As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhar com frameworks de auditoria
Uma *framework* é uma coleção de controles podem ser utilizados para avaliar suas práticas de backup. É possível usar controles personalizáveis predefinidos para definir suas políticas, você pode avaliar se as suas práticas de backup estão em conformidade com as suas políticas. Você também pode configurar relatórios diários automáticos para obter informações sobre o status de conformidade de suas frameworks.
Cada estrutura se aplica a uma única conta Região da AWS e. Você pode implantar um máximo de 15 frameworks por conta, por região. Não é possível implantar frameworks duplicadas (frameworks que contêm os mesmos controles e parâmetros).
Há dois tipos diferentes de frameworks:
+ A **framework do AWS Backup ** (recomendada): use a framework do AWS Backup para implantar todos os controles disponíveis para monitorar sua atividade, cobertura e recursos de backup em relação às melhores práticas que recomendamos.
+ Uma **framework personalizada** que você define: use uma framework personalizada para escolher um ou mais controles específicos e personalizar os parâmetros de controle.
**Topics**
+ [Escolher seus controles](choosing-controls.md)
+ [Ativar o rastreamento de recursos](turning-on-resource-tracking.md)
+ [Criação de estruturas usando o console AWS Backup](creating-frameworks-console.md)
+ [Criação de estruturas usando a API AWS Backup](creating-frameworks-api.md)
+ [Visualizar o status de conformidade da framework](viewing-frameworks.md)
+ [Encontrar recursos que não estão em conformidade](finding-non-compliant-resources.md)
+ [Atualizar frameworks de auditoria](updating-frameworks.md)
+ [Excluir frameworks de auditoria](deleting-frameworks.md)
# Escolher seus controles
A tabela a seguir lista os controles do AWS Backup Audit Manager, seus parâmetros personalizáveis e seus tipos de recursos de AWS Config gravação.
**Controles disponíveis**
| Nome do controle | Descrição do controle | Parâmetros personalizáveis | AWS Config tipo de recurso de gravação |
| --- | --- | --- | --- |
| Os recursos de backup estão incluídos em pelo menos um plano de backup | Avalia se os recursos estão incluídos em pelo menos um plano de backup. | Nenhum | AWS Backup: backup selection |
| O plano de backup tem frequência mínima e retenção mínima | Avalia se a frequência de backup é de pelo menos [1 dia] e o período de retenção é de pelo menos [35 dias]. | Frequência de backup; período de retenção | AWS Backup: backup plans |
| Os cofres impedem a exclusão manual dos pontos de recuperação | Avalia se os cofres de backup não permitem a exclusão manual de pontos de recuperação, exceto por determinadas funções AWS Identity and Access Management (IAM). Por padrão, não há exceções de perfil do IAM. Também não há exceções de função do IAM quando você implanta esse controle com a AWS Backup estrutura. | Até cinco perfis do IAM que permitem a exclusão manual de pontos de recuperação | AWS Backup: backup vaults |
| Os pontos de recuperação são criptografados | Avalia se os pontos de recuperação estão criptografados. | Nenhum | AWS Backup: recovery points |
| Retenção mínima estabelecida para o ponto de recuperação | Avalia se o período de retenção do ponto de recuperação é de pelo menos [35 dias]. | Período de retenção do ponto de recuperação | AWS Backup: recovery points |
| A cópia de backup entre regiões está programada | Avalia se um recurso está configurado para criar cópias de seus backups em outra Região da AWS. | Região da AWS | AWS Backup: backup selection |
| Uma cópia de backup entre contas está programada | Avalia se um recurso tem uma cópia de backup entre contas configurada. | AWS ID da conta | AWS Backup: backup selection |
| Os recursos estão em um plano de backup com um AWS Backup Vault Lock | Avalia se um recurso tem um plano de backup configurado para armazenar backups em um cofre de backup bloqueado. | Dias mínimos de retenção; dias máximos de retenção | AWS Backup: backup selection |
| O último ponto de recuperação foi criado | Avalia se um ponto de recuperação foi criado dentro do prazo especificado. | Valor em horas [de 1 às 744] ou dias [de 1 a 31]. | AWS Backup recovery points |
| Tempo de restauração para recursos cumpre a meta | Avalia se o trabalho de testes de restauração foi concluído dentro do tempo de restauração previsto. | Valor em minutos | Nenhum |
| Os recursos estão em um cofre logicamente isolado | Avalia se os recursos têm pelo menos um ponto de recuperação copiado para um cofre logicamente isolado dentro do valor e do prazo especificados. | Valor em minutos, horas ou dias | AWS Backup: recovery points |
Para obter informações detalhadas sobre esses controles, consulte [Controles e remediação](controls-and-remediation.md).
