Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de frameworks d'audit
Un *framework* est un ensemble de contrôles qui vous aide à évaluer vos pratiques de sauvegarde. Vous pouvez utiliser des contrôles personnalisables prédéfinis pour définir vos politiques et évaluer si vos pratiques de sauvegarde sont conformes à vos politiques. Vous pouvez également configurer des rapports quotidiens automatiques pour obtenir des informations sur le statut de conformité de vos frameworks.
Chaque cadre s'applique à un seul compte et Région AWS. Vous pouvez déployer un maximum de 15 frameworks par compte et par région. Vous ne pouvez pas déployer de frameworks dupliqués (cadres contenant les mêmes contrôles et paramètres).
Il existe deux types différents de frameworks :
+ Le **framework AWS Backup ** (recommandé) : utilisez le framework AWS Backup pour déployer tous les contrôles disponibles afin de surveiller votre activité de sauvegarde, votre couverture et vos ressources par rapport aux bonnes pratiques que nous recommandons.
+ Un **framework personnalisé** que vous définissez : utilisez un framework personnalisé pour choisir un ou plusieurs contrôles spécifiques et pour personnaliser les paramètres de contrôle.
**Topics**
+ [Choix de vos contrôles](choosing-controls.md)
+ [Activation du suivi des ressources](turning-on-resource-tracking.md)
+ [Création de frameworks à l'aide de la AWS Backup console](creating-frameworks-console.md)
+ [Création de frameworks à l'aide de l' AWS Backup API](creating-frameworks-api.md)
+ [Affichage du statut de conformité du framework](viewing-frameworks.md)
+ [Recherche de ressources non conformes](finding-non-compliant-resources.md)
+ [Mise à jour de frameworks d'audit](updating-frameworks.md)
+ [Suppression de frameworks d'audit](deleting-frameworks.md)
# Choix de vos contrôles
Le tableau suivant répertorie les contrôles AWS Backup Audit Manager, leurs paramètres personnalisables et leurs types de ressources AWS Config d'enregistrement.
**Contrôles disponibles**
| Nom du contrôle | Description du contrôle | Paramètres personnalisables | AWS Config type de ressource d'enregistrement |
| --- | --- | --- | --- |
| Les ressources de sauvegarde sont incluses dans au moins un plan de sauvegarde | Évalue si les ressources sont incluses dans au moins un plan de sauvegarde. | Aucune | AWS Backup: backup selection |
| Le plan de sauvegarde a une fréquence minimale et une rétention minimale | Évalue si la fréquence des sauvegardes est d'au moins [1 jour] et si la période de rétention est d'au moins [35 jours]. | Fréquence de sauvegarde ; période de rétention | AWS Backup: backup plans |
| Les coffres-forts empêchent la suppression manuelle des points de récupération | Évalue si les coffres-forts de sauvegarde n'autorisent pas la suppression manuelle des points de restauration, sauf pour certains rôles Gestion des identités et des accès AWS (IAM). Par défaut, il n'existe aucune exception de rôle IAM. Il n'existe pas non plus d'exception au rôle IAM lorsque vous déployez ce contrôle avec le AWS Backup framework. | Jusqu'à 5 rôles IAM permettant la suppression manuelle des points de récupération | AWS Backup: backup vaults |
| Les points de récupération sont chiffrés | Évalue si les points de récupération sont chiffrés. | Aucune | AWS Backup: recovery points |
| Rétention minimale établie pour le point de récupération | Évalue si la période de rétention du point de récupération est d'au moins [35 jours]. | Période de rétention du point de récupération | AWS Backup: recovery points |
| Une copie de sauvegarde entre régions est planifiée | Évalue si une ressource est configurée pour créer des copies de ses sauvegardes vers une autre Région AWS. | Région AWS | AWS Backup: backup selection |
| Une copie de sauvegarde entre comptes est planifiée | Évalue si une copie de sauvegarde entre comptes est configurée pour une ressource. | AWS ID de compte | AWS Backup: backup selection |
| Les ressources se trouvent dans un plan de sauvegarde avec un AWS Backup coffre-fort verrouillé | Évalue si une ressource dispose d'un plan de sauvegarde configuré pour stocker les sauvegardes dans un coffre de sauvegarde verrouillé. | Nombre minimum de jours de rétention ; nombre maximal de jours de rétention | AWS Backup: backup selection |
| Le dernier point de récupération a été créé | Évalue si un point de récupération a été créé dans le délai spécifié. | Valeur en heures [1 à 744] ou en jours [1 à 31]. | AWS Backup recovery points |
| Temps de restauration des ressources pour atteindre l’objectif | Évalue si la tâche de tests de la restauration s’est terminée dans le délai de restauration cible | Valeur en minutes | Aucune |
| Les ressources se trouvent dans un coffre hermétique logiquement | Évalue si les ressources ont au moins un point de récupération copié dans un coffre-fort logiquement isolé dans les limites de la valeur et du délai spécifiés. | Valeur en minutes, heures ou jours | AWS Backup: recovery points |
Pour plus d'informations sur ces contrôles, consultez [Contrôles et mesures correctives](controls-and-remediation.md).
