翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 監査フレームワークの操作
*フレームワーク*は、バックアッププラクティスの評価に役立つコントロールのコレクションです。事前に構築されたカスタマイズ可能なコントロールを使用して、ポリシーを定義し、バックアッププラクティスがポリシーに準拠しているかどうかを評価できます。また、自動日報を設定して、フレームワークのコンプライアンスステータスに関する洞察を得ることもできます。
各フレームワークは、単一の アカウントと に適用されます AWS リージョン。リージョンごとにアカウントあたり最大 15 個のフレームワークをデプロイできます。重複フレームワーク (同じコントロールとパラメーターを含むフレームワーク) をデプロイすることはできません。
2 つの異なるタイプのフレームワークがあります。
+ -**AWS Backup フレームワーク**(推奨) — AWS Backup フレームワークを使用して、バックアップアクティビティ、カバレッジ、リソースを推奨するベスト・プラクティスに照らして監視するために、使用可能なすべてのコントロールを展開します。
+ ユーザーが定義する**カスタムフレームワーク** — カスタムフレームワークを使用して、1 つまたは複数の特定のコントロールを選択し、コントロールパラメーターをカスタマイズします。
**Topics**
+ [コントロールを選択する](choosing-controls.md)
+ [リソーストラッキングの有効化](turning-on-resource-tracking.md)
+ [AWS Backup コンソールを使用したフレームワークの作成](creating-frameworks-console.md)
+ [AWS Backup API を使用したフレームワークの作成](creating-frameworks-api.md)
+ [フレームワークのコンプライアンスステータスの表示](viewing-frameworks.md)
+ [アカウントの非準拠リソースの検索](finding-non-compliant-resources.md)
+ [監査フレームワークを更新する](updating-frameworks.md)
+ [監査フレームワークを削除する](deleting-frameworks.md)
# コントロールを選択する
次の表に、 AWS Backup Audit Manager のコントロール、カスタマイズ可能なパラメータ、および AWS Config 記録リソースタイプを示します。
**使用可能なコントロール**
| コントロール名 | コントロールの記述 | カスタマイズ可能なパラメータ | AWS Config リソースタイプの記録 |
| --- | --- | --- | --- |
| バックアップリソースが少なくとも 1 つのバックアッププランに含まれます | リソースが少なくとも 1 つのバックアッププランに含まれているかどうかを評価します。 | なし | AWS Backup: backup selection |
| バックアッププランに最小頻度および最小保持期間があります | バックアップの頻度が [1日] 以上で、保存期間が少なくとも [35 日] であるかどうかを評価します。 | Backup の頻度、保存期間 | AWS Backup: backup plans |
| 復旧ポイントの手動削除をボールトによって防止します | バックアップボールトが、特定の AWS Identity and Access Management (IAM) ロールによる場合を除き、リカバリポイントの手動削除を許可していないかどうかを評価します。デフォルトでは、IAM ロールの例外はありません。このコントロールを AWS Backup フレームワークでデプロイしても、IAM ロールの例外はありません。 | リカバリポイントを手動で削除できる最大 5 つの IAM ロール | AWS Backup: backup vaults |
| 復旧ポイントが暗号化されています | リカバリポイントが暗号化されているかどうかを評価します。 | なし | AWS Backup: recovery points |
| 復旧ポイントに設定された最小保持期間 | リカバリポイントの保存期間が少なくとも [35 日] であるかどうかを評価します。 | 復旧ポイント保持期間 | AWS Backup: recovery points |
| クロスリージョンバックアップコピーが予定されています | リソースが別の AWS リージョンへのバックアップのコピーを作成するように設定されているかどうかを評価します。 | AWS リージョン | AWS Backup: backup selection |
| クロスアカウントバックアップコピーがスケジュールされています | リソースにクロスアカウントバックアップコピーが設定されているかどうかを評価します。 | AWS アカウント ID | AWS Backup: backup selection |
| リソースがボール AWS Backup トロック付きのバックアッププランにある | リソースに、ロックされたバックアップボールトにバックアップを保存するように設定されたバックアッププランがあるかどうかを評価します。 | 最小保持日数、最大保持日数 | AWS Backup: backup selection |
| 最後の復旧ポイントが作成されました | 復旧ポイントが、指定した時間枠内に作成されたかどうかを評価します。 | 時間単位 [1 から 744] または日数単位 [1 から 31] の値。 | AWS Backup recovery points |
| リソースが目標に達するまでの復元時間 | 復元テストジョブが目標復元時間内に完了したかどうかを評価します。 | 値 (分) | なし |
| リソースは論理エアギャップボールト内にあります | リソースに、指定された値と期間内に論理エアギャップボールトにコピーされた復旧ポイントが少なくとも 1 つあるかどうかを評価します。 | 分、時間、または日単位の値 | AWS Backup: recovery points |
これら制御の詳細については、[コントロールと修正](controls-and-remediation.md)を参照してください
すべてのコントロールをサポートしていない AWS Backupサポートされているリソースのリストについては、[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource)表の Audit Manager セクションを参照してください AWS Backup 。
**注記**
上記のコントロールを使用しない場合でも、 AWS Backup Audit Manager を使用してバックアップ、コピー、復元ジョブの日次レポートを作成できます。[監査レポートの操作](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-audit-reports.html)を参照してください。
