Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Backup Kunci Lemari Brankas
<a name="vault-lock"></a>

**catatan**  
AWS Backup Vault Lock telah dinilai oleh Cohasset Associates untuk digunakan di lingkungan yang tunduk pada peraturan SEC 17a-4, CFTC, dan FINRA. Untuk informasi selengkapnya tentang bagaimana AWS Backup Vault Lock berhubungan dengan peraturan ini, lihat Penilaian Kepatuhan [Cohasset Associates](samples/cohassetreport.zip).

AWS Backup Vault Lock adalah fitur opsional dari brankas cadangan, yang dapat membantu memberi Anda keamanan dan kontrol tambahan atas brankas cadangan Anda. Ketika kunci aktif dalam mode Kepatuhan dan waktu tenggang berakhir, konfigurasi vault tidak dapat diubah atau dihapus oleh pelanggan, account/data pemilik, atau AWS selama berisi titik pemulihan. Setiap lemari besi dapat memiliki satu kunci brankas di tempatnya.

AWS Backup memastikan bahwa cadangan Anda tersedia untuk Anda sampai mereka mencapai berakhirnya periode retensi mereka. Jika ada pengguna (termasuk pengguna root) yang mencoba menghapus cadangan atau mengubah properti siklus hidup di brankas yang terkunci, AWS Backup akan menolak operasi.
+ Vault yang terkunci dalam **mode tata kelola** dapat menghapus kunci oleh pengguna dengan izin IAM yang memadai.
+ Vault yang terkunci dalam **mode kepatuhan** *tidak dapat dihapus* setelah periode pendinginan (” **waktu tenggang** “) berakhir jika ada titik pemulihan yang ada di brankas. Selama waktu tenggang, Anda masih dapat menghapus kunci brankas dan mengubah konfigurasi kunci.

**Awas**  
Setelah waktu tenggang berakhir, brankas dan kuncinya tidak dapat diubah dan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS Pencadangan dalam brankas yang terkunci tidak dapat dihapus hingga siklus hidupnya selesai, menghasilkan biaya tetap jika Anda tidak berhati-hati. Misalnya, pastikan tidak ada titik pemulihan dengan periode retensi yang diatur ke “selalu” — setelah waktu tenggang berakhir, titik pemulihan ini akan dipertahankan selamanya dan tidak dapat diubah atau dihapus.

## Mode kunci vault
<a name="backup-vault-lock-modes"></a>

Saat Anda membuat kunci vault, Anda memiliki dua pilihan mode: Mode **tata kelola atau mode** **Kepatuhan**. Mode tata kelola dimaksudkan untuk memungkinkan brankas dikelola hanya oleh pengguna dengan hak istimewa IAM yang memadai. Mode tata kelola membantu organisasi memenuhi persyaratan tata kelola, memastikan hanya personel yang ditunjuk yang dapat membuat perubahan pada brankas cadangan. Mode kepatuhan ditujukan untuk brankas cadangan di mana brankas (dan dengan ekstensi, isinya) diharapkan tidak akan pernah dihapus atau diubah hingga periode penyimpanan data selesai. Setelah brankas dalam mode kepatuhan terkunci, itu tidak **dapat diubah**, artinya kunci *tidak dapat dihapus* (brankas itu sendiri dapat dihapus jika kosong dan tidak berisi titik pemulihan apa pun).

Vault yang terkunci dalam Mode tata kelola dapat dikelola atau dihapus oleh pengguna yang memiliki izin IAM yang sesuai.

Kunci brankas dalam mode Kepatuhan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS Kunci brankas dalam mode kepatuhan memiliki masa tenggang yang Anda atur sebelum terkunci dan konten serta kunci brankas menjadi tidak dapat diubah.

## Manfaat kunci vault
<a name="backup-vault-lock-benefits"></a>

AWS Backup Vault Lock memberikan beberapa manfaat, antara lain:
+ Konfigurasi WORM (*tulis-sekali, baca-banyak*) untuk semua cadangan yang Anda simpan dan buat di brankas cadangan.
+ Lapisan pertahanan tambahan yang melindungi cadangan (titik pemulihan) di brankas cadangan Anda dari penghapusan yang tidak disengaja atau berbahaya.
+ Penegakan periode retensi, yang mencegah penghapusan dini oleh pengguna istimewa (termasuk pengguna Akun AWS root), dan memenuhi kebijakan dan prosedur perlindungan data organisasi Anda.

