Contrôles et mesures correctives - AWS Backup
Les ressources de sauvegarde sont incluses dans au moins un plan de sauvegardeFréquence minimale du plan de sauvegarde et conservation minimaleLes coffres-forts empêchent la suppression manuelle des points de récupérationLes points de récupération sont chiffrésRétention minimale établie pour le point de récupérationUne copie de sauvegarde entre régions est planifiéeUne copie de sauvegarde entre comptes est planifiéeLes sauvegardes sont protégées par AWS Backup Vault LockLe dernier point de récupération a été crééTemps de restauration des ressources pour atteindre l’objectifRessources dans un coffre hermétique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles et mesures correctives

Cette page répertorie les contrôles disponibles pour AWS Backup Audit Manager. Vous pouvez choisir le volet d'informations approprié pour afficher la liste des contrôles et accéder à un contrôle spécifique. Pour comparer rapidement les contrôles, consultez le tableau dans Choix de vos contrôles. Pour définir des contrôles par programmation, consultez les extraits de code dans Création de frameworks à l'aide du. AWS Backup API

Vous pouvez utiliser jusqu'à 50 contrôles par compte et par région. L'utilisation du même contrôle dans deux frameworks différents compte comme l'utilisation de deux contrôles de la limite de 50.

Cette page répertorie chaque contrôle avec les informations suivantes :

  • Description. Les valeurs entre crochets (« [ ] ») sont les valeurs des paramètres par défaut.

  • La ou les ressources évaluées par le contrôle.

  • Les paramètres de la commande.

  • Occasion où il y a perte de contrôle.

  • L'étendue du contrôle, comme suit :

    • Vous pouvez spécifier Ressources par type en choisissant un ou plusieurs services pris en charge par AWS Backup.

    • Vous spécifiez une étendue des Ressources balisées avec une seule clé de balise et une valeur facultative.

    • Vous pouvez spécifier une ressource unique à l'aide de la liste déroulante Ressource unique.

  • Étapes de correction pour rendre les ressources applicables conformes.

Notez que seules les ressources actives seront incluses lorsque les contrôles évalueront la conformité des ressources. Par exemple, une EC2 instance Amazon en cours d'exécution sera évaluée par le contrôle Last recovery point was created. Une EC2 instance à l'état arrêté ne sera pas incluse dans l'évaluation de conformité.

Les ressources de sauvegarde sont incluses dans au moins un plan de sauvegarde

Description : Évalue si les ressources sont incluses dans au moins un plan de sauvegarde.

Ressource : AWS Backup: backup selection

Paramètres : Aucun

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources balisées

  • Ressources par type (par défaut)

  • Ressource unique

Correction : attribuez les ressources à un plan de sauvegarde. AWS Backup protège automatiquement vos ressources une fois que vous les avez attribuées à un plan de sauvegarde. Pour plus d'informations, consultez Affectation de ressources à un plan de sauvegarde.

Fréquence minimale du plan de sauvegarde et conservation minimale

Description : évalue si les plans de sauvegarde contiennent au moins une règle de sauvegarde dont la fréquence de sauvegarde est d'au moins [1 jour] et la période de rétention est d'au moins [35 jours].

Ressource : AWS Backup: backup plans

Paramètres :

  • Fréquence de sauvegarde requise en nombre d'heures ou de jours.

  • Période de rétention requise en jours, semaines, mois ou années. Nous recommandons une période de conservation à chaud d'au moins une semaine afin de permettre AWS Backup d'effectuer des sauvegardes incrémentielles lorsque cela est possible, en évitant des frais supplémentaires.

Se produit : modifications de configuration

Portée:

  • Ressources balisées

  • Ressource unique

Correction : mettez à jour un plan de sauvegarde pour modifier sa fréquence de sauvegarde, sa période de rétention ou les deux. La mise à jour de votre plan de sauvegarde modifie la période de rétention des points de récupération créés par le plan après votre mise à jour.

Les coffres-forts empêchent la suppression manuelle des points de récupération

Description : Évalue si les coffres-forts de sauvegarde n'autorisent pas la suppression manuelle des points de restauration, sauf pour certains IAM rôles.

Ressource : AWS Backup: backup vaults

Paramètres : les Amazon Resource Names (ARNs) d'un maximum de cinq IAM rôles autorisaient la suppression manuelle de points de récupération.

Se produit : modifications de configuration

Portée:

  • Ressources balisées

  • Ressource unique

Correction : créez ou modifiez une stratégie d'accès basée sur les ressources pour un coffre-fort de sauvegarde. Pour obtenir un exemple de politique et des instructions sur la façon de définir une politique d'accès au coffre de sauvegarde, consultezRejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde.

Les points de récupération sont chiffrés

Description : évalue si les points de récupération sont chiffrés.

Ressource : AWS Backup: recovery points

Paramètres : Aucun

Se produit : modifications de configuration

Portée:

  • Ressources balisées

Correction : configurez le chiffrement pour les points de récupération. La façon dont vous configurez le chiffrement pour les points de AWS Backup récupération varie en fonction du type de ressource.

Vous pouvez configurer le chiffrement pour les types de ressources qui prennent en charge AWS Backup la gestion complète lors de l'utilisation AWS Backup. Si le type de ressource ne prend pas en charge AWS Backup la gestion complète, vous devez configurer son chiffrement de sauvegarde en suivant les instructions de ce service, telles que le EBSchiffrement Amazon dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud. Pour consulter la liste des types de ressources qui prennent en charge la AWS Backup gestion complète, consultez la section «  AWS Backup  Gestion complète » du Disponibilité des fonctionnalités par ressource tableau.