Para ver uma lista dos recursos AWS Backup compatíveis que não oferecem suporte a todos os controles, consulte a seção AWS Backup Audit Manager da [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) tabela.
**nota**
Se você não quiser usar nenhum dos controles anteriores, ainda poderá usar o AWS Backup Audit Manager para criar relatórios diários de suas tarefas de backup, cópia e restauração. Consulte [Trabalhar com relatórios de auditoria](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-audit-reports.html).
# Ativar o rastreamento de recursos
Antes de criar sua primeira framework relacionada à conformidade, é necessário ativar o rastreamento de recursos. Isso permite AWS Config rastrear seus AWS Backup recursos. Para obter a documentação técnica sobre como gerenciar o rastreamento de recursos, consulte [Configuração AWS Config com o console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) no *Guia do AWS Config desenvolvedor*.
As cobranças serão aplicadas quando você ativar o rastreamento de recursos. Para obter informações sobre controle de recursos, preços e cobrança para o AWS Backup Audit Manager, consulte [Medição, custos e](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html) cobrança.
**Topics**
+ [Ativar o rastreamento de recursos usando o console](#turning-on-resource-tracking-console)
+ [Ativando o rastreamento de recursos usando o AWS Command Line Interface (AWS CLI)](#turning-on-resource-tracking-cli)
+ [Ativando o rastreamento de recursos usando um CloudFormation modelo](#turning-on-resource-tracking-cfn)
## Ativar o rastreamento de recursos usando o console
**Como ativar o rastreamento de recursos usando o console:**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação esquerdo, em **Audit Manager**, escolha **Frameworks**.
1. Ative o rastreamento de recursos escolhendo **Gerenciar rastreamento de recursos**.
1. Escolha **Ir para AWS Config configurações**.
1. Escolha **Ativar ou desativar a gravação**.
1. Escolha **Habilitar** a gravação para todos os tipos de recursos a seguir ou escolha habilitar a gravação para alguns tipos de recursos. Consulte [Controles e correções do AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) para saber quais tipos de recursos são necessários para seus controles.
+ `AWS Backup: backup plans`
+ `AWS Backup: backup vaults`
+ `AWS Backup: recovery points`
+ `AWS Backup: backup selection`
1. Escolha **Fechar**.
1. Aguarde até que o banner azul com o texto **Ativando o rastreamento de recursos** faça a transição para o banner verde com o texto **O rastreamento de recursos está ativado**.
Você pode verificar se ativou o rastreamento de recursos e, em caso afirmativo, quais tipos de recursos você está gravando, em dois lugares no AWS Backup console. No painel de navegação esquerdo:
+ Escolha **Frameworks** e, em seguida, escolha o texto em **Status do gravador do AWS Config **.
+ Escolha **Configurações** e, depois, escolha o texto em **Status do gravador do AWS Config **.
## Ativando o rastreamento de recursos usando o AWS Command Line Interface (AWS CLI)
Se você ainda não embarcou no AWS Config, talvez seja mais rápido fazer a integração usando o. AWS CLI
**Como ativar o rastreamento de recursos usando a AWS CLI:**
1. Digite o comando a seguir para determinar se você já ativou o gravador do AWS Config .
```
$ aws configservice describe-configuration-recorders
```
1. Se a sua lista de `ConfigurationRecorders` estiver vazia como desta forma:
```
{
"ConfigurationRecorders": []
}
```
Seu gravador não está habilitado. Continue para a etapa 2 para criar o gravador.
1. Se já tiver habilitado a gravação para todos os recursos, a saída de `ConfigurationRecorders` ficará assim:
```
{
"ConfigurationRecorders":[
{
"recordingGroup":{
"allSupported":true,
"resourceTypes":[
],
"includeGlobalResourceTypes":true
},
"roleARN":"arn:aws:iam::[account]:role/[roleName]",
"name":"default"
}
]
}
```
Como ativou todos os recursos, você já ativou também o rastreamento de recursos. Você não precisa concluir o restante desse procedimento para usar o AWS Backup Audit Manager.
1. Crie um AWS Config gravador com os tipos de recursos do AWS Backup Audit Manager
```
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"
```
1. Descreva seu AWS Config gravador.
```
$ aws configservice describe-configuration-recorders
```
Verifique se ele tem os tipos de recursos do AWS Backup Audit Manager comparando sua saída com a seguinte saída esperada.
