翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Backup ボールトロック
**注記**
AWS Backup ボールトロックは、SEC 17a-4、CFTC、および FINRA の規制の対象となる環境での使用について Cohasset Associates によって評価されています。 AWS Backup ボールトロックがこれらの規制にどのように関連しているかの詳細については、[「Cohasset Associates Compliance Assessment」を参照してください。](samples/cohassetreport.zip)
AWS Backup ボールトロックはバックアップボールトのオプション機能であり、バックアップボールトのセキュリティと制御を強化するのに役立ちます。コンプライアンスモードでロックが有効になっていて、猶予期間が終了すると、復旧ポイントが含まれている限り、顧客、アカウント/データ所有者、または AWS によるボールト設定の変更または削除ができなくなります。各ボールトには 1 つのボールトロックを設定できます。
AWS Backup は、保持期間が終了するまでバックアップを利用できるようにします。ユーザー (ルートユーザーを含む) がバックアップを削除したり、ロックされたボールトのライフサイクルプロパティを変更しようとすると、 AWS Backup はオペレーションを拒否します。
+ **ガバナンスモード**でロックされたボールトは、十分な IAM アクセス許可を持つユーザーがロックを解除できます。
+ **コンプライアンスモード**でロックされたボールトは、復旧ポイントがボールトに入っている場合、クーリングオフ期間 (「**猶予期間**」) が過ぎると*削除できなくなります*。猶予期間中でも、ボールトロックを解除したり、ロック設定を変更したりできます。
**警告**
猶予期間が終了すると、ボールトとそのロックはイミュータブルになり、ユーザーまたは によって変更または削除できなくなります AWS。ロックされたボールト内のバックアップは、ライフサイクルが完了するまで削除できないため、注意しないと永続的なコストが発生します。たとえば、保持期間が「常に」に設定されている復旧ポイントがないことを確認します。猶予期間が過ぎると、これらの復旧ポイントは永久に保持され、変更または削除することはできません。
## ボールトロックモード
ボールトロックを作成する場合、**ガバナンスモード**と**コンプライアンスモード**の 2 つのモードを選択できます。ガバナンスモードは、十分な IAM アクセス許可を持つユーザーだけがボールトを管理できるようにするためのものです。ガバナンスモードは、指定された担当者のみがバックアップボールトを変更できるようにすることで、組織がガバナンス要件を満たすのに役立ちます。コンプライアンスモードは、データ保持期間が終了するまでボールト (ひいてはその内容) が削除または変更されないことが見込まれるバックアップボールトを対象としています。コンプライアンスモードのボールトがロックされると、**イミュータブル**になります。つまり、ロックを*削除できなくなります* (ボールト自体が空で、復旧ポイントが含まれていない場合は削除できます)。
ガバナンスモードでロックされたボールトは、適切な IAM アクセス許可を持つユーザーが管理または削除できます。
コンプライアンスモードのボールトロックは、どのユーザーも、また、 AWSでも変更、削除ができません。コンプライアンスモードのボールトロックには、ロックされてコンテンツとボールトロックがイミュータブルになるまでの猶予期間が設定されています。
## ボールトロックのメリット
AWS Backup ボールトロックには、次のようないくつかの利点があります。
+ バックアップボールトに保存および作成するすべてのバックアップの WORM (*write-once, read-many*) 構成。
+ バックアップボールトのバックアップ (復旧ポイント) を不注意または悪意のある削除から保護する追加の保護レイヤー。
+ 特権ユーザー ( AWS アカウント ルートユーザーを含む) による早期削除を防ぎ、組織のデータ保護ポリシーと手順を満たす保持期間の適用。
## コンソールを使用してバックアップボールトをロックする
Backup コンソールを使用してボールトに AWS Backup ボールトロックを追加できます。
バックアップボールトにボールトロックを追加するには:
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. ナビゲーションペインで、**[バックアップボールト]** を見つけます。バックアップボールトの下にネストされた、**[ボールトロック]** というリンクをクリックします。
1. **[ボールトロックの仕組み]** または **[ボールトロック]** で、**[\$1 ボールトロックを作成]** をクリックします。
1. **[ボールトロックの詳細]** ペインで、ロックを適用するボールトを選択します。
1. **[ボールトロックモード]** で、ボールトをロックするモードを選択します。モードの選択について詳しくは、このページで前述した「[ボールトロックモード](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes)」を参照してください。
1. **[保持期間]** については、最小保持期間と最大保持期間を選択します (保持期間は**任意です)。ボールトで作成された新しいバックアップジョブとコピージョブは、設定した保持期間に従わないと失敗します。これらの期間は、既にボールト内にある復旧ポイントには適用されません。ボールトロックが有効になる前にボールトに存在していた復旧ポイントは、以前のライフサイクル設定に従います。
1. コンプライアンスモードを選択した場合、「**ボールトロック開始日**」というセクションが表示されます。ガバナンスモードを選択した場合、これは表示されないため、このステップはスキップできます。
コンプライアンスモードでは、クーリングオフ期間 (ボールトロックの作成からボールトとそのロックがイミュータブルで変更不能になるまでの間) があります。この期間 (「**猶予時間**」といいます) は自分で選択できますが、*少なくとも* 3 日間 (72 時間) は必要です。
