Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo dei framework di audit
Un *framework* è una raccolta di controlli che consentono di valutare le best practice di backup. Puoi utilizzare controlli personalizzabili predefiniti per definire le policy e valutare se le best practice di backup sono conformi alle policy. Puoi anche configurare report giornalieri automatici per ottenere informazioni dettagliate sullo stato di conformità dei framework.
Ogni framework si applica a un singolo account e. Regione AWSÈ possibile implementare un massimo di 15 framework per account per regione. Non puoi distribuire framework duplicati (framework contenenti gli stessi controlli e parametri).
Esistono due diversi tipi di framework:
+ Il **framework AWS Backup ** (consigliato): utilizza il framework AWS Backup per distribuire tutti i controlli disponibili per monitorare l'attività di backup, la copertura e le risorse in base alle best practice consigliate.
+ Un **framework personalizzato** definito dall'utente: utilizza un framework personalizzato per scegliere uno o più controlli specifici e personalizzare i parametri di controllo.
**Topics**
+ [Scelta dei controlli](choosing-controls.md)
+ [Attivazione del monitoraggio delle risorse](turning-on-resource-tracking.md)
+ [Creazione di framework utilizzando la console AWS Backup](creating-frameworks-console.md)
+ [Creazione di framework utilizzando l'API AWS Backup](creating-frameworks-api.md)
+ [Visualizzazione dello stato di conformità del framework](viewing-frameworks.md)
+ [Esito di risorse non conformi](finding-non-compliant-resources.md)
+ [Aggiornamento dei framework di audit](updating-frameworks.md)
+ [Aggiornamento dei framework di audit](deleting-frameworks.md)
# Scelta dei controlli
La tabella seguente elenca i controlli AWS Backup Audit Manager, i relativi parametri personalizzabili e i tipi di risorse di AWS Config registrazione.
**Controlli disponibili**
| Nome del controllo | Descrizione del controllo | Parametri personalizzabili | AWS Config tipo di risorsa di registrazione |
| --- | --- | --- | --- |
| Le risorse di backup sono incluse in almeno un piano di backup | Valuta se le risorse sono incluse in almeno un piano di backup. | Nessuno | AWS Backup: backup selection |
| Il piano di backup dispone di una frequenza minima e conservazione minima | Valuta se la frequenza di backup è di almeno [1 giorno] e il periodo di conservazione è di almeno [35 giorni]. | Frequenza di backup; periodo di conservazione | AWS Backup: backup plans |
| I vault impediscono l’eliminazione manuale dei punti di ripristino | Valuta se gli archivi di backup non consentono l'eliminazione manuale dei punti di ripristino ad eccezione di determinati ruoli AWS Identity and Access Management (IAM). Per impostazione predefinita, non esistono eccezioni ai ruoli IAM. Inoltre, non ci sono eccezioni ai ruoli IAM quando si implementa questo controllo con il framework. AWS Backup | Fino a 5 ruoli IAM che consentono l'eliminazione manuale dei punti di ripristino | AWS Backup: backup vaults |
| I punti di ripristino sono crittografati | Valuta se i punti di ripristino sono crittografati. | Nessuno | AWS Backup: recovery points |
| Conservazione minima stabilita per punto di ripristino | Valuta se il periodo di conservazione del punto di ripristino è di almeno [35 giorni]. | Periodo di conservazione dei punti di ripristino | AWS Backup: recovery points |
| Copia di backup tra regioni pianificata | Valuta se una risorsa è configurata per creare copie dei relativi backup su un'altra Regione AWS. | Regione AWS | AWS Backup: backup selection |
| Copia di backup tra account pianificata | Valuta se per una risorsa è configurata una copia di backup tra account. | AWS ID dell'account | AWS Backup: backup selection |
| Le risorse sono incluse in un piano di backup con un AWS Backup Vault Lock | Valuta se una risorsa dispone di un piano di backup configurato per archiviare i backup in un archivio di backup bloccato. | Numero minimo di giorni di conservazione; numero massimo di giorni di conservazione | AWS Backup: backup selection |
| È stato creato l'ultimo punto di ripristino | Valuta se un punto di ripristino è stato creato entro l'intervallo di tempo specificato. | Valore in ore [da 1 a 744] o giorni [da 1 a 31]. | AWS Backup recovery points |
| Tempo di ripristino necessario per le risorse | Valuta se il processo di test di ripristino è stato completato entro il tempo di ripristino previsto. | Valore in minuti. | Nessuno |
| Le risorse si trovano all'interno di un vault con intercapedine logiche | Valuta se nelle risorse è stato copiato almeno un punto di ripristino in un vault logicamente collegato all'air gap entro il valore e il periodo di tempo specificati. | Valore in minuti, ore o giorni | AWS Backup: recovery points |
Per informazioni dettagliate su questi controlli, consulta [Controlli e correzioni](controls-and-remediation.md).