Pour obtenir la liste des ressources AWS Backup prises en charge qui ne prennent pas en charge tous les contrôles, consultez la section AWS Backup Audit Manager du [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) tableau.
**Note**
Si vous ne souhaitez utiliser aucune des commandes précédentes, vous pouvez toujours utiliser AWS Backup Audit Manager pour créer des rapports quotidiens sur vos tâches de sauvegarde, de copie et de restauration. Consultez [Utilisation des rapports d'audit](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-audit-reports.html).
# Activation du suivi des ressources
Avant de créer votre premier framework lié à la conformité, vous devez activer le suivi des ressources. Cela permet AWS Config de suivre vos AWS Backup ressources. Pour obtenir de la documentation technique sur la gestion du suivi des ressources, consultez la section [Configuration à l' AWS Config aide de la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) dans le *guide du AWS Config développeur*.
Des frais s'appliquent lorsque vous activez le suivi des ressources. Pour plus d'informations sur le suivi des ressources, la tarification et la facturation pour AWS Backup Audit Manager, consultez la section [Comptage, coûts et facturation](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html).
**Topics**
+ [Activation du suivi des ressources à l'aide de la console](#turning-on-resource-tracking-console)
+ [Activer le suivi des ressources à l'aide de AWS Command Line Interface (AWS CLI)](#turning-on-resource-tracking-cli)
+ [Activer le suivi des ressources à l'aide d'un CloudFormation modèle](#turning-on-resource-tracking-cfn)
## Activation du suivi des ressources à l'aide de la console
**Pour activer le suivi des ressources à l'aide de la console :**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le volet de navigation de gauche, sous **Audit Manager**, choisissez **Cadres**.
1. Activez le suivi des ressources en choisissant **Gérer le suivi des ressources**.
1. Choisissez **Accéder aux AWS Config paramètres**.
1. Choisissez **Activer ou désactiver l'enregistrement**.
1. Choisissez **Activer** l'enregistrement pour tous les types de ressources suivants ou choisissez d'activer l'enregistrement pour certains types de ressources. Consultez [Contrôles et corrections d'AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) pour savoir quels types de ressources sont requis pour vos contrôles.
+ `AWS Backup: backup plans`
+ `AWS Backup: backup vaults`
+ `AWS Backup: recovery points`
+ `AWS Backup: backup selection`
1. Choisissez **Fermer**.
1. Attendez que la bannière bleue avec le texte **Activation du suivi des ressources** se transforme en bannière verte avec le texte **Le suivi des ressources est activé**.
Vous pouvez vérifier si vous avez activé le suivi des ressources et, dans l'affirmative, quels types de ressources vous enregistrez, à deux endroits de la AWS Backup console. Dans le volet de navigation de gauche, vous avez deux options :
+ Choisissez **Cadres**, puis choisissez le texte sous **Statut de l'enregistreur AWS Config **.
+ Choisissez **Paramètres**, puis choisissez le texte sous **Statut de l'enregistreur AWS Config **.
## Activer le suivi des ressources à l'aide de AWS Command Line Interface (AWS CLI)
Si vous n'êtes pas encore inscrit AWS Config, il peut être plus rapide de le faire en utilisant le. AWS CLI
**Pour activer le suivi des ressources à l'aide de l' AWS CLI :**
1. Tapez la commande suivante pour déterminer si vous avez déjà activé votre enregistreur AWS Config .
```
$ aws configservice describe-configuration-recorders
```
1. Si votre liste `ConfigurationRecorders` est vide comme ceci :
```
{
"ConfigurationRecorders": []
}
```
Votre enregistreur n'est pas activé. Passez à l'étape 2 pour créer votre enregistreur.