# リソーストラッキングの有効化
最初のコンプライアンス関連フレームワークを作成する前に、リソーストラッキングを有効にする必要があります。これにより、 AWS Config は AWS Backup リソースを追跡できます。リソース追跡の管理方法に関する技術ドキュメントについては、「 *AWS Config デベロッパーガイド*」の「 [コンソール AWS Config でのセットアップ](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)」を参照してください。
リソーストラッキングを有効にすると、料金が適用されます。 AWS Backup Audit Manager のリソース追跡の料金と請求については、[「計測、コスト、請求](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html)」を参照してください。
**Topics**
+ [コンソールを使用したリソーストラッキングを有効にする](#turning-on-resource-tracking-console)
+ [AWS Command Line Interface (AWS CLI) を使用してリソース追跡を有効にする](#turning-on-resource-tracking-cli)
+ [CloudFormation テンプレートを使用してリソース追跡を有効にする](#turning-on-resource-tracking-cfn)
## コンソールを使用したリソーストラッキングを有効にする
**コンソールを使用してリソーストラッキングを有効にするには:**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. **Audit Manager**の下にある左のナビゲーションペインでA**フレームワーク**を選択します。
1. **リソーストラッキングの管理**を選択して、リソーストラッキングを有効にします。
1. ** AWS Config 「設定に移動**」を選択します。
1. 選択**録画を有効または無効にする**。
1. 選択**有効化**次のすべてのリソースタイプについて記録するか、一部のリソースタイプで記録を有効にすることを選択します。コントロールに必要なリソースタイプを指定するには、「[AWS Backup Audit Manager のコントロールと修正](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)」を参照にしてください。
+ `AWS Backup: backup plans`
+ `AWS Backup: backup vaults`
+ `AWS Backup: recovery points`
+ `AWS Backup: backup selection`
1. [**閉じる**] を選択してください。
1. テキスト付きの青いバナーを待ってください。****テキストで緑のバナーに移行するにはリソーストラッキングの有効化にしてください。**リソーストラッキングはオンです**。
リソース追跡を有効にしているかどうか、有効になっている場合は記録するリソースタイプを AWS Backup コンソールの 2 か所で確認できます。左のナビゲーションペインで、次のいずれかの操作を行います。
+ **フレームワーク**を選択し、**AWS Config レコーダーのステータス**下に次の出来ストを選択します。
+ **設定**を選択し、**AWS Config レコーダーのステータス**下に次のテキストを選択します。
## AWS Command Line Interface (AWS CLI) を使用してリソース追跡を有効にする
まだ にオンボードしていない場合は AWS Config、 を使用してオンボードする方が速い場合があります AWS CLI。
**AWS CLIを使用してリソーストラッキングを有効にするには:**
1. 次のコマンドを入力して、 AWS Config レコーダーがすでに有効かどうかを確認します。
```
$ aws configservice describe-configuration-recorders
```
1. `ConfigurationRecorders`リストは次のように空の場合。
```
{
"ConfigurationRecorders": []
}
```
レコーダーが有効になっていません。ステップ 2 に進み、レコーダーを作成します。
1. すべてのリソースで録音をすでに有効にした場合は、`ConfigurationRecorders`出力は次のようになります。
```
{
"ConfigurationRecorders":[
{
"recordingGroup":{
"allSupported":true,
"resourceTypes":[
],
"includeGlobalResourceTypes":true
},
"roleARN":"arn:aws:iam::[account]:role/[roleName]",
"name":"default"
}
]
}
```
すべてのリソースを有効にしたので、リソーストラッキングは既に有効になっています。 AWS Backup Audit Manager を使用するには、この手順の残りの部分を完了する必要はありません。
1. AWS Backup Audit Manager リソースタイプを使用して AWS Config レコーダーを作成する
```
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"
```
1. AWS Config レコーダーを記述します。
```
$ aws configservice describe-configuration-recorders
```
出力を次の想定出力と比較することで、 AWS Backup Audit Manager リソースタイプがあることを確認します。
```
{
"ConfigurationRecorders":[
{
"name":"default",
"roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
"recordingGroup":{
"allSupported":false,
"includeGlobalResourceTypes":false,
"resourceTypes":[
"AWS::Backup::BackupPlan",
"AWS::Backup::BackupSelection",
"AWS::Backup::BackupVault",
"AWS::Backup::RecoveryPoint"
]
}
}
]
}
```
1. AWS Config 設定ファイルを保存する送信先として Amazon S3 バケットを作成します。
```
$ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1
```
1. *policy.json* を使用して、バケットへのアクセス AWS Config 許可を付与します。次のサンプル。*policy.json*を参照してください。
```
$ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AWSConfigBucketPermissionsCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketExistenceCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketDelivery",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. AWS Config 配信チャネルとしてバケットを設定する
```
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket
```
1. AWS Config 記録を有効にする
```
$ aws configservice start-configuration-recorder --configuration-recorder-name default
```
1. `DescribeFramework`次のように出力が`"FrameworkStatus":"ACTIVE"`あなたの最後の行になっていることを確認します。
```
$ aws backup describe-framework --framework-name test --region us-east-1
```
```
{
"FrameworkName":"test",
"FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
"FrameworkDescription":"",
"FrameworkControls":[
{
"ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredFrequencyUnit",
"ParameterValue":"hours"
},
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"35"
},
{
"ParameterName":"requiredFrequencyValue",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":[
],
"ControlScope":{
}
}
],
"CreationTime":1633463605.233,
"DeploymentStatus":"COMPLETED",
"FrameworkStatus":"ACTIVE"
}
```
## CloudFormation テンプレートを使用してリソース追跡を有効にする
リソース追跡を有効にする CloudFormation テンプレートについては、「 [での AWS Backup Audit Manager CloudFormation](https://docs.aws.amazon.com/aws-backup/latest/devguide/bam-cfn-integration.html)の使用」を参照してください。
# AWS Backup コンソールを使用したフレームワークの作成
リソーストラッキングを有効にした後、次の手順を使用してフレームワークを作成します。
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左のナビゲーションペインで **フレームワーク**を選択します。
1. **フレームワークの作成**を選択します。
1. [**フレームワークネーム**] に、一意のワークフロー名を入力します。フレームワーク名は、1 ~ 256 文字で、文字 (a\$1z)、数字 (0\$19)、アンダースコア (\$1) で構成されます。
1. (任意) **フレームワークの説明**を入力します。
1. **[コントロール]** には、アクティブなコントロールが表示されます。デフォルトでは、リソースの対象となるすべてのコントロールが一覧表示されます。
アクティブにするコントロールを変更するには、**[コントロールを編集]** をクリックします。
1. 最初のチェックボックスは、コントロールがオンになっているかどうかを示します。コントロールをオフにするには、このボックスのチェックを外します。
1. **[評価するリソースを選択]** で、リソースを選択する方法を、タイプ、タグ、または単一リソースから選択できます。
[AWS Backup Audit Manager のコントロール](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)リストでは、各コントロールのカスタマイズオプションについて記述しています。
1. (任意の) [] を選択して**新しいタグを追加**を選択して、フレームワークにタグを付けます。タグを使用して、フレームワークを検索してフィルタリングしたり、コストを追跡したりできます。
1. **フレームワークの作成**を選択します。
AWS Backup Audit Manager は、フレームワークの作成に数分かかる場合があります。
エラー `AlreadyExists` が発生した場合、同じコントロールとパラメーターを備えたフレームワークが既に存在しています。新しいフレームワークを正常に作成するには、少なくとも 1 つのコントロールまたはパラメーターが既存のフレームワークと異なる必要があります。
# AWS Backup API を使用したフレームワークの作成
次の表は、対応する [DescribeFramework](API_DescribeFramework.md)リクエストに対するサンプルAPI対応と共に、[CreateFramework](API_CreateFramework.md)各コントロールについサンプルAPIリクエストを含みます。 AWS Backup Audit Manager をプログラムで操作するには、これらのコードスニペットを参照してください。
****
| コントロール | `CreateFramework`リクエスト | `DescribeFramework`レスポンス |
| --- | --- | --- |
| Backup resources are included in at least one backup plan | {"FrameworkName": "Control1",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"] // Evaluate only RDS instances
}
}
],
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control1",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control1-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup plan minimum frequency and minimum retention | {"FrameworkName": "Control2",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"} // Evaluate backup plans that tagged with "key1": "prod".
