AWS Backup Vault Lock - AWS Backup
Modalità di blocco del vaultVantaggi del blocco del vaultBlocco di un vault di backup tramite la consoleCreazione di un blocco di un vault utilizzando il codiceControlla la configurazione di un archivio di backup per verificarne AWS Backup la configurazione di Vault LockRimozione del blocco del vault durante il periodo di tolleranza (modalità Compliance)Account AWS chiusura con un caveau chiuso a chiaveUlteriori considerazioni sulla sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Backup Vault Lock

Nota

AWS Backup Vault Lock è stato valutato da Cohasset Associates per l'uso in ambienti soggetti alle normative SEC 17a-4 e alle normative. CFTC FINRA Per ulteriori informazioni su come AWS Backup Vault Lock si rapporta a queste normative, consulta la valutazione della conformità di Cohasset Associates.

AWS Backup Vault Lock è una funzionalità opzionale di un archivio di backup, che può essere utile per fornire maggiore sicurezza e controllo sui vault di backup. Quando un blocco è attivo in modalità Compliance e il periodo di prova è scaduto, la configurazione del vault non può essere modificata o eliminata dal cliente, dal proprietario dell'account/dei dati o AWS purché contenga punti di ripristino. Ogni vault può disporre di un solo blocco del vault.

AWS Backup assicura che i backup siano disponibili fino alla scadenza dei periodi di conservazione. Se un utente (incluso l'utente root) tenta di eliminare un backup o modificare le proprietà del ciclo di vita in un archivio bloccato, AWS Backup negherà l'operazione.

  • I vault bloccati in modalità di governance possono far rimuovere il blocco dagli utenti con autorizzazioni sufficienti. IAM

  • I vault bloccati in modalità di conformità non possono essere eliminati una volta scaduto il periodo di riflessione («periodo di grazia») se nel vault sono presenti punti di ripristino. Durante il periodo di tolleranza, è comunque possibile rimuovere il blocco del vault e modificare la configurazione del blocco.

Modalità di blocco del vault

Quando si crea un blocco del vault, è possibile scegliere tra due modalità: modalità Governance o modalità Compliance. La modalità di governance ha lo scopo di consentire la gestione di un vault solo da utenti con privilegi sufficienti. IAM La modalità Governance permette a un'organizzazione di soddisfare i requisiti di governance, garantendo che solo il personale designato possa apportare modifiche a un vault di backup. La modalità Compliance è destinata ai vault di backup in cui si prevede che il vault (e, per estensione, il suo contenuto) non venga mai eliminato o modificato fino al termine del periodo di conservazione dei dati. Una volta che un vault in modalità di conformità è bloccato, è immutabile, il che significa che il blocco non può essere rimosso (il vault stesso può essere eliminato se è vuoto e non contiene punti di ripristino).

Un vault bloccato in modalità Governance può essere gestito o eliminato dagli utenti che dispongono delle autorizzazioni appropriate. IAM

Un blocco del vault in modalità Compliance non può essere modificato o eliminato da nessun utente né da AWS. Un blocco del vault in modalità di conformità ha un periodo di tolleranza impostato dall'utente prima che venga bloccato e il contenuto e il blocco del vault diventino immutabili.

Vantaggi del blocco del vault

AWS Backup Vault Lock offre diversi vantaggi, tra cui:

  • WORMconfigurazione (write-once, read-many) per tutti i backup archiviati e creati in un archivio di backup.

  • Un ulteriore livello di difesa che protegge i backup (punti di ripristino) negli vault di backup da eliminazioni involontarie o dolose.

  • Applicazione di periodi di conservazione, che impediscono l'eliminazione anticipata da parte degli utenti privilegiati (incluso l'utente Account AWS root) e soddisfano le politiche e le procedure di protezione dei dati dell'organizzazione.

Blocco di un vault di backup tramite la console

Puoi aggiungere un blocco del vault al tuo AWS Backup Vault utilizzando la console di Backup.

Per aggiungere un blocco al vault di backup:

  1. Accedi a e apri AWS Management Console la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione, individuare Vault di backup. Fare clic sul link annidato all'interno di Vault di backup denominato Lock del vault.