Per un elenco delle risorse AWS Backup supportate che non supportano tutti i controlli, consulta la sezione AWS Backup Audit Manager della [Disponibilità delle funzionalità per risorsa](backup-feature-availability.md#features-by-resource) tabella.
**Nota**
Se non desideri utilizzare nessuno dei controlli precedenti, puoi comunque utilizzare AWS Backup Audit Manager per creare report giornalieri sui processi di backup, copia e ripristino. Consulta [Utilizzo di report di audit](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-audit-reports.html).
# Attivazione del monitoraggio delle risorse
Prima di creare il primo framework correlato alla conformità, è necessario attivare il monitoraggio delle risorse. In questo modo puoi AWS Config tenere traccia delle tue AWS Backup risorse. Per la documentazione tecnica su come gestire il monitoraggio delle risorse, consulta [Configurazione AWS Config con la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) nella *Guida per gli AWS Config sviluppatori*.
Quando attivi il monitoraggio delle risorse, vengono applicati costi. Per informazioni sul monitoraggio delle risorse, sui prezzi e sulla fatturazione per AWS Backup Audit Manager, consulta [Misurazione, costi e](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html) fatturazione.
**Topics**
+ [Attivazione del monitoraggio delle risorse mediante la console](#turning-on-resource-tracking-console)
+ [Attivazione del tracciamento delle risorse utilizzando AWS Command Line Interface (AWS CLI)](#turning-on-resource-tracking-cli)
+ [Attivazione del tracciamento delle risorse utilizzando un CloudFormation modello](#turning-on-resource-tracking-cfn)
## Attivazione del monitoraggio delle risorse mediante la console
**Per attivare il monitoraggio delle risorse mediante la console:**
1. [Apri la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel riquadro di spostamento a sinistra, in **Audit Manager**, scegli **Framework**.
1. Attiva il monitoraggio delle risorse scegliendo **Gestisci il monitoraggio delle risorse**.
1. Scegli **Vai alle AWS Config impostazioni.**
1. Scegli **Abilita o disabilita la registrazione**.
1. Scegli di **abilitare** la registrazione per tutti i seguenti tipi di risorse o di abilitare la registrazione per alcuni tipi di risorse. Fai riferimento a [Controlli e correzione di AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) per i tipi di risorse richiesti per i controlli.
+ `AWS Backup: backup plans`
+ `AWS Backup: backup vaults`
+ `AWS Backup: recovery points`
+ `AWS Backup: backup selection`
1. Scegli **Chiudi**.
1. Attendi che il banner blu contenente il testo **Attivazione del tracciamento delle risorse** passi al banner verde con il testo **Monitoraggio delle risorse è attivo**.
Puoi verificare se hai attivato il tracciamento delle risorse e, in tal caso, quali tipi di risorse stai registrando, in due punti della AWS Backup console. Nel riquadro di navigazione a sinistra:
+ Scegli **Framework**, quindi scegli il testo sotto lo **stato del registratore AWS Config **.
+ Scegli **Impostazioni**, quindi scegli il testo sotto lo **stato del registratore AWS Config **.
## Attivazione del tracciamento delle risorse utilizzando AWS Command Line Interface (AWS CLI)
Se non hai ancora effettuato l'onboarding AWS Config, potrebbe essere più veloce effettuare l'onboarding utilizzando il. AWS CLI
**Per attivare il monitoraggio delle risorse mediante la AWS CLI:**
1. Digita il seguente comando per determinare se il registratore AWS Config è già abilitato.
```
$ aws configservice describe-configuration-recorders
```
1. Se l'elenco `ConfigurationRecorders` è vuoto come il seguente:
```
{
"ConfigurationRecorders": []
}
```
Il registratore non è abilitato. Continua con il passaggio 2 per creare il registratore.