}
}
],
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control2",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"}
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} |
| Vaults prevent manual deletion of recovery points | {"FrameworkName": "Control3",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control3",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} |
| Minimum retention established for recovery point | {"FrameworkName": "Control4",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {} // Default scope (no scope input) sets scope to all recovery points.
}
],
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control4",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-6e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup recovery points are encrypted | {"FrameworkName": "Control5",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {} // Default scope (no scope input) is all recovery points
}
],
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control5",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-7e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-Region backup copy is scheduled | {"FrameworkName": "Control6",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control6",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-account backup copy is scheduled | {"FrameworkName": "Control7",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control7",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} |
| Resources are in a backup plan with an AWS Backup Vault Lock | {"FrameworkName": "Control8",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control8",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control8-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} |
| Last recovery point was created | {"FrameworkName": "Control9",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control9",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} |
| Restore time for resources meet target | {"FrameworkName":"Control10",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[
{
"ParameterName":"maxRestoreTime",
"ParameterValue":"720"
}
],
"ControlScope":{
"ComplianceResourceIds":[
],
"ComplianceResourceTypes":[
"DynamoDB" // Evaluates only DynamoDB databases
]
}
}
]"IdempotencyToken":"Control10",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control10",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control10",
"FrameworkTags":
{"key1": "foo"}
} |
| RESOURCES\$1IN\$1LOGICALLY\$1AIR\$1GAPPED\$1VAULT | {"FrameworkName":"Control11",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT",
"ControlInputParameters":[
{
"ParameterName":"recoveryPointAgeValue",
"ParameterValue":"10"
}
{
"ParameterName":"recoveryPointAgeUnit",
"ParameterValue":"days"
}
],
"ControlScope":{
"ComplianceResourceTypes":[
"EC2"
]
}
}
]"IdempotencyToken":"Control11",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control11",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control11-ab1234cd-5e67-89fg-06a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2","EBS"]
}
}
],
"CreationTime": 1726087776.316,
"DeploymentStatus": "COMPLETED",
"FrameworkStatus": "ACTIVE",
"IdempotencyToken": "Control11",
"FrameworkTags":
{"key1": "foo"}
} |
