varias ventajas, entre las que se incluyen las siguientes:

  • Configuración de WORM (escritura única y lectura múltiple) para todas las copias de seguridad que almacene y cree en un almacén de copias de seguridad.

  • Una capa de defensa adicional que protege las copias de seguridad (puntos de recuperación) de sus almacenes de copias de seguridad contra eliminaciones involuntarias o malintencionadas.

  • Aplica los períodos de retención, lo que evita que los usuarios con privilegios (incluido el usuario Cuenta de AWS root) los eliminen anticipadamente y cumple con las políticas y los procedimientos de protección de datos de la organización.

Bloqueo de un almacén de copias de seguridad mediante la consola

Puede añadir un candado de bóveda a su AWS Backup bóveda mediante la consola Backup.

Para agregar un bloqueo de almacén a su almacén de copias de seguridad:

  1. Inicie sesión en y abra la AWS Backup consola en https://console.aws.amazon.com/backup. AWS Management Console

  2. En el panel de navegación, elija Almacenes de copia de seguridad. Haga clic en el enlace anidado debajo de Almacenes de copia de seguridad denominado Bloqueos de almacén.

  3. En Cómo funcionan los bloqueos de almacén o Bloqueos de almacén, haga clic en + crear bloqueo de almacén.

  4. En el panel Detalles del bloqueo de almacén, elija el almacén al que desea que se aplique el bloqueo.

  5. En Modo de bloqueo de almacenes, elija el modo en el que desea bloquear su almacén. Para obtener más información sobre cómo elegir los modos, consulte Modos de bloqueo del almacén , que aparece antes en esta página.

  6. Para el Periodo de retención, elija los periodos de retención mínimo y máximo (los periodos de retención son opcionales). Los nuevos trabajos de copia y copia de seguridad creados en el almacén darán un error si no se ajustan a los periodos de retención que haya establecido; estos periodos no se aplicarán a los puntos de recuperación que ya estén en el almacén.

  7. Si ha elegido el modo de cumplimiento, aparecerá una sección denominada Fecha de inicio del bloqueo de almacén. Si ha elegido el modo de gobernanza, esto no se mostrará y podrá omitir este paso.

    En el modo de cumplimiento, un bloqueo de almacén tiene un periodo de reflexión desde su creación hasta que el almacén y su bloqueo se vuelven inmutables e incambiables. Usted elige la duración de este periodo (denominado periodo de gracia), aunque debe ser de al menos 3 días (72 horas).

    importante

    Una vez transcurrido el periodo de gracia, el almacén y su bloqueo son inmutables. Ningún usuario ni AWS puede cambiarlo ni eliminarlo.

  8. Cuando esté satisfecho con las opciones de configuración, haga clic en Crear bloqueo de almacén.

  9. Para confirmar que desea crear este bloqueo en el modo elegido, escriba confirm en el cuadro de texto y, a continuación, marque la casilla para confirmar que la configuración es la deseada.

Si los pasos se han completado correctamente, aparecerá un banner en la parte superior de la consola que indica que el proceso se ha realizado correctamente.

Bloqueo de un almacén de copias de seguridad mediante programación

Para configurar AWS Backup Vault Lock, utilice la APIPutBackupVaultLockConfiguration. Los parámetros que se incluyan dependerán del modo de bloqueo de almacén que desee utilizar. Si desea crear un bloqueo de almacén en modo de gobernanza, no incluya ChangeableForDays. Si incluye este parámetro, el bloqueo del almacén se creará en modo de cumplimiento.

Este es una CLI de ejemplo de creación de un bloqueo de almacén en modo de cumplimiento:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Este es una CLI de ejemplo de creación de un bloqueo de almacén en modo de gobernanza:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

Puede configurar cuatro opciones.

  1. BackupVaultName

    El nombre del almacén que se va a bloquear.

  2. ChangeableForDays (se incluye solo para el modo de cumplimiento)

    Este parámetro indica AWS Backup que se cree el bloqueo del almacén en modo de conformidad. Omita este parámetro si desea crear el bloqueo en el modo de gobernanza.

    Este valor se expresa en días. Debe ser un número no inferior a 3 ni superior a 36 500; de lo contrario, se generará un error.

    Desde la creación de este bloqueo de almacén hasta el vencimiento de la fecha especificada, el bloqueo de almacén se puede quitar de la bóveda mediante DeleteBackupVaultLockConfiguration. Como alternativa, durante este tiempo, puede cambiar la configuración mediante PutBackupVaultLockConfiguration.

    A partir de la fecha especificada, determinada por este parámetro, el almacén de copias de seguridad será inmutable y no se podrá modificar ni eliminar.

  3. MaxRetentionDays (opcional)

    Es un valor numérico expresado en días. Es el periodo máximo de retención durante el cual el almacén retiene sus puntos de recuperación.