```
{
"ConfigurationRecorders":[
{
"name":"default",
"roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
"recordingGroup":{
"allSupported":false,
"includeGlobalResourceTypes":false,
"resourceTypes":[
"AWS::Backup::BackupPlan",
"AWS::Backup::BackupSelection",
"AWS::Backup::BackupVault",
"AWS::Backup::RecoveryPoint"
]
}
}
]
}
```
1. Crie um bucket do Amazon S3 como destino para armazenar os arquivos de AWS Config configuração.
```
$ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1
```
1. Use *policy.json* para conceder AWS Config permissão para acessar seu bucket. Veja o exemplo a seguir*policy.json*.
```
$ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AWSConfigBucketPermissionsCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketExistenceCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid":"AWSConfigBucketDelivery",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Configure seu bucket como um canal AWS Config de entrega
```
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket
```
1. Ativar AWS Config gravação
```
$ aws configservice start-configuration-recorder --configuration-recorder-name default
```
1. Verifique se `"FrameworkStatus":"ACTIVE"` na última linha de sua saída `DescribeFramework` da seguinte forma:
```
$ aws backup describe-framework --framework-name test --region us-east-1
```
```
{
"FrameworkName":"test",
"FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
"FrameworkDescription":"",
"FrameworkControls":[
{
"ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredFrequencyUnit",
"ParameterValue":"hours"
},
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"35"
},
{
"ParameterName":"requiredFrequencyValue",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":[
],
"ControlScope":{
}
}
],
"CreationTime":1633463605.233,
"DeploymentStatus":"COMPLETED",
"FrameworkStatus":"ACTIVE"
}
```
## Ativando o rastreamento de recursos usando um CloudFormation modelo
Para um CloudFormation modelo que ativa o rastreamento de recursos, consulte [Usando o AWS Backup Audit Manager com CloudFormation](https://docs.aws.amazon.com/aws-backup/latest/devguide/bam-cfn-integration.html).
# Criação de estruturas usando o console AWS Backup
Depois de ativar o rastreamento de recursos, crie uma framework usando as etapas a seguir.
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação esquerdo, selecione **Frameworks**.
1. Escolha **Criar framework**.
1. Em **Nome da framework**, insira um nome exclusivo. Esse nome de framework deve ter entre 1 e 256 caracteres, começando com uma letra, e consiste em letras (a-z, A-Z), números (0-9) e sublinhados (\$1).
1. (Opcional) Insira uma **Descrição da framework**.
1. Em **Controles**, seus controles ativos serão exibidos. Por padrão, todos os controles elegíveis para um recurso são listados.
Para alterar quais controles estão ativos, clique em **Editar controles**.
1. A primeira caixa de seleção indica se o controle está ativado. Para desativar um controle, desmarque a caixa.
1. Em **Escolher recursos a serem avaliados**, você poderá selecionar como escolher recursos, seja por tipo, por tags ou por um único recurso.
A lista de [Controles do AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) descreve as opções de personalização de cada controle.
1. (Opcional) Marque a framework escolhendo **Adicionar nova tag**. Você pode usar tags para pesquisar e filtrar as frameworks ou monitorar seus custos.
1. Escolha **Criar framework**.
AWS Backup O Audit Manager pode levar alguns minutos para criar a estrutura.
Se o erro `AlreadyExists` ocorrer, isso indica que já existe uma framework com os mesmos controles e parâmetros. Para criar uma framework com êxito, pelo menos um controle ou parâmetro deve ser diferente das frameworks existentes.
# Criação de estruturas usando a API AWS Backup
A tabela a seguir contém exemplos de solicitações de API [CreateFramework](API_CreateFramework.md) para cada controle, junto com exemplos de respostas de API às solicitações [DescribeFramework](API_DescribeFramework.md) correspondentes. Para trabalhar com o AWS Backup Audit Manager de forma programática, você pode consultar esses trechos de código.
****
| Controle | Solicitação `CreateFramework` | Resposta `DescribeFramework` |
| --- | --- | --- |
| Backup resources are included in at least one backup plan | {"FrameworkName": "Control1",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"] // Evaluate only RDS instances
}
}
],
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control1",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control1-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["RDS"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control1",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup plan minimum frequency and minimum retention | {"FrameworkName": "Control2",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"} // Evaluate backup plans that tagged with "key1": "prod".