1. Si vous avez déjà activé l'enregistrement pour toutes les ressources, votre sortie `ConfigurationRecorders` ressemblera à ceci :
```
{
"ConfigurationRecorders":[
{
"recordingGroup":{
"allSupported":true,
"resourceTypes":[
],
"includeGlobalResourceTypes":true
},
"roleARN":"arn:aws:iam::[account]:role/[roleName]",
"name":"default"
}
]
}
```
Comme vous avez activé toutes les ressources, vous avez déjà activé le suivi des ressources. Il n'est pas nécessaire de suivre le reste de cette procédure pour utiliser AWS Backup Audit Manager.
1. Créez un AWS Config enregistreur avec les types de ressources AWS Backup Audit Manager
```
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"
```
1. Décrivez votre AWS Config enregistreur.
```
$ aws configservice describe-configuration-recorders
```
Vérifiez qu'il possède les types de ressources AWS Backup Audit Manager en comparant votre sortie avec la sortie attendue suivante.
```
{
"ConfigurationRecorders":[
{
"name":"default",
"roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
"recordingGroup":{
"allSupported":false,
"includeGlobalResourceTypes":false,
"resourceTypes":[
"AWS::Backup::BackupPlan",
"AWS::Backup::BackupSelection",
"AWS::Backup::BackupVault",
"AWS::Backup::RecoveryPoint"
]
}
}
]
}
```
1. Créez un compartiment Amazon S3 comme destination pour stocker les fichiers AWS Config de configuration.
```
$ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1
```
1. *policy.json*À utiliser pour accorder AWS Config l'autorisation d'accéder à votre bucket. Consultez l'exemple suivant*policy.json*.
```
$ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AWSConfigBucketPermissionsCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketExistenceCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketDelivery",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Configurez votre bucket comme canal AWS Config de distribution
```
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket
```
1. Activer AWS Config l'enregistrement
```
$ aws configservice start-configuration-recorder --configuration-recorder-name default
```
1. Vérifiez que `"FrameworkStatus":"ACTIVE"` se trouve dans la dernière ligne de votre sortie `DescribeFramework` comme suit.
```
$ aws backup describe-framework --framework-name test --region us-east-1
```
```
{
"FrameworkName":"test",
"FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
"FrameworkDescription":"",
"FrameworkControls":[
{
"ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredFrequencyUnit",
"ParameterValue":"hours"
},
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"35"
},
{
"ParameterName":"requiredFrequencyValue",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":[
],
"ControlScope":{
}
}
],
"CreationTime":1633463605.233,
"DeploymentStatus":"COMPLETED",
"FrameworkStatus":"ACTIVE"
}
```
## Activer le suivi des ressources à l'aide d'un CloudFormation modèle
Pour un CloudFormation modèle qui active le suivi des ressources, consultez la section [Utilisation AWS Backup d'Audit Manager avec CloudFormation](https://docs.aws.amazon.com/aws-backup/latest/devguide/bam-cfn-integration.html).
# Création de frameworks à l'aide de la AWS Backup console
Après avoir activé le suivi des ressources, créez un framework en suivant les étapes ci-dessous.
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le volet de navigation de gauche, choisissez **Cadres**.
1. Choisissez **Créer un cadre**.
1. Pour **Nom du cadre**, entrez un nom unique. Ce nom de framework doit contenir entre 1 et 256 caractères, commencer par une lettre et être composé de lettres (a à z, A à Z), de chiffres (0 à 9) et de traits de soulignement (\$1).
1. (Facultatif) Entrez une **Description du cadre**.
1. Dans **Contrôles**, vos contrôles actifs seront affichés. Par défaut, tous les contrôles éligibles à une ressource sont répertoriés.
Pour modifier les contrôles actifs, cliquez sur **Modifier les contrôles**.
1. La première case à cocher indique si le contrôle est activé. Pour désactiver un contrôle, décochez la case.
1. Sous **Choisir les ressources à évaluer**, vous pouvez sélectionner le mode de sélection des ressources, soit par type, soit par balise, soit par ressource unique.
La liste des [contrôles d'AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) décrit les options de personnalisation pour chaque contrôle.
1. (Facultatif) Balisez votre framework en choisissant **Ajouter une nouvelle balise**. Vous pouvez utiliser des balises pour rechercher et filtrer vos frameworks ou suivre vos coûts.
1. Choisissez **Créer un cadre**.
AWS Backup Audit Manager peut prendre plusieurs minutes pour créer le framework.