1. Se hai già abilitato la registrazione per tutte le risorse, l'aspetto dell'output `ConfigurationRecorders` sarà simile al seguente:
```
{
"ConfigurationRecorders":[
{
"recordingGroup":{
"allSupported":true,
"resourceTypes":[
],
"includeGlobalResourceTypes":true
},
"roleARN":"arn:aws:iam::[account]:role/[roleName]",
"name":"default"
}
]
}
```
Poiché hai abilitato tutte le risorse, hai già attivato il monitoraggio delle risorse. Non è necessario completare il resto di questa procedura per utilizzare AWS Backup Audit Manager.
1. Crea un AWS Config registratore con i tipi di risorse AWS Backup Audit Manager
```
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"
```
1. Descrivi il tuo AWS Config registratore.
```
$ aws configservice describe-configuration-recorders
```
Verifica che disponga dei tipi di risorse AWS Backup Audit Manager confrontando l'output con il seguente output previsto.
```
{
"ConfigurationRecorders":[
{
"name":"default",
"roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
"recordingGroup":{
"allSupported":false,
"includeGlobalResourceTypes":false,
"resourceTypes":[
"AWS::Backup::BackupPlan",
"AWS::Backup::BackupSelection",
"AWS::Backup::BackupVault",
"AWS::Backup::RecoveryPoint"
]
}
}
]
}
```
1. Crea un bucket Amazon S3 come destinazione per archiviare i file di configurazione. AWS Config
```
$ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1
```
1. Utilizzalo *policy.json* per concedere AWS Config l'autorizzazione ad accedere al tuo bucket. Vedi il seguente esempio*policy.json*.
```
$ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AWSConfigBucketPermissionsCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketExistenceCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketDelivery",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Configura il tuo bucket come canale di AWS Config distribuzione
```
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket
```
1. Abilita la registrazione AWS Config
```
$ aws configservice start-configuration-recorder --configuration-recorder-name default
```
1. Verifica che `"FrameworkStatus":"ACTIVE"` nell'ultima riga dell'account `DescribeFramework` venga generato come segue.
```
$ aws backup describe-framework --framework-name test --region us-east-1
```
```
{
"FrameworkName":"test",
"FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
"FrameworkDescription":"",
"FrameworkControls":[
{
"ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredFrequencyUnit",
"ParameterValue":"hours"
},
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"35"
},
{
"ParameterName":"requiredFrequencyValue",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":[
],
"ControlScope":{
}
}
],
"CreationTime":1633463605.233,
"DeploymentStatus":"COMPLETED",
"FrameworkStatus":"ACTIVE"
}
```
## Attivazione del tracciamento delle risorse utilizzando un CloudFormation modello
Per un CloudFormation modello che attiva il monitoraggio delle risorse, vedere [Utilizzo di AWS Backup Audit Manager con CloudFormation](https://docs.aws.amazon.com/aws-backup/latest/devguide/bam-cfn-integration.html).
# Creazione di framework utilizzando la console AWS Backup
Dopo aver attivato il monitoraggio delle risorse, crea un framework utilizzando la procedura seguente.
1. [Apri la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel pannello di navigazione a sinistra, scegli **Framework**.
1. Scegli **Crea framework**.
1. Per **Nome**, immetti un nome univoco. Il nome del framework deve essere compreso tra 1 e 256 caratteri, deve iniziare con una lettera ed essere costituito da lettere (a-z, A-Z), numeri (0-9) e caratteri di sottolineatura (\$1).
1. (Facoltativo) Inserisci una **Descrizione del framework**.
1. I controlli attivi verranno visualizzati in **Controlli**. Per impostazione predefinita, sono elencati tutti i controlli idonei per una risorsa.
Per modificare i controlli attivi, fai clic su **Modifica i controlli**.
1. La prima casella di controllo indica se il controllo è attivato. Per disattivare un controllo, deseleziona la casella.
1. In **Scegli le risorse da valutare**, puoi selezionare come scegliere le risorse: in base a tipo, tag o singola risorsa.
L'elenco dei [controlli AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) descrive le opzioni di personalizzazione per ogni controllo.
1. (Facoltativo) Assegna un tag al framework scegliendo **Aggiungi nuovo tag**. Puoi utilizzare i tag per cercare e filtrare i framework o monitorare i costi.
1. Scegli **Crea framework**.
AWS Backup Audit Manager potrebbe impiegare diversi minuti per creare il framework.