}
}
],
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control2",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"},
{"ParameterName": "requiredFrequencyUnit",
"ParameterValue": "hours"},
{"ParameterName": "requiredFrequencyValue",
"ParameterValue": "24"}
],
"ControlScope":
{
"Tags": {"key1": "prod"}
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control2",
"FrameworkTags":
{"key1": "foo"}
} |
| Vaults prevent manual deletion of recovery points | {"FrameworkName": "Control3",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control3",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control2-de7655ae-1e31-45cb-96a0-4f43d8c1969d",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":
[
{"ParameterName": "principalArnList",
"ParameterValue":
"arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess,
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer,
arn:aws:iam::123456789012:role/service-role/QuickSightAction"}
],
"ControlScope":
{"ComplianceResourceIds":["default"],
"ComplianceResourceTypes": ["AWS::Backup::BackupVault"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control3",
"FrameworkTags":
{"key1": "foo"}
} |
| Minimum retention established for recovery point | {"FrameworkName": "Control4",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {} // Default scope (no scope input) sets scope to all recovery points.
}
],
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control4",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-6e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":
[
{"ParameterName": "requiredRetentionDays",
"ParameterValue": "35"}
],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control4",
"FrameworkTags":
{"key1": "foo"}
} |
| Backup recovery points are encrypted | {"FrameworkName": "Control5",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {} // Default scope (no scope input) is all recovery points
}
],
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control5",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-7e7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":
[],
"ControlScope": {}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control5",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-Region backup copy is scheduled | {"FrameworkName": "Control6",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control6",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control6-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_REGION",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control6",
"FrameworkTags":
{"key1": "foo"}
} |
| Cross-account backup copy is scheduled | {"FrameworkName": "Control7",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control7",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control7-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_CROSS_ACCOUNT",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control7",
"FrameworkTags":
{"key1": "foo"}
} |
| Resources are in a backup plan with an AWS Backup Vault Lock | {"FrameworkName": "Control8",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control8",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control8-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_RESOURCES_PROTECTED_BY_BACKUP_VAULT_LOCK",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control8",
"FrameworkTags":
{"key1": "foo"}
} |
| Last recovery point was created | {"FrameworkName": "Control9",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"] // Evaluate only EC2 instances
}
}
],
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} | {"FrameworkName": "Control9",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "BACKUP_LAST_RECOVERY_POINT_CREATED",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control9",
"FrameworkTags":
{"key1": "foo"}
} |
| Restore time for resources meet target | {"FrameworkName":"Control10",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[
{
"ParameterName":"maxRestoreTime",
"ParameterValue":"720"
}
],
"ControlScope":{
"ComplianceResourceIds":[
],
"ComplianceResourceTypes":[
"DynamoDB" // Evaluates only DynamoDB databases
]
}
}
]"IdempotencyToken":"Control10",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control10",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control9-ce7655ae-1e31-45cb-96a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "RESTORE_TIME_FOR_RESOURCES_MEET_TARGET",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2"]
}
}
],
"CreationTime": 1516925490,
"DeploymentStatus": "Active",
"FrameworkStatus": "Completed",
"IdempotencyToken": "Control10",
"FrameworkTags":
{"key1": "foo"}
} |
| RESOURCES\$1IN\$1LOGICALLY\$1AIR\$1GAPPED\$1VAULT | {"FrameworkName":"Control11",
"FrameworkDescription":"This is a test framework",
"FrameworkControls":[
{
"ControlName":"RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT",
"ControlInputParameters":[
{
"ParameterName":"recoveryPointAgeValue",
"ParameterValue":"10"
}
{
"ParameterName":"recoveryPointAgeUnit",
"ParameterValue":"days"
}
],
"ControlScope":{
"ComplianceResourceTypes":[
"EC2"
]
}
}
]"IdempotencyToken":"Control11",
"FrameworkTags":{
"key1":"foo"
}
} | {"FrameworkName": "Control11",
"FrameworkArn": "arn:aws:backup:us-east-1:123456789012:framework/Control11-ab1234cd-5e67-89fg-06a0-4f43d8c19642",
"FrameworkDescription": "This is a test framework",
"FrameworkControls":
[
{"ControlName": "",
"ControlInputParameters":[],
"ControlScope":
{"ComplianceResourceTypes":
["EC2","EBS"]
}
}
],
"CreationTime": 1726087776.316,
"DeploymentStatus": "COMPLETED",
"FrameworkStatus": "ACTIVE",
"IdempotencyToken": "Control11",
"FrameworkTags":
{"key1": "foo"}
} |
# Visualizar o status de conformidade da framework
Depois de criar uma framework de auditoria, ela será exibida na tabela **Frameworks**. Você pode visualizar essa tabela escolhendo **Frameworks** no painel de navegação esquerdo do AWS Backup console. Para visualizar os resultados da auditoria de sua framework, escolha o **Nome da framework**. Isso levará você à página **Detalhes da framework**, que tem duas seções: **Resumo** e **Controles**.
