AWS Backup Vault Lock - AWS Backup
Modos de bloqueio do cofreBenefícios do Vault LockBloquear um cofre de backup usando o console Bloquear um cofre de backup de forma programáticaRevisar um cofre de backup para a configuração do AWS Backup Vault LockRemoção do bloqueio do cofre durante o período de carência (modo de conformidade)Fechamento da Conta da AWS com um cofre bloqueadoConsiderações adicionais sobre segurança

AWS Backup Vault Lock

nota

O AWS Backup Vault Lock foi avaliado pela Cohasset Associates para uso em ambientes sujeitos aos regulamentos SEC 17a-4, CFTC e FINRA. Para obter mais informações sobre como o AWS Backup Vault Lock se relaciona a essas regulamentações, consulte o Cohasset Associates Compliance Assessment.

O AWS Backup Vault Lock é um recurso opcional de um cofre de backup, que pode ser útil para oferecer segurança e controle adicionais para seus cofres de backup. Quando um bloqueio está ativo no modo de conformidade e o tempo de carência termina, a configuração do cofre não poderá ser alterada ou excluída por um cliente, proprietário da conta/dados ou pela AWS enquanto contiver pontos de recuperação. Cada cofre pode ter um bloqueio de cofre em vigor.

O AWS Backup garante que seus backups estejam disponíveis para você até que atinjam a expiração dos períodos de retenção. Se algum usuário (incluindo o usuário raiz) tentar excluir um backup ou alterar as propriedades do ciclo de vida em um cofre bloqueado, o AWS Backup negará a operação.

  • Os cofres bloqueados no modo de governança podem ter o bloqueio removido por usuários com permissões suficientes do IAM.

  • Os cofres bloqueados no modo de conformidade não podem ser excluídos depois que o período de reflexão ("período de carência"), caso haja pontos de recuperação no cofre. Durante o período de carência, você ainda pode remover o bloqueio do cofre e alterar a configuração do bloqueio.

Modos de bloqueio do cofre

Ao criar um bloqueio de cofre, você pode escolher entre dois modos: modo de governança ou modo de conformidade. O modo de governança tem como objetivo permitir que um cofre seja gerenciado somente por usuários com privilégios suficientes do IAM. O modo de governança ajuda a organização a atender aos requisitos de governança, garantindo que somente a equipe designada possa fazer alterações em um cofre de backup. O modo de conformidade é destinado a cofres de backup nos quais se espera que o cofre (e, por extensão, seu conteúdo) nunca seja excluído ou alterado até que o período de retenção de dados seja concluído. Quando um cofre no modo de conformidade é bloqueado, ele fica imutável, o que significa que o bloqueio não pode ser removido (o cofre em si pode ser excluído se estiver vazio e não contiver pontos de recuperação).

Um cofre bloqueado no modo de governança pode ser gerenciado ou excluído por usuários que tenham as permissões apropriadas do IAM.

Um bloqueio de cofre no modo de conformidade não pode ser alterado ou excluído por nenhum usuário ou pela AWS. Um bloqueio de cofre no modo de conformidade tem um período de carência que você define antes de ele ser bloqueado e se tornar imutável.

Benefícios do Vault Lock

O AWS Backup Vault Lock oferece vários benefícios, incluindo:

  • Configuração WORM (write once, read-many) para todos os backups que você armazena e cria em um cofre de backup.

  • Uma camada adicional de defesa que protege os backups (pontos de recuperação) em seus cofres de backup contra exclusões inadvertidas ou mal-intencionadas.

  • Aplicação de períodos de retenção, que evitam exclusões antecipadas por usuários privilegiados (incluindo o usuário raiz da Conta da AWS) e atendem às políticas e procedimentos de proteção de dados da sua organização.

Bloquear um cofre de backup usando o console

Você pode adicionar um bloqueio de cofre do AWS Backup usando o console do Backup.

Como adicionar um bloqueio de cofre ao seu cofre de backup:

  1. Faça login no AWS Management Console e abra o console do AWS Backup em https://console.aws.amazon.com/backup.

  2. No painel de navegação, selecione Cofres de backup. Clique no link aninhado em Cofres de backup chamado Bloqueios de cofre.