**重要**
猶予期間が終了すると、ボールトとそのロックはイミュータブルになり、ユーザーまたは によって変更または削除できなくなります AWS。
1. 設定内容に問題がなければ、**[ボールトロックを作成]** をクリックします。
1. 選択したモードでこのロックを作成することを確認するには、テキストボックスに「`confirm`」と入力し、設定が意図したとおりであることを確認するボックスにチェックを入れます。
手順が正常に完了すると、コンソールの上部に「成功」バナーが表示されます。
## バックアップボールトのロック (プログラムによる)
AWS Backup ボールトロックを設定するには、 API を使用します`[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`。含めるパラメータは、使用するボールトロックモードによって異なります。ガバナンスモードでボールトロックを作成する場合は、`ChangeableForDays` **を含めないでください**。このパラメータを含めると、ボールトロックはコンプライアンスモードで作成されます。
コンプライアンスモードのボールトロック作成の CLI サンプルを次に示します。
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--changeable-for-days 3 \
--min-retention-days 7 \
--max-retention-days 30
```
ガバナンスモードのボールトロック作成の CLI サンプルを以下に示します。
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--min-retention-days 7 \
--max-retention-days 30
```
次の 4 つのオプションを設定できます。
1. `BackupVaultName`
ロックするボールトの名前。
1. `ChangeableForDays` (コンプライアンスモードの場合*のみ*含む)
このパラメータは、**コンプライアンスモードで**ボールトロックを作成する AWS Backup ように に指示します。**ガバナンスモード**でロックを作成する場合は、このパラメータを省略します。
この値は日単位で表記されます。3 以上 36,500 以下の数値でなければなりません。そうでない場合、エラーが返されます。
このボールトロックの作成時から、指定した日付の有効期限が切れるまで、`DeleteBackupVaultLockConfiguration` を使用してボールトロックをボールトから削除できます。または、この間、`PutBackupVaultLockConfiguration` を使用して設定を変更することもできます。
このパラメータによって決定された指定日以降、バックアップボールトはイミュータブルになり、変更または削除できません。
1. `MaxRetentionDays` *(オプション)*
これは日数で表される数値です。これは、ボールトが復旧ポイントを保持する最大保持期間です。
選択する最大保持期間は、組織のデータ保持ポリシーに沿ったものでなければなりません。データを一定期間保持するように組織から指示されている場合は、この値をその期間 (日数) に設定できます。例えば、財務データや銀行データを 7 年間 (うるう年によるものの、約 2,557 日) 保存する必要がある場合があります。
指定しない場合、 AWS Backup ボールトロックは最大保持期間を適用しません。指定すると、ライフサイクルの保持期間が最大保持期間よりも長いこのボールトへのバックアップジョブとコピージョブは失敗します。ボールトロックの作成の前に、すでにボールトで保存されている復旧ポイントは影響されません。指定できる最長の最大保持期間は 36500 日 (約 100 年) です。
1. `MinRetentionDays` (*オプション*、CloudFormation には必須)
これは日数で表される数値です。これは、ボールトが復旧ポイントを保持する最小保持期間です。この設定は、組織がデータを管理するのに*必要*な期間に合わせて設定する必要があります。例えば、規制や法律でデータを少なくとも 7 年間保持することが義務付けられている場合、うるう年にもよりますが、日数は約 2,557 年になります。
指定しない場合、 AWS Backup ボールトロックは最小保持期間を適用しません。指定すると、ライフサイクルの保持期間が最小保持期間よりも短いこのボールトへのバックアップジョブとコピージョブは失敗します。ボールトロックの前にボール AWS Backup トに既に保存されている復旧ポイントは影響を受けません。指定できる最小保持期間は 1 日です。
## ボールトロック設定のバックアップ AWS Backup ボールトを確認する
または `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs AWS Backup を呼び出して、ボールトのボールトロックの詳細をいつでも確認できます。
ボールトロックを、バックアップボールトに適用したかを判断するには、`DescribeBackupVault` を呼び出し、`Locked` プロパティを確認します。の場合`"Locked": true`、次の例のように、 AWS Backup ボールトロックをバックアップボールトに適用しています。
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 1,
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30,
"LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```
前の出力では、次のオプションが確認できます。
1. `Locked` は、このバックアップボールトに AWS Backup ボールトロックを適用したかどうかを示すブール値です。 AWS Backup `True`は、ボールトロックによってボールトに保存されている復旧ポイントに対する削除または更新オペレーションが失敗することを意味します (クーリングオフ猶予期間内であるかどうかにかかわらず)。