    El periodo máximo de retención que elija debe estar en consonancia con las políticas de retención de datos de su organización. Si su organización exige que los datos se retengan durante un periodo determinado, este valor se puede establecer en ese periodo (en días). Por ejemplo, es posible que sea necesario conservar los datos financieros o bancarios durante 7 años (aproximadamente 2557 días, según los años bisiestos).

    Si no se especifica, AWS Backup Vault Lock no aplicará un período máximo de retención. Si se especifica, no se podrán realizar copias ni copias de seguridad en este almacén con periodos de retención del ciclo de vida superiores al periodo máximo de retención. Los puntos de recuperación ya guardados en el almacén antes de la creación del bloqueo no se ven afectados. El periodo de retención máximo más largo que puede especificar es de 36 500 días (aproximadamente 100 años).

  4. MinRetentionDays(opcional; obligatorio para CloudFormation)

    Es un valor numérico expresado en días. Es el periodo mínimo de retención durante el cual el almacén retiene sus puntos de recuperación. Esta configuración debe ajustarse a la cantidad de tiempo que su organización está obligada a mantener los datos. Por ejemplo, si la normativa o las leyes exigen que los datos se conserven durante al menos siete años, el valor en días sería de aproximadamente 2557, según los años bisiestos.

    Si no se especifica, AWS Backup Vault Lock no aplicará un período mínimo de retención. Si se especifica, no se podrán realizar copias ni copias de seguridad en este almacén con periodos de retención del ciclo de vida inferiores al periodo mínimo de retención. Los puntos de recuperación que ya estaban guardados en la bóveda antes del bloqueo de la AWS Backup bóveda no se ven afectados. El periodo de retención mínimo más corto que puede especificar es de 1 día.

Revise la configuración de Vault Lock de una AWS Backup bóveda de respaldo

Puede revisar los detalles de AWS Backup Vault Lock de una bóveda en cualquier momento llamando DescribeBackupVault o ListBackupVaults APIs.

Para determinar si ha aplicado un bloqueo de almacén a un almacén de copias de seguridad, llama a DescribeBackupVault y comprueba la propiedad Locked. Si"Locked": true, como en el ejemplo siguiente, ha aplicado AWS Backup Vault Lock a su bóveda de respaldo.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

El resultado anterior confirma las opciones siguientes:

  1. Lockedes un booleano que indica si ha aplicado AWS Backup Vault Lock a esta bóveda de respaldo. Truesignifica que AWS Backup Vault Lock provoca un error en las operaciones de eliminación o actualización de los puntos de recuperación almacenados en el almacén (independientemente de si aún se encuentra o no en el período de gracia de reflexión).

  2. LockDate es la fecha y hora UTC en las que finaliza el periodo de gracia de reflexión. Pasado este tiempo, no podrá eliminar ni cambiar el bloqueo de este almacén. Utilice cualquier conversor de hora disponible al público para convertir esta cadena a su hora local.

Si "Locked":false, como en el ejemplo siguiente, no ha aplicado un bloqueo de almacén (o se ha eliminado uno anterior).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Eliminación del bloqueo del almacén durante el periodo de gracia (modo de cumplimiento)

Para eliminar el bloqueo del almacén durante el tiempo de gracia (es decir, después de bloquear el depósito pero antes del tuyoLockDate) mediante la AWS Backup consola,

  1. Inicie sesión en y abra la AWS Backup consola en https://console.aws.amazon.com/backup. AWS Management Console

  2. En el menú de navegación de la izquierda, en Mi cuenta, haga clic en Almacenes de copia de seguridad y, a continuación, en Bloqueo de almacén de copias de seguridad.

  3. Haga clic en el bloqueo del almacén que desee eliminar y, a continuación, en Administrar el bloqueo de almacén.

  4. Haga clic en Eliminar el bloqueo de almacén.

  5. Aparecerá un cuadro de advertencia en el que se le pedirá que confirme su intención de eliminar el bloqueo del almacén. Escriba confirm en el cuadro de texto y, a continuación, haga clic en confirmar.

Cuando todos los pasos se hayan completado correctamente, aparecerá un banner en la parte superior de la pantalla de la consola que indica que el proceso se ha realizado correctamente.

Para eliminar el bloqueo del almacén durante el periodo de gracia mediante un comando de la CLI, utilice DeleteBackupVaultLockConfiguration como en este ejemplo de CLI:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Cuenta de AWS cierre con una bóveda cerrada

Cuando cierras una Cuenta de AWS que contiene una bóveda de copias de seguridad AWS y AWS Backup suspendes tu cuenta durante 90 días con las copias de seguridad intactas. Si no vuelves a abrir tu cuenta durante esos 90 días, AWS borra el contenido del almacén de copias de seguridad, incluso si AWS Backup Vault Lock estaba activado.

Consideraciones adicionales de seguridad

AWS Backup Vault Lock añade un nivel adicional de seguridad a tu defensa en profundidad en materia de protección de datos. El bloqueo de almacenes se puede combinar con estas otras características de seguridad:

nota

AWS Backup Vault Lock no es la misma función que Amazon S3 Glacier Vault Lock, que solo es compatible con S3 Glacier.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.