  3. Em Como funcionam os bloqueios do cofre ou Bloqueios de cofre, clique em + Criar bloqueio de cofre.

  4. No painel Detalhes do bloqueio de cofre, escolha em qual cofre você deseja aplicar o bloqueio.

  5. Em Modo de bloqueio de cofre, escolha em qual modo você deseja que seu cofre seja bloqueado. Para obter mais informações sobre como escolher seus modos, consulte Modos de bloqueio de cofre anteriormente nesta página.

  6. Para o período de retenção, escolha os períodos mínimo e máximo de retenção (os períodos de retenção são opcionais). Haverá falha nos novos trabalhos de backup e cópia criados no cofre se não estiverem em conformidade com os períodos de retenção que você definiu. Esses períodos não se aplicarão aos pontos de recuperação que já estiverem no cofre.

  7. Se você escolher o modo de conformidade, uma seção chamada Data de início do bloqueio de cofre será exibida. Se você escolher o modo de governança, isso não será exibido e essa etapa poderá ser ignorada.

    No modo de conformidade, um bloqueio de cofre tem um período de reflexão desde a criação do bloqueio até que o cofre e seu bloqueio se tornem imutáveis e inalteráveis. Você escolhe a duração desse período (chamado de período de carência), embora deva ser de pelo menos três dias (72 horas).

    Importante

    Depois que o período de carência expirar, o cofre e seu bloqueio serão imutáveis. Ele não pode ser alterado ou excluído por nenhum usuário ou pela AWS.

  8. Quando estiver satisfeito com as opções de configuração, clique em Criar bloqueio de cofre.

  9. Para confirmar que você deseja criar esse bloqueio no modo escolhido, digite confirm na caixa de texto e marque a caixa confirmando que a configuração está conforme pretendido.

Se as etapas tiverem sido concluídas com êxito, um banner “Êxito” será exibido na parte superior do console.

Bloquear um cofre de backup de forma programática

Para configurar o AWS Backup Vault Lock, use a API PutBackupVaultLockConfiguration. Os parâmetros a serem incluídos dependerão do modo de bloqueio do cofre que você pretende usar. Se você deseja criar um bloqueio de cofre no modo de governança, não inclua ChangeableForDays. Se esse parâmetro for incluído, o bloqueio do cofre será criado no modo de conformidade.

Aqui está um exemplo de CLI da criação de um bloqueio de cofre no modo de conformidade:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Aqui está um exemplo de CLI da criação de um bloqueio de cofre no modo de governança:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

É possível configurar quatro opções.

  1. BackupVaultName

    O nome do cofre a ser bloqueado.

  2. ChangeableForDays (inclua somente para o modo de conformidade)

    Esse parâmetro instrui o AWS Backup a criar o bloqueio do cofre no modo de conformidade. Omita esse parâmetro se você pretende criar o bloqueio no modo de governança.

    Esse valor é expresso em dias. Deve ser um número não menor que 3 e não maior que 36.500. Caso contrário, será retornado um erro.

    Desde a criação desse bloqueio de cofre até a expiração da data especificada, o bloqueio do cofre poderá ser removido do cofre usando DeleteBackupVaultLockConfiguration. Como alternativa, durante esse período, você poderá alterar a configuração usando PutBackupVaultLockConfiguration.

    Na data especificada e determinada por esse parâmetro, o cofre de backup será imutável e não poderá ser alterado ou excluído.

  3. MaxRetentionDays (opcional)

    Esse é um valor numérico expresso em dias. Esse é o período máximo de retenção que o cofre retém seus pontos de recuperação.

    O período máximo de retenção que você escolher deve estar alinhado com as políticas de retenção de dados da sua organização. Se a sua organização instruir que os dados sejam retidos por um período, esse valor poderá ser definido para esse período (em dias). Por exemplo, pode ser necessário manter dados financeiros ou bancários por sete anos (aproximadamente 2.557 dias, dependendo dos anos bissextos).

    Se esse parâmetro não for especificado, o AWS Backup Vault Lock não aplicará um período mínimo de retenção. Se especificado, haverá falha nos trabalhos de backup e cópia para esse cofre com períodos de retenção do ciclo de vida superiores ao período máximo de retenção. Os pontos de recuperação já salvos no cofre antes da criação do bloqueio de cofre não serão afetados. O período máximo de retenção mais longo que você pode especificar é de 36.500 dias (aproximadamente 100 anos).