1. `LockDate` は、クーリングオフ猶予期間が終了する UTC 日時です。この日時を過ぎると、このボールトでロックの削除や変更はできません。公開されているタイムコンバータを使用して、この文字列を現地時間に変換します。
`"Locked":false` の場合、次の例のようにボールトロックを適用していません (または以前のものが削除されていません)。
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 3,
"Locked": false
}
```
## 猶予期間中のボールトロック削除 (コンプライアンスモード)
AWS Backup コンソールを使用して、猶予時間 (ボールトをロックしてから までの時間`LockDate`) 中にボールトロックを削除するには、
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側のナビゲーションの **[マイアカウント]** で、[バックアップボールト] をクリックし、[バックアップボールトロック] をクリックします。
1. 削除するボールトロックをクリックし、**[ボールトロックを管理]** をクリックします。
1. **[ボールトロックを削除]** をクリックします。
1. ボールトロックを削除するかどうかを確認する警告ボックスが表示されます。テキストボックスに「`confirm`」と入力し、**[確認]** をクリックします。
すべての手順が正常に完了すると、コンソール画面の上部に [成功] バナーが表示されます。
CLI コマンドを使用して猶予時間中にボールトロックを削除するには、次の CLI サンプルのように `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` を使用します。
```
aws backup delete-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock
```
## AWS アカウント ロックされたボールトによる閉鎖
バックアップボールト AWS アカウント を含む を閉じ、バックアップをそのままにしてアカウントを AWS AWS Backup 90 日間停止します。この 90 日間にアカウントを再開しない場合、ボールトロックが設定されていても AWS Backup 、 はバックアップボールトの内容 AWS を削除します。
## セキュリティに関するその他の考慮事項
AWS Backup ボールトロックは、データ保護の防御に詳細なセキュリティレイヤーを追加します。ボールトロックは、以下の他のセキュリティ機能と組み合わせることができます。
+ [復旧ポイントの暗号化](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup ボールトおよびリカバリポイントのアクセスポリシー](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)。これにより、ボールトレベルでアクセス許可を付与または拒否できます。
+ AWS サポートされているサービスによるバックアップおよび復元のアクセス許可の付与または拒否を許可する[カスタマー管理ポリシー](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)のライブラリを含む、 [AWS Backup セキュリティのベストプラクティス](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html)
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) を使用すると、定義した[コントロールのリスト](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)に対してバックアップのコンプライアンスチェックを自動化できます。
[AWS Backup API を使用したフレームワークの作成](creating-frameworks-api.md)を行い、 AWS Backup Audit Manager で「[リソースがボール AWS Backup トロック付きのバックアッププランにある](controls-and-remediation.md#backup-vault-lock-control)」のコントロールを使用すると、目的のリソースがボールトロックで保護されていることを確認できます。
+ リソースを非アクティブにするメカニズムは、その復元機能に影響を与える可能性があります。ロックされたボールトでそれらを削除することはまだできませんが、アクティブ以外の状態にすることはできます。例えば、[AMI を無効にする](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html)ことができる Amazon Elastic Compute Cloud 設定は、EC2 インスタンスのバックアップを復元する機能を一時的にブロックする可能性があります。これは、ボールトロックやリーガルホールドの影響を受けるバックアップであっても、すべての EC2 復旧ポイントに影響します。
EC2 バックアップが無効になっている場合は、[無効になっている AMI を再度有効](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami)にできます。再度有効にすると、復元の対象となります。AMI 無効化機能をブロックするには、IAM ポリシーを使用して `ec2:DisableImage` を許可しないようにできます。
**注記**
AWS Backup ボールトロックは、[Amazon Glacier とのみ互換性がある Amazon Glacier ボールトロック](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html)と同じ機能ではありません。 Amazon Glacier