Se si verifica l'errore `AlreadyExists`, esiste già un framework con gli stessi controlli e parametri. Per creare correttamente un nuovo framework, è necessario che almeno un controllo o un parametro sia diverso dai framework esistenti.
# Creazione di framework utilizzando l'API AWS Backup
La tabella seguente contiene richieste API di esempio a [CreateFramework](API_CreateFramework.md) per ogni controllo, insieme a risposte API di esempio alle richieste [DescribeFramework](API_DescribeFramework.md) corrispondenti. Per lavorare con AWS Backup Audit Manager a livello di codice, puoi fare riferimento a questi frammenti di codice.
****
| Controllo | Richiesta `CreateFramework` | Risposta `DescribeFramework` |
| --- | --- | --- |
| Backup resources are included in at least one backup plan | {"FrameworkName": "Control1",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"] // Evaluate only RDS instances
}
}
],
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control1",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control1-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup plan minimum frequency and minimum retention | {"FrameworkName": "Control2",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"} // Evaluate backup plans that tagged with "key1": "prod".
}
}
],
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control2",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"}
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} |
| Vaults prevent manual deletion of recovery points | {"FrameworkName": "Control3",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control3",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} |
| Minimum retention established for recovery point | {"FrameworkName": "Control4",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {} // Default scope (no scope input) sets scope to all recovery points.
}
],
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control4",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-6e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup recovery points are encrypted | {"FrameworkName": "Control5",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {} // Default scope (no scope input) is all recovery points
}
],
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control5",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-7e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-Region backup copy is scheduled | {"FrameworkName": "Control6",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control6",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-account backup copy is scheduled | {"FrameworkName": "Control7",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control7",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} |
| Resources are in a backup plan with an AWS Backup Vault Lock | {"FrameworkName": "Control8",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control8",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control8-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} |
| Last recovery point was created | {"FrameworkName": "Control9",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control9",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} |
| Restore time for resources meet target | {"FrameworkName":"Control10",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[
{
"ParameterName":"maxRestoreTime",
"ParameterValue":"720"
}
],
"ControlScope":{
"ComplianceResourceIds":[
],
"ComplianceResourceTypes":[
"DynamoDB" // Evaluates only DynamoDB databases
]
}
}
]"IdempotencyToken":"Control10",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control10",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control10",
"FrameworkTags":
{"key1": "foo"}
} |
| RESOURCES\$1IN\$1LOGICALLY\$1AIR\$1GAPPED\$1VAULT | {"FrameworkName":"Control11",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT",
"ControlInputParameters":[
{
"ParameterName":"recoveryPointAgeValue",
"ParameterValue":"10"
}
{
"ParameterName":"recoveryPointAgeUnit",
"ParameterValue":"days"
}
],
"ControlScope":{
"ComplianceResourceTypes":[
"EC2"
]
}
}
]"IdempotencyToken":"Control11",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control11",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control11-ab1234cd-5e67-89fg-06a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2","EBS"]
}
}
],
"CreationTime": 1726087776.316,
"DeploymentStatus": "COMPLETED",
"FrameworkStatus": "ACTIVE",
"IdempotencyToken": "Control11",
"FrameworkTags":
{"key1": "foo"}
} |
# Visualizzazione dello stato di conformità del framework
Dopo che è stato creato, un framework di audit viene visualizzato nella tabella **Framework**. È possibile visualizzare questa tabella scegliendo **Frameworks** nel riquadro di navigazione a sinistra della AWS Backup console. Per visualizzare i risultati di audit per il framework, scegli il relativo **nome del framework**. Questo consente di accedere alla pagina dei **dettagli del framework**, contenente due sezioni: **Riepilogo** e **Controlli**.
Nella sezione **Riepilogo** vengono elencati i seguenti stati da sinistra a destra:
+ **Stato di conformità** è lo stato di conformità complessivo del framework di audit, determinato dallo stato di conformità di ciascuno dei relativi controlli. Lo stato di conformità di ogni controllo è determinato dallo stato di conformità di ogni risorsa valutata.