# フレームワークのコンプライアンスステータスの表示
監査フレームワークを作成すると、**フレームワーク**表に表示さえます。このテーブルを表示するには、 AWS Backup コンソールの左側のナビゲーションペインで**フレームワーク**を選択します。フレームワークの監査結果を表示するには、**フレームワーク名**を選択します。そうすることで、**概要**および**コントロール**という2つのセクションがある**フレームワークの詳細**ページに行くことができます。
-**概要**セクションには、次のステータスが左から右に一覧表示さえれます。
+ **コンプライアンス状況**は、各コントロールのコンプライアンスステータスによって決定される監査フレームワークの全体的なコンプライアンスステータスです。各コントロールのコンプライアンスステータスは、評価する各リソースのコンプライアンスステータスによって決まります。
フレームワークコンプライアンス状況は、`Compliant`コントロール評価のスコープ内のすべてのリソースがそれらの評価に合格した場合に限ります。1 つ以上のリソースが制御評価に失敗した場合、コンプライアンスステータスは`Non-Compliant`になります。非準拠のリソースを見つける方法については、[非準拠リソースの検索](https://docs.aws.amazon.com/aws-backup/latest/devguide/finding-non-compliant-resources.html)を参照してください。リソースをコンプライアンスに組み込む方法については、[AWS Backup Audit Manager の制御と修正](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)の「是正」セクションを参照してください。
+ **フレームワークのステータス**は、すべてのリソースのリソーストラッキングを有効にしているかどうかを示します。次のようなステータスがあります。
+ `Active`フレームワークが評価するすべてのリソースで記録が有効になっている場合。
+ `Partially active`少なくとも 1 つのリソースについて記録がオフになっている場合、フレームワークが評価します。
+ `Inactive`フレームワークが評価するすべてのリソースについて記録がオフになっている場合。
+ `Unavailable` AWS Backup Audit Manager が現時点で記録ステータスを検証できない場合。
**`Partially active`もしくは`Inactive`状態を修正するには**
1. 左のナビゲーションペインの [**フレームワーク**] を選択します。
1. **リソーストラッキングの管理**を選択します。
1. ポップアップの指示に従って、リソースタイプで以前に無効になっていた録音を有効にします。
フレームワークに含まれるコントロールに基づいて、リソーストラッキングが必要なリソースタイプの詳細については、[AWS Backup Audit Manager の制御と修正](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)のリソースコンポーネントを参照してください。
+ **デプロイのステータス**は、フレームワークのデプロイステータスを示します。このステータスは、ほとんどの場合`Completed`とすることができますが、。`Create in progress`,`Update in progress`,`Delete in progress`, および`Failed`も可能です。
+ ステータスが `Failed` の場合、フレームワークが正しくデプロイされなかったことを意味します。[フレームワークを削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)し、[AWS Backup コンソール](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-console.html)を用いて、または [AWS Backup API](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html) を使用してフレームワークを再作成します。
+ **準拠のコントロール**は、すべての評価が渡されたフレームワークコントロールの数を表示します。
+ **非準拠のコントロール**は、少なくとも 1 つの評価が合格していないフレームワークコントロールの数を表示します。
-**コントロール**セクションには、次の情報が表示されます。
+ **コントロールステータス**は、各コントロールのコンプライアンスステータスを示します。コントロールは`Compliant`つまり、すべてのリソースがその評価に合格することを意味します。`Non-compliant`、少なくとも1つのリソースがその評価に合格しなかったことを意味するか、もしくは`Insufficient data`。つまり、コントロールが評価スコープ内に評価するリソースが見つからなかったことを意味します。
+ **評価スコープ**は、各コントロールを 1 つもしくは複数**リソースタイプ**に制限する必要があります。1 つの**リソース ID**、もしくは1つ**タグキー**および****監査フレームワークの作成時にコントロールをカスタマイズした方法に基づたタグ値です。すべてのフィールドが空の場合 (ダッシュ「-」で表示)、コントロールは適用可能なすべてのリソースを評価します。
# アカウントの非準拠リソースの検索
AWS Backup Audit Manager は、2 つの方法で非準拠のリソースを見つけるのに役立ちます。
+ [フレームワークのコンプライアンスステータスを表示する際は、](https://docs.aws.amazon.com/aws-backup/latest/devguide/viewing-frameworks.html)で、コントロール名を**詳細セクション**でコントロール名を選択してください。これにより、 AWS Config コンソールに移動し、 `Non-Compliant`リソースのリストを表示できます。
+ フレームワークが含まれている[リソースコンプライアンステンプレートを使用してレポートを作成](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html)した後で、すべてのコントロールにまたがる`Non-Compliant`リソースを特定する[レポートを見る](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-reports.html)ことができます。
さらに、`Resource compliance report` AWS Backup Audit Manager が、最後に各コントロールを評価した最後の時間を表示します。
# 監査フレームワークを更新する
既存の監査フレームワークの説明、コントロール、およびパラメータを更新できます。
**既存のフレームワークを更新するには**
1. AWS Backup コンソールの左側のナビゲーションペインで、**フレームワーク**を選択します。
1. **フレームワーク名**で編集したいフレームワークを選択します。
1. **[編集]** を選択します。
# 監査フレームワークを削除する
**既存のフレームワークを削除するには**
1. AWS Backup コンソールの左側のナビゲーションペインで、**フレームワーク**を選択します。
1. **フレームワーク名**で削除したいフレームワークを選択します。
1. **[削除]** を選択します。
1. フレームワークの名前を入力して、**フレームワークの削除**を選択します。