## Kunci brankas cadangan menggunakan konsol
<a name="lock-backup-vault-console"></a>

Anda dapat menambahkan kunci vault ke AWS Backup Vault menggunakan konsol Backup.

Untuk menambahkan kunci vault ke brankas cadangan Anda:

1. Masuk ke Konsol Manajemen AWS, dan buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, temukan Brankas **Cadangan**. **Klik tautan yang bersarang di bawah Brankas Cadangan yang disebut kunci Vault.**

1. Di bawah **Cara kerja kunci vault** atau kunci **Vault, klik \$1 Buat kunci** **vault**.

1. Di panel **Detail kunci Vault**, pilih brankas mana yang ingin Anda gunakan untuk mengunci.

1. Di bawah **mode kunci Vault pilih mode** mana Anda ingin brankas Anda terkunci. Untuk informasi selengkapnya tentang memilih mode, lihat [Mode kunci Vault](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes) sebelumnya di halaman ini.

1. Untuk **periode Retensi**, pilih periode retensi minimum dan maksimum (periode retensi adalah *opsional*). Pekerjaan pencadangan dan penyalinan baru yang dibuat di vault akan gagal jika tidak sesuai dengan periode penyimpanan yang Anda tetapkan; periode ini tidak akan berlaku untuk titik pemulihan yang sudah ada di brankas. Titik pemulihan yang ada di lemari besi sebelum kunci vault diaktifkan akan mengikuti pengaturan siklus hidup sebelumnya.

1. Jika Anda memilih mode kepatuhan, bagian yang disebut **Tanggal mulai kunci Vault** akan ditampilkan. Jika Anda memilih mode Tata Kelola, ini tidak akan ditampilkan, dan langkah ini dapat dilewati.

   Dalam mode kepatuhan, kunci brankas memiliki periode pendinginan dari pembuatan kunci lemari besi hingga lemari besi dan kuncinya menjadi tidak dapat diubah dan tidak dapat diubah. Anda memilih durasi periode ini (disebut **waktu tenggang**), meskipun harus *minimal* 3 hari (72 jam).
**penting**  
Setelah waktu tenggang berakhir, brankas dan kuncinya tidak dapat diubah dan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS

1. Bila Anda puas dengan pilihan konfigurasi, klik **Create vault lock**.

1. Untuk mengonfirmasi bahwa Anda ingin membuat kunci ini dalam mode yang dipilih, ketik `confirm` kotak teks, lalu centang kotak yang mengakui konfigurasi sebagaimana dimaksud.

Jika langkah-langkah telah berhasil diselesaikan, spanduk “Sukses” akan muncul di bagian atas konsol.

## Kunci brankas cadangan secara terprogram
<a name="lock-backup-vault-cli"></a>

Untuk mengonfigurasi AWS Backup Vault Lock, gunakan API`[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`. Parameter yang akan disertakan akan tergantung pada mode kunci vault mana yang Anda inginkan. Jika Anda ingin membuat kunci brankas dalam mode tata kelola, **jangan** sertakan. `ChangeableForDays` Jika parameter ini disertakan, kunci vault akan dibuat dalam mode kepatuhan.

Berikut adalah contoh CLI dari pembuatan kunci vault mode kepatuhan:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30
```

Berikut adalah contoh CLI dari pembuatan kunci brankas mode tata kelola:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30
```

Anda dapat mengkonfigurasi empat opsi. 

1. `BackupVaultName`

   Nama lemari besi untuk dikunci.

1. `ChangeableForDays`(termasuk *hanya* untuk mode kepatuhan)

   Parameter ini menginstruksikan AWS Backup untuk membuat kunci vault dalam mode **kepatuhan**. Hilangkan parameter ini jika Anda bermaksud membuat kunci dalam mode **tata kelola.**

   Nilai ini dinyatakan dalam beberapa hari. Itu harus angka tidak kurang dari 3 dan tidak lebih dari 36.500; jika tidak, kesalahan akan kembali.