  3. Nella sezione Come funzionano i blocchi del vault o Blocco del vault, fare clic su + Crea blocco del vault.

  4. Nel riquadro Dettagli del blocco del vault, scegliere a quale vault si intende applicare il blocco.

  5. In Modalità di blocco del vault, scegli in quale modalità bloccare il vault. Per ulteriori informazioni sulla scelta delle modalità, consulta la sezione Modalità di blocco del vault all'inizio di questa pagina.

  6. Alla voce Periodo di conservazione, scegliere i periodi di conservazione minimo e massimo (l'indicazione dei periodi di conservazione è opzionale). I nuovi processi di backup e copia creati nel vault non andranno a buon fine se non sono conformi ai periodi di conservazione impostati. Questi periodi non si applicheranno ai punti di ripristino già presenti nel vault.

  7. Se si sceglie la modalità Compliance, viene visualizzata una sezione denominata Data di inizio del blocco di vault. Se si sceglie la modalità Governance, questa sezione non verrà visualizzata e il presente passaggio può essere ignorato.

    In modalità Compliance, un blocco del vault è associato a un periodo di riflessione dalla creazione del blocco fino a quando il vault e il relativo blocco diventano immutabili e immodificabili. L'utente può scegliere la durata di questo periodo, denominato periodo di tolleranza, anche se deve essere di almeno 3 giorni (72 ore).

    Importante

    Una volta scaduto il periodo di tolleranza, il vault e il relativo blocco diventano immutabili. Non può più essere modificato o eliminato da nessun utente né da AWS.

  8. Quando si è soddisfatti delle scelte di configurazione, fare clic su Crea blocco del vault.

  9. Per confermare che si desidera creare questo blocco nella modalità scelta, digitare confirm nella casella di testo, quindi selezionare la casella per confermare che la configurazione è quella prevista.

Se i passaggi sono stati completati correttamente, nella parte superiore della console verrà visualizzato il banner "Operazione riuscita".

Creazione di un blocco di un vault utilizzando il codice

Per configurare AWS Backup Vault Lock, usa il. API PutBackupVaultLockConfiguration I parametri da includere dipenderanno dalla modalità di blocco del vault desiderata. Se desideri creare un blocco del vault in modalità Governance, non includere ChangeableForDays. Se questo parametro è incluso, il blocco del vault verrà creato in modalità Compliance.

Ecco un CLI esempio di creazione di un vault lock in modalità di conformità:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Ecco un CLI esempio di creazione di un vault lock in modalità di governance:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

È possibile configurare quattro opzioni.

  1. BackupVaultName

    Il nome del vault da bloccare.

  2. ChangeableForDays (da includere solo per la modalità Compliance)

    Questo parametro indica di AWS Backup creare il blocco del vault in modalità di conformità. Ometti questo parametro se intendi creare il blocco in modalità Governance.

    Questo valore deve essere espresso in giorni. Deve essere un numero non inferiore a 3 e non superiore a 36.500. In caso contrario, verrà restituito un errore.

    Dalla creazione di questo blocco del vault fino alla scadenza della data specificata, il blocco può essere rimosso dal vault utilizzando DeleteBackupVaultLockConfiguration. In alternativa, durante questo periodo, è possibile modificare la configurazione utilizzando PutBackupVaultLockConfiguration.

    A partire dalla data specificata determinata da questo parametro, il vault di backup sarà immutabile e non potrà più essere modificato o eliminato.

  3. MaxRetentionDays (opzionale)

    Questo è un valore numerico che deve essere espresso in giorni. Questo è il periodo di conservazione massimo durante il quale il vault conserva i punti di ripristino.

    Il periodo di conservazione massimo scelto deve essere in linea con le policy dell'organizzazione in tema di conservazione dei dati. Se l'organizzazione richiede che i dati debbano essere conservati per un certo periodo, questo valore può essere impostato su tale periodo (in giorni). Ad esempio, potrebbe essere necessario conservare i dati finanziari o bancari per 7 anni (circa 2.557 giorni, a seconda del numero di anni bisestili).

    Se non specificato, AWS Backup Vault Lock non applicherà un periodo di conservazione massimo. Se specificato, i processi di backup e copia in questo vault con periodi di conservazione del ciclo di vita superiori al periodo di conservazione massimo avranno esito negativo. I punti di ripristino già salvati nel vault prima dell'applicazione del Vault Lock non sono interessati. Il periodo di conservazione massimo più lungo che è possibile specificare è di 36500 giorni (circa 100 anni).