Rétention minimale établie pour le point de récupération

Description : évalue si la période de rétention du point de récupération est d'au moins [35 jours].

Ressource : AWS Backup: recovery points

Paramètres : période de rétention du point de récupération requise en jours, semaines, mois ou années. Nous recommandons une période de conservation à chaud d'au moins une semaine afin de permettre AWS Backup d'effectuer des sauvegardes incrémentielles lorsque cela est possible, en évitant des frais supplémentaires.

Se produit : modifications de configuration

Portée:

  • Ressources balisées

Correction : modifiez les périodes de rétention de vos points de récupération. Pour plus d'informations, consultez Modification d'une sauvegarde.

Une copie de sauvegarde entre régions est planifiée

Description : Évalue si une ressource est configurée pour créer des copies de ses sauvegardes AWS dans une autre région.

Ressource : AWS Backup: backup selection

Paramètres :

  • Sélectionnez le Région AWS ou les endroits où la copie de sauvegarde doit exister (facultatif)

  • Région

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources balisées

  • Ressources par type

  • Ressource unique

Correction : mettez à jour un plan de sauvegarde pour modifier l' Région AWS endroit où la copie de sauvegarde doit se trouver.

Une copie de sauvegarde entre comptes est planifiée

Description : évalue si une ressource est configurée pour créer des copies de ses sauvegardes vers un autre compte. Vous pouvez ajouter jusqu'à 5 comptes pour que le contrôle soit évalué. Le compte de destination doit se trouver dans la même organisation que le compte source dans AWS Organizations.

Ressource : AWS Backup: backup selection

Paramètres :

  • Sélectionnez le ou les ID de AWS compte sur lesquels la copie de sauvegarde doit exister (facultatif)

  • ID de compte

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources balisées

  • Ressources par type

  • Ressource unique

Correction : mettez à jour un plan de sauvegarde pour modifier ou ajouter le ou les identifiants de AWS compte sur lesquels la copie doit se trouver.

Les sauvegardes sont protégées par AWS Backup Vault Lock

Description : évalue si une ressource possède des sauvegardes immuables stockées dans un coffre-fort de sauvegarde verrouillé.

Ressource : AWS Backup: backup selection

Paramètres :

  • Entrez les jours de rétention minimum et maximum pour AWS Backup Vault Lock (facultatif)

  • Nombre minimum de jours de rétention

  • Nombre maximum de jours de rétention

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources balisées

  • Ressources par type

  • Ressource unique

Correction : verrouillez un coffre-fort de sauvegarde pour définir son nom, modifiez ses jours de rétention minimum ou maximum, ou les deux. Peut également inclure ChangeableForDays pour un verrouillage de coffre-fort en mode conformité.

Le dernier point de récupération a été créé

Description : ce contrôle évalue si un point de récupération a été créé dans le délai spécifié (en jours ou en heures).

Le contrôle est conforme si un point de récupération de la ressource a été créé dans le délai spécifié. Le contrôle n'est pas conforme si aucun point de récupération n'a été créé dans le nombre de jours ou d'heures spécifié.

Ressource : AWS Backup: recovery points

Paramètres :

  • Entrez le délai spécifié en nombres entiers, en heures ou en jours.

  • Les valeurs hours peuvent être comprises entre 1 et 744.

  • Les valeurs days peuvent être comprises entre 1 et 31.

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources balisées

  • Ressources par type

  • Ressource unique

Correction:

Temps de restauration des ressources pour atteindre l’objectif

Description : évalue si la restauration des ressources protégées est terminée dans le délai de restauration cible.

Ce contrôle vérifie si le temps de restauration d’une ressource donnée correspond à la durée cible. La règle est NON _ COMPLIANT si LatestRestoreExecutionTimeMinutes la valeur d'un type de ressource est supérieure maxRestoreTime à celle exprimée en minutes.

Paramètres :

  • maxRestoreTime (en minutes)

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources balisées

  • Ressources par type

  • Ressource unique

Note

AWS Backup ne fournit aucun accord de niveau de service (SLAs) pour une durée de restauration. Les temps de restauration peuvent varier en fonction de la charge et de la capacité du système, même pour les restaurations contenant les mêmes ressources.

Ressources dans un coffre hermétique

Description : Ce contrôle évalue si les ressources ont au moins un point de récupération copié dans un coffre-fort logiquement espacé dans les limites de la valeur et du délai spécifiés. Ce contrôle est égal à NON _ COMPLIANT si aucun point de récupération n'a été copié dans un coffre-fort isolé de manière logique dans le délai configuré pour le contrôle.

Ressource : AWS Backup: recovery points

Paramètres :

  • recoveryPointAgeValue

  • recoveryPointAgeUnit

Entrez la période. Spécifiez l'unité dans days ouhours. Spécifiez une valeur pour cette unité. Les valeurs des heures peuvent être comprises entre 24 et 2184 inclusivement. Les valeurs des jours peuvent être comprises entre 1 et 91 inclusivement.

Une valeur minimale de 7 jours ou 168 d'heures est recommandée. La valeur de contrôle ne doit pas être plus fréquente que la fréquence de création de copies de votre plan de sauvegarde ; dans le cas contraire, vous risquez de voir un NON_COMPLIANT état inattendu jusqu'à ce que votre prochaine sauvegarde soit copiée dans un coffre-fort séparé de manière logique et que ce contrôle soit exécuté.

Se produit : automatiquement toutes les 24 heures

Portée:

  • Ressources par type

  • Ressource unique