Si l'erreur `AlreadyExists` se produit, un framework avec les mêmes contrôles et paramètres existe déjà. Pour créer correctement un nouveau framework, au moins un contrôle ou paramètre doit être différent des frameworks existants.
# Création de frameworks à l'aide de l' AWS Backup API
Le tableau suivant contient des exemples de demandes d'API pour [CreateFramework](API_CreateFramework.md) pour chaque contrôle, ainsi que des exemples de réponses d'API aux demandes [DescribeFramework](API_DescribeFramework.md) correspondantes. Pour utiliser AWS Backup Audit Manager par programmation, vous pouvez vous référer à ces extraits de code.
****
| Contrôle | Demande d'`CreateFramework` | Réponse de `DescribeFramework` |
| --- | --- | --- |
| Backup resources are included in at least one backup plan | {"FrameworkName": "Control1",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"] // Evaluate only RDS instances
}
}
],
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control1",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control1-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup plan minimum frequency and minimum retention | {"FrameworkName": "Control2",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"} // Evaluate backup plans that tagged with "key1": "prod".
}
}
],
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control2",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"}
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} |
| Vaults prevent manual deletion of recovery points | {"FrameworkName": "Control3",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control3",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} |
| Minimum retention established for recovery point | {"FrameworkName": "Control4",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {} // Default scope (no scope input) sets scope to all recovery points.
}
],
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control4",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-6e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup recovery points are encrypted | {"FrameworkName": "Control5",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {} // Default scope (no scope input) is all recovery points
}
],
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control5",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-7e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-Region backup copy is scheduled | {"FrameworkName": "Control6",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control6",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-account backup copy is scheduled | {"FrameworkName": "Control7",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control7",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} |
| Resources are in a backup plan with an AWS Backup Vault Lock | {"FrameworkName": "Control8",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control8",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control8-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} |
| Last recovery point was created | {"FrameworkName": "Control9",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control9",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} |
| Restore time for resources meet target | {"FrameworkName":"Control10",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[
{
"ParameterName":"maxRestoreTime",
"ParameterValue":"720"
}
],
"ControlScope":{
"ComplianceResourceIds":[
],
"ComplianceResourceTypes":[
"DynamoDB" // Evaluates only DynamoDB databases
]
}
}
]"IdempotencyToken":"Control10",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control10",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control10",
"FrameworkTags":
{"key1": "foo"}
} |
| RESOURCES\$1IN\$1LOGICALLY\$1AIR\$1GAPPED\$1VAULT | {"FrameworkName":"Control11",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT",
"ControlInputParameters":[
{
"ParameterName":"recoveryPointAgeValue",
"ParameterValue":"10"
}
{
"ParameterName":"recoveryPointAgeUnit",
"ParameterValue":"days"
}
],
"ControlScope":{
"ComplianceResourceTypes":[
"EC2"
]
}
}
]"IdempotencyToken":"Control11",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control11",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control11-ab1234cd-5e67-89fg-06a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2","EBS"]
}
}
],
"CreationTime": 1726087776.316,
"DeploymentStatus": "COMPLETED",
"FrameworkStatus": "ACTIVE",
"IdempotencyToken": "Control11",
"FrameworkTags":
{"key1": "foo"}
} |
# Affichage du statut de conformité du framework
Une fois que vous avez créé un framework d'audit, il apparaît dans votre tableau **Cadres**. Vous pouvez consulter ce tableau en choisissant **Frameworks** dans le volet de navigation de gauche de la AWS Backup console. Pour consulter les résultats de l'audit de votre framework, choisissez son **Nom du cadre**. Vous accédez ainsi à la page **Détails du cadre**, qui comporte deux sections : **Résumé** et **Contrôles**.
La section **Résumé** répertorie les statuts suivants de gauche à droite :
+ Le **Statut de conformité** est le statut de conformité global de votre framework d'audit, tel que déterminé par le statut de conformité de chacun de ses contrôles. Le statut de conformité de chaque contrôle est déterminé par le statut de conformité de chaque ressource qu'il évalue.
Le statut de conformité du framework est `Compliant` si toutes les ressources concernées par vos évaluations de contrôle ont validé ces évaluations. Si une ou plusieurs ressources échouent à une évaluation de contrôle, le statut de conformité sera `Non-Compliant`. Pour en savoir plus sur comment rechercher vos ressources non conformes, consultez [Recherche de ressources non conformes](https://docs.aws.amazon.com/aws-backup/latest/devguide/finding-non-compliant-resources.html). Pour en savoir plus sur comment rendre vos ressources conformes, consultez la section sur les corrections dans [Contrôles et corrections d'AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ Le **Statut du cadre** indique si vous avez activé le suivi des ressources pour toutes vos ressources. Les statuts possibles sont les suivants :
+ `Active` lorsque l'enregistrement est activé pour toutes les ressources que le framework évalue.