  4. MinRetentionDays (opcional; necessário para o CloudFormation)

    Esse é um valor numérico expresso em dias. Esse é o período mínimo de retenção que o cofre retém seus pontos de recuperação. Essa configuração deve ser definida de acordo com a quantidade de tempo que sua organização deve manter os dados. Por exemplo, se os regulamentos ou leis exigirem que os dados sejam retidos por pelo menos sete anos, o valor em dias seria de aproximadamente 2.557, dependendo dos anos bissextos.

    Se esse parâmetro não for especificado, o AWS Backup Vault Lock não aplicará um período mínimo de retenção. Se especificado, haverá falha nos trabalhos de backup e cópia para esse cofre com períodos de retenção do ciclo de vida inferiores ao período mínimo de retenção. Os pontos de recuperação já salvos no cofre antes do AWS Backup Vault Lock não serão afetados. O período mínimo de retenção mais curto que você pode especificar é de um dia.

Revisar um cofre de backup para a configuração do AWS Backup Vault Lock

É possível revisar os detalhes do AWS Backup Vault Lock em um cofre a qualquer momento por meio de chamadas às APIs DescribeBackupVault ou ListBackupVaults.

Para determinar se você aplicou um bloqueio de cofre a um cofre de backup, chame DescribeBackupVault e verifique a propriedade Locked. Se "Locked": true, como no exemplo a seguir, você aplicou o AWS Backup Vault Lock ao seu cofre de backup.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

A saída anterior confirma as seguintes opções:

  1. Locked é um booliano que indica se você aplicou o AWS Backup Vault Lock a esse cofre de backup. True significa que o AWS Backup Vault Lock faz com que haja falha nas operações de exclusão ou atualização dos pontos de recuperação armazenados no cofre (independentemente de você ainda estar no período de carência de reflexão).

  2. LockDate é a data e a hora em UTC em que seu período de carência de reflexão termina. Após esse período, você não poderá excluir ou alterar seu bloqueio neste cofre. Use qualquer conversor de horário disponível publicamente para converter essa string em sua hora local.

Se "Locked":false, como no exemplo a seguir, você não tiver aplicado um bloqueio de cofre (ou se um anterior tiver sido excluído).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Remoção do bloqueio do cofre durante o período de carência (modo de conformidade)

Para excluir o bloqueio do cofre durante o período de carência (o tempo após o bloqueio do cofre, mas antes da sua LockDate) usando o console do AWS Backup,

  1. Faça login no AWS Management Console e abra o console do AWS Backup em https://console.aws.amazon.com/backup.

  2. No painel de navegação esquerdo, em Minha conta, clique em Cofres de backup e, em seguida, clique em Backup Vault Lock.

  3. Clique no bloqueio do cofre que você deseja remover e, em seguida, clique em Gerenciar bloqueio de cofre.

  4. Clique em Excluir cofre.

  5. Uma caixa de aviso será exibida solicitando que você confirme sua intenção de excluir o bloqueio do cofre. Digite confirm na caixa de texto e clique em confirmar.

Depois que todas as etapas forem concluídas com êxito, um banner de Êxito será exibido na parte superior da tela do console.

Para excluir o bloqueio do cofre durante o período de carência usando um comando da CLI, use DeleteBackupVaultLockConfiguration como este exemplo de CLI:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Fechamento da Conta da AWS com um cofre bloqueado

Quando você fecha uma Conta da AWS que contém um cofre de backup, a AWS e o AWS Backup suspendem sua conta por 90 dias com seus backups intactos. Se você não reabrir sua conta durante esses 90 dias, a AWS excluirá o conteúdo do seu cofre de backup, mesmo se o AWS Backup Vault Lock estiver em vigor.

Considerações adicionais sobre segurança

O AWS Backup Vault Lock adiciona uma camada adicional de segurança à sua defesa de proteção de dados em profundidade. É possível combinar o bloqueio do cofre com esses outros recursos de segurança:

nota

O Bloqueio de Cofre do AWS Backup não é o mesmo recurso que o S3 Glacier Flexible Retrieval Vault Lock, que é compatível somente com o S3 Glacier.