  4. MinRetentionDays(opzionale; obbligatorio per) CloudFormation

    Questo è un valore numerico che deve essere espresso in giorni. Questo è il periodo di conservazione minimo durante il quale il vault conserva i punti di ripristino. Questa impostazione deve essere valorizzata in base al periodo di tempo per il quale la tua organizzazione è obbligata a conservare i dati. Ad esempio, se i regolamenti o le leggi richiedono la conservazione dei dati per almeno sette anni, il valore in giorni sarebbe di circa 2.557, a seconda del numero di anni bisestili.

    Se non specificato, AWS Backup Vault Lock non applicherà un periodo di conservazione minimo. Se specificato, i processi di backup e copia in questo vault con periodi di conservazione del ciclo di vita inferiori al periodo di conservazione minimo avranno esito negativo. I punti di ripristino già salvati nel vault prima di AWS Backup Vault Lock non sono interessati. Il periodo di conservazione minimo più breve che è possibile specificare è di 1 giorno.

Controlla la configurazione di un archivio di backup per verificarne AWS Backup la configurazione di Vault Lock

Puoi controllare i dettagli di AWS Backup Vault Lock su un vault in qualsiasi momento chiamando o. DescribeBackupVault ListBackupVaults APIs

Per determinare se hai applicato un blocco del vault a un vault di backup, invoca DescribeBackupVault e controlla la proprietà Locked. Se"Locked": true, come nell'esempio seguente, hai applicato AWS Backup Vault Lock al tuo vault di backup.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

L'output precedente conferma le opzioni seguenti:

  1. Lockedè un valore booleano che indica se è stato applicato AWS Backup Vault Lock a questo archivio di backup. Truesignifica che AWS Backup Vault Lock causa il fallimento delle operazioni di eliminazione o aggiornamento dei punti di ripristino archiviati nel vault (indipendentemente dal fatto che sia ancora in corso il periodo di tolleranza).

  2. LockDateè la UTC data e l'ora in cui termina il periodo di tolleranza per il momento di riflessione. Trascorso questo periodo, non è più possibile eliminare o modificare il blocco di questo vault. Utilizza qualsiasi convertitore orario disponibile pubblicamente per convertire questa stringa nell'ora locale.

Se "Locked":false, come nell'esempio seguente, non hai applicato un blocco del vault (o ne è stato eliminato uno precedente applicato).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Rimozione del blocco del vault durante il periodo di tolleranza (modalità Compliance)

Per eliminare il blocco del vault durante il periodo di grazia (il periodo dopo il blocco del vault ma prima del tuoLockDate) utilizzando la console, AWS Backup

  1. Accedi a e apri AWS Management Console la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nella barra di navigazione a sinistra sotto Il mio account, fare clic su Vault di backup, quindi su Vault Lock di AWS Backup.

  3. Fare clic sul blocco del vault che si desidera rimuovere, quindi fare clic su Gestisci blocco del vault.

  4. Fare clic su Elimina vault.

  5. Apparirà una finestra di avviso che chiederà di confermare l'intenzione di eliminare il blocco del vault. Digitare confirm nella casella di testo, quindi fare clic su conferma.

Dopo che i passaggi sono stati tutti completati correttamente, nella parte superiore della schermata della console verrà visualizzato il banner "Operazione riuscita".

Per eliminare il blocco del vault durante l'ora di grazia usando un CLI comando, usa questo DeleteBackupVaultLockConfiguration CLI esempio:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Account AWS chiusura con un caveau chiuso a chiave

Quando chiudi un archivio Account AWS che contiene un archivio di backup AWS e AWS Backup sospendi il tuo account per 90 giorni con i backup intatti. Se non riapri l'account durante questi 90 giorni, AWS elimina il contenuto del tuo archivio di backup, anche se Vault Lock era attivo. AWS Backup

Ulteriori considerazioni sulla sicurezza

AWS Backup Vault Lock aggiunge un ulteriore livello di sicurezza alla difesa approfondita della protezione dei dati. Vault Lock può essere combinato con queste altre funzionalità di sicurezza:

Nota

AWS Backup Vault Lock non è la stessa funzionalità di Amazon S3 Glacier Vault Lock, che è compatibile solo con S3 Glacier.