   Dari pembuatan kunci brankas ini hingga berakhirnya tanggal yang ditentukan, kunci vault dapat dihapus dari lemari besi menggunakan. `DeleteBackupVaultLockConfiguration` Atau, selama waktu ini, Anda dapat mengubah konfigurasi menggunakan`PutBackupVaultLockConfiguration`.

   Pada dan setelah tanggal yang ditentukan ditentukan oleh parameter ini, brankas cadangan akan tidak dapat diubah dan tidak dapat diubah atau dihapus.

1. `MaxRetentionDays`*(opsional)*

   Ini adalah nilai numerik yang dinyatakan dalam hari. Ini adalah periode retensi maksimum dimana brankas mempertahankan titik pemulihannya.

   Kerangka waktu retensi maksimum yang Anda pilih harus selaras dengan kebijakan organisasi Anda untuk menyimpan data. Jika organisasi Anda menginstruksikan data untuk disimpan selama suatu periode, nilai ini dapat diatur ke periode tersebut (dalam beberapa hari). Misalnya, data keuangan atau perbankan mungkin diperlukan untuk disimpan selama 7 tahun (sekitar 2.557 hari, tergantung pada tahun kabisat).

   Jika tidak ditentukan, AWS Backup Vault Lock tidak akan menerapkan periode retensi maksimum. Jika ditentukan, cadangan dan salin pekerjaan ke vault ini dengan periode retensi siklus hidup yang lebih lama dari periode retensi maksimum akan gagal. Titik pemulihan yang sudah disimpan di brankas sebelum pembuatan kunci vault tidak terpengaruh. Periode retensi maksimum terpanjang yang dapat Anda tentukan adalah 36500 hari (sekitar 100 tahun).

1. `MinRetentionDays`(*opsional*; diperlukan untuk CloudFormation)

   Ini adalah nilai numerik yang dinyatakan dalam hari. Ini adalah periode retensi minimum dimana vault mempertahankan titik pemulihannya. Pengaturan ini harus diatur ke jumlah waktu organisasi Anda *diperlukan* untuk memelihara data. Misalnya, jika peraturan atau undang-undang mengharuskan data disimpan setidaknya selama tujuh tahun, nilainya dalam hari akan menjadi sekitar 2.557, tergantung pada tahun kabisat.

   Jika tidak ditentukan, AWS Backup Vault Lock tidak akan memberlakukan periode retensi minimum. Jika ditentukan, cadangan dan salin pekerjaan ke vault ini dengan periode retensi siklus hidup yang lebih pendek dari periode retensi minimum akan gagal. Titik pemulihan yang sudah disimpan di brankas sebelum AWS Backup Vault Lock tidak terpengaruh. Periode retensi minimum terpendek yang dapat Anda tentukan adalah 1 hari.

## Tinjau brankas cadangan untuk konfigurasi AWS Backup Vault Lock
<a name="review-vault-lock-config"></a>

Anda dapat meninjau detail AWS Backup Vault Lock di brankas kapan saja dengan menelepon `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` atau. `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs

Untuk menentukan apakah Anda menerapkan kunci vault ke brankas cadangan, hubungi `DescribeBackupVault` dan periksa properti. `Locked` Jika`"Locked": true`, seperti contoh berikut, Anda telah menerapkan AWS Backup Vault Lock ke brankas cadangan Anda.

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```

Output sebelumnya mengkonfirmasi opsi berikut:

1. `Locked`adalah Boolean yang menunjukkan apakah Anda telah menerapkan AWS Backup Vault Lock ke brankas cadangan ini. `True`berarti bahwa AWS Backup Vault Lock menyebabkan operasi penghapusan atau pembaruan ke titik pemulihan yang disimpan di brankas gagal (terlepas dari apakah Anda masih dalam masa tenggang waktu pendinginan).

1. `LockDate`adalah tanggal dan waktu UTC ketika masa tenggang pendinginan Anda berakhir. Setelah waktu ini, Anda tidak dapat menghapus atau mengubah kunci Anda di brankas ini. Gunakan konverter waktu yang tersedia untuk umum untuk mengonversi string ini ke waktu lokal Anda.

Jika`"Locked":false`, seperti contoh berikut, Anda belum menerapkan kunci vault (atau yang sebelumnya telah dihapus).