+ `Partially active` lorsque l'enregistrement est désactivé pour au moins une ressource que le framework évalue.
+ `Inactive` lorsque l'enregistrement est désactivé pour toutes les ressources que le framework évalue.
+ `Unavailable`lorsque AWS Backup Audit Manager n'est pas en mesure de valider le statut de l'enregistrement pour le moment.
**Pour corriger un statut `Partially active` ou `Inactive`**
1. Choisissez **Cadres** dans le volet de navigation de gauche.
1. Choisissez **Gérer le suivi des ressources**.
1. Suivez les instructions affichées dans la fenêtre contextuelle pour activer l'enregistrement qui n'était pas activé auparavant pour vos types de ressources.
Pour plus d'informations sur les types de ressources qui nécessitent un suivi des ressources en fonction des contrôles que vous avez inclus dans vos frameworks, consultez le composant de ressources [Contrôles et corrections d'AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ Le **Statut du déploiement** fait référence au statut de déploiement de votre framework. Ce statut doit le plus souvent être `Completed`, mais peut également être `Create in progress`, `Update in progress`, `Delete in progress` et `Failed`.
+ Un statut `Failed` signifie que le framework ne s'est pas déployé correctement. [Supprimer le cadre](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html), puis recréez-le via la [console AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-console.html) ou via l'[API AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html).
+ Les **Contrôles conformes** indiquent le nombre de contrôles du framework, toutes les évaluations ayant réussi.
+ Les **Contrôles non conformes** indiquent le nombre de contrôles du framework avec au moins une évaluation ayant échoué.
La section **Contrôles** affiche les informations suivantes :
+ Le **Statut du contrôle** fait référence au statut de conformité de chaque contrôle. Un contrôle peut être `Compliant`, ce qui signifie que toutes les ressources réussissent cette évaluation, `Non-compliant`, ce qui signifie qu'au moins une ressource n'a pas réussi cette évaluation, ou `Insufficient data`, ce qui signifie que le contrôle n'a trouvé aucune ressource à évaluer dans le cadre de l'évaluation.
+ La **Portée de l'évaluation** peut limiter chaque contrôle à un ou plusieurs **Types de ressources**, à un **ID de ressource** ou à une **Clé de balise** et à une **Valeur de balise**, en fonction de la manière dont vous avez personnalisé votre contrôle lors de la création de votre framework d'audit. Si tous les champs sont vides (comme indiqué par un tiret, « - »), le contrôle évalue toutes les ressources applicables.
# Recherche de ressources non conformes
AWS Backup Audit Manager vous aide à identifier les ressources non conformes de deux manières.
+ Lorsque vous [affichez le statut de conformité du cadre](https://docs.aws.amazon.com/aws-backup/latest/devguide/viewing-frameworks.html), choisissez le nom du contrôle dans la section **Détails**. Cela vous amène à la AWS Config console, où vous pouvez consulter la liste de vos `Non-Compliant` ressources.
+ Après avoir [créé un plan de rapport avec le modèle de conformité des ressources](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html) qui inclut votre framework, vous pouvez [afficher votre rapport](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-reports.html) pour identifier toutes vos ressources `Non-Compliant` sur tous vos contrôles.
En outre, votre `Resource compliance report` indique la dernière fois qu' AWS Backup Audit Manager a évalué chacun de vos contrôles.
# Mise à jour de frameworks d'audit
Vous pouvez mettre à jour la description, les contrôles et les paramètres d'un framework d'audit existant.
**Pour mettre à jour un framework existant**
1. Dans le volet de navigation de gauche de la AWS Backup console, choisissez **Frameworks**.
1. Choisissez le framework que vous souhaitez modifier par son **Nom du cadre**.
1. Choisissez **Modifier**.
# Suppression de frameworks d'audit
**Pour supprimer un framework existant**
1. Dans le volet de navigation de gauche de la AWS Backup console, choisissez **Frameworks**.
1. Choisissez le framework que vous souhaitez supprimer par son **Nom du cadre**.
1. Sélectionnez **Delete (Supprimer)**.
1. Tapez le nom de votre framework et choisissez **Supprimer le cadre**.