Lo stato di conformità del framework è `Compliant` solo se tutte le risorse nell'ambito delle valutazioni di controllo hanno superato tali valutazioni. Se una o più risorse non superano una valutazione di controllo, lo stato di conformità sarà `Non-Compliant`. Per informazioni su come trovare le risorse non conformi, consulta [Individuazione di risorse non conformi](https://docs.aws.amazon.com/aws-backup/latest/devguide/finding-non-compliant-resources.html). Per informazioni su come garantire la conformità delle risorse, consulta la sezione sulla correzione di [Controlli e correzione di AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ **Stato del framework** si riferisce all'avere attivato il monitoraggio delle risorse per tutte le risorse. I possibili stati sono:
+ `Active` quando la registrazione è attivata per tutte le risorse valutate dal framework.
+ `Partially active` quando la registrazione è disattivata per almeno una risorsa valutata dal framework.
+ `Inactive` quando la registrazione è disattivata per tutte le risorse valutate dal framework.
+ `Unavailable`quando AWS Backup Audit Manager non è in grado di convalidare lo stato della registrazione in questo momento.
**Per correggere uno stato `Partially active` o `Inactive`**
1. Scegli **Framework** nel pannello di navigazione a sinistra.
1. Scegli **Gestisci il monitoraggio delle risorse**.
1. Segui le istruzioni nella schermata popup per abilitare la registrazione che in precedenza non era abilitata per i tipi di risorse.
Per ulteriori informazioni sui tipi di risorse che richiedono il monitoraggio delle risorse in base ai controlli inclusi nei framework, consulta il componente delle risorse di [Controlli e correzione di AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ **Stato dell'implementazione** si riferisce allo stato di implementazione del framework. Questo stato deve essere nella maggior parte dei casi `Completed`, ma può anche essere `Create in progress`, `Update in progress`, `Delete in progress` e `Failed`.
+ Uno status di `Failed` indica che il framework non è stato distribuito correttamente. [Elimina il framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html), quindi ricrea il framework tramite la [console AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-console.html) o tramite l'[API AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html).
+ **Controlli conformi** mostrano un conteggio di controlli del framework con tutte le valutazioni superate.
+ **Controlli non conformi** mostrano un conteggio di controlli del framework con almeno una valutazione non superata.
Nella sezione **Controlli** vengono visualizzate le informazioni seguenti:
+ **Stato del controllo** si riferisce allo stato di conformità di ogni controllo. Un controllo può essere `Compliant`, a indicare che tutte le risorse superano tale valutazione, `Non-compliant`, a indicare che almeno una risorsa non ha superato tale valutazione o `Insufficient data`, a indica che il controllo non ha trovato alcuna risorsa da valutare nell'ambito della valutazione.
+ **Ambito di valutazione** potrebbe limitare ogni controllo a uno o più **tipi di risorse**, un **ID risorsa** o una **chiave tag** e un **valore tag**, in base al modo in cui il controllo è stato personalizzato durante la creazione del framework di verifica. Se tutti i campi sono vuoti (come mostrato da un trattino, "-"), il controllo valuta tutte le risorse applicabili.
# Esito di risorse non conformi
AWS Backup Audit Manager consente di individuare le risorse non conformi in due modi.
+ Durante la [visualizzazione dello stato di conformità del framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/viewing-frameworks.html), scegli il nome del controllo nella **sezione Dettagli**. In questo modo si accede alla AWS Config console, dove è possibile visualizzare un elenco delle risorse a disposizione. `Non-Compliant`
+ Dopo aver [creato un piano di report con il modello di conformità delle risorse](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html) che include il framework, puoi [visualizzare il report](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-reports.html) per identificare tutte le risorse `Non-Compliant` su tutti i controlli.
Inoltre, `Resource compliance report` mostra l'ultima volta che AWS Backup Audit Manager ha valutato ciascun controllo.
# Aggiornamento dei framework di audit
Puoi aggiornare la descrizione, i controlli e i parametri di un framework di audit esistente.
**Per aggiornare un framework esistente**
1. **Nel riquadro di navigazione a sinistra AWS Backup della console, scegli Frameworks.**
1. Scegli il framework che desideri modificare in base al **nome del framework**.
1. Scegli **Modifica**.
# Aggiornamento dei framework di audit
**Per eliminare un framework esistente**
1. **Nel riquadro di navigazione a sinistra AWS Backup della console, scegli Frameworks.**
1. Scegli il framework che desideri eliminare in base al **nome del framework**.
1. Scegli **Elimina**.
1. Digita il nome del framework e scegli **Elimina framework**.