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}
```

## Penghapusan kunci brankas selama waktu tenggang (Mode kepatuhan)
<a name="delete-vault-lock"></a>

Untuk menghapus kunci vault Anda selama waktu tenggang (waktu setelah mengunci brankas tetapi sebelum Anda`LockDate`) menggunakan konsol, AWS Backup 

1. Masuk ke Konsol Manajemen AWS, dan buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di navigasi kiri di bawah **Akun saya**, klik Backup vaults, lalu klik Backup Vault Lock.

1. Klik kunci vault yang ingin Anda hapus, lalu klik **Kelola kunci vault**.

1. Klik **Hapus kunci brankas**.

1. Kotak peringatan akan muncul, meminta Anda mengonfirmasi maksud Anda untuk menghapus kunci vault. Ketik `confirm` ke dalam kotak teks, lalu klik **konfirmasi**.

Setelah semua langkah berhasil diselesaikan, spanduk Sukses akan muncul di bagian atas layar konsol.

Untuk menghapus kunci vault Anda selama waktu tenggang menggunakan perintah CLI, `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` gunakan contoh CLI seperti ini:

```
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock
```

## Akun AWS penutupan dengan lemari besi terkunci
<a name="close-account-with-locked-vault"></a>

Ketika Anda menutup Akun AWS yang berisi brankas cadangan, AWS dan AWS Backup menangguhkan akun Anda selama 90 hari dengan cadangan Anda utuh. Jika Anda tidak membuka kembali akun selama 90 hari tersebut, AWS menghapus konten brankas cadangan Anda, meskipun AWS Backup Vault Lock sudah terpasang.

## Pertimbangan keamanan tambahan
<a name="using-vault-lock-with-backup"></a>

AWS Backup Vault Lock menambahkan lapisan keamanan tambahan ke pertahanan perlindungan data Anda secara mendalam. Kunci vault dapat dikombinasikan dengan fitur keamanan lainnya:
+ [Enkripsi untuk titik pemulihan Anda](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup kebijakan akses vault dan titik pemulihan](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), yang memungkinkan Anda memberikan atau menolak izin di tingkat vault,
+ [AWS Backup praktik terbaik keamanan](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), termasuk pustaka [kebijakan terkelola pelanggan](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies) yang memungkinkan Anda memberikan atau menolak izin pencadangan dan pemulihan oleh layanan yang AWS didukung, dan
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), yang memungkinkan Anda mengotomatiskan pemeriksaan kepatuhan untuk cadangan Anda terhadap [daftar kontrol yang Anda tentukan](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).

  Anda dapat bekerja [Membuat kerangka kerja menggunakan API AWS Backup](creating-frameworks-api.md) untuk kontrol [Sumber daya ada dalam paket cadangan dengan AWS Backup Vault Lock](controls-and-remediation.md#backup-vault-lock-control) dengan AWS Backup Audit Manager untuk membantu memastikan bahwa sumber daya yang Anda inginkan dilindungi dengan kunci vault.
+ Mekanisme yang membuat sumber daya tidak aktif dapat memengaruhi kemampuan untuk memulihkannya. Meskipun masih tidak dapat dihapus di brankas yang terkunci, mereka dapat berada dalam keadaan selain aktif. Misalnya, pengaturan Amazon Elastic Compute Cloud yang memungkinkan Anda [menonaktifkan AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) dapat memblokir sementara kemampuan untuk memulihkan cadangan instans EC2. Ini memengaruhi semua titik pemulihan EC2, bahkan cadangan yang dipengaruhi oleh kunci brankas atau penahanan hukum. 

  Jika cadangan EC2 dinonaktifkan, Anda dapat [mengaktifkan kembali AMI yang dinonaktifkan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami). Setelah diaktifkan kembali, itu memenuhi syarat untuk dipulihkan. Untuk memblokir fitur nonaktifkan AMI, Anda dapat menggunakan kebijakan IAM untuk tidak mengizinkan`ec2:DisableImage`.

**catatan**  
AWS Backup Vault Lock bukan fitur yang sama dengan [Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) Vault Lock, yang hanya kompatibel dengan Amazon Glacier.