A seção **Resumo** lista os seguintes status da esquerda para a direita:
+ O **status de conformidade** é o status geral de conformidade da framework de auditoria, conforme determinado pelo status de conformidade de cada um de seus controles. O status de conformidade de cada controle é determinado pelo status de conformidade de cada recurso que ele avalia.
O status de conformidade da framework será `Compliant` somente se todos os recursos no escopo de suas avaliações de controle tiverem sido aprovados nessas avaliações. Se houver falha em um ou mais recursos em uma avaliação de controle, o status de conformidade será `Non-Compliant`. Para obter informações sobre como encontrar os recursos que não estejam em conformidade, consulte [Encontrar recursos que não estão em conformidade](https://docs.aws.amazon.com/aws-backup/latest/devguide/finding-non-compliant-resources.html). Para obter informações sobre como colocar seus recursos em conformidade, consulte a seção de correções [Controles e correções do AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ **O status da framework** se refere a se você ativou o rastreamento de recursos para todos os seus recursos. Os possíveis status são:
+ `Active` quando a gravação está ativada para todos os recursos que a framework avalia.
+ `Partially active` quando a gravação está desativada para pelo menos um recurso que a framework avalia.
+ `Inactive` quando a gravação está desativada para todos os recursos que a framework avalia.
+ `Unavailable`quando o AWS Backup Audit Manager não consegue validar o status da gravação no momento.
**Como corrigir um status `Partially active` ou `Inactive`**
1. Selecione **Usuário** no painel de navegação esquerdo.
1. Selecione **Gerenciar rastreamento de recursos**.
1. Siga as instruções na janela pop-up para ativar a gravação que não estava habilitada anteriormente para seus tipos de recursos.
Para obter mais informações sobre quais tipos de recursos exigem rastreamento de recursos com base nos controles que você incluiu em suas frameworks, consulte o componente do recurso de [Controles e correções do AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
+ O **status de implantação** se refere ao status de implantação da framework. Esse status geralmente deve ser `Completed`, mas também pode ser `Create in progress`, `Update in progress`, `Delete in progress` e `Failed`.
+ Um status de `Failed` significa que a framework não foi implantada corretamente. [Exclua a framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html) e recrie-a por meio do [console do AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-console.html) ou da [API do AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html).
+ Os **controles em conformidade** mostram uma contagem de controles da framework com todas as avaliações aprovadas.
+ Os **controles que não estão em conformidade** mostram uma contagem de controles da framework com pelo menos uma avaliação não aprovada.
A seção **Controles**, mostra as seguintes informações:
+ O **status do controle** se refere ao status de conformidade de cada controle. Um controle pode ser`Compliant`, que significa que todos os recursos passaram nessa avaliação; `Non-compliant`, que significa que pelo menos um recurso não passou nessa avaliação ou `Insufficient data`, que significa que o controle não encontrou recursos dentro do escopo da avaliação para avaliar.
+ O **escopo da avaliação** pode limitar cada controle a um ou mais **tipos de recursos**, um **ID de recurso** ou uma **chave de tag** e **valor de tag**, com base em como você personalizou o controle ao criar a framework de auditoria. Se todos os campos estiverem vazios (conforme mostrado por um traço, “-”), o controle avaliará todos os recursos aplicáveis.
# Encontrar recursos que não estão em conformidade
AWS Backup O Audit Manager ajuda você a descobrir quais recursos não estão em conformidade de duas maneiras.
+ Ao [Visualizar o status de conformidade da framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/viewing-frameworks.html), escolha o nome do controle na **seção Detalhes**. Isso leva você ao AWS Config console, onde você pode ver uma lista dos seus `Non-Compliant` recursos.
+ Depois de [criar um plano de relatório com o modelo de conformidade de recursos](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html) que inclui sua framework, você poderá [visualizar seu relatório](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-reports.html) para identificar todos os recursos do `Non-Compliant` em todos os seus controles.
Além disso, o `Resource compliance report` mostra a última vez que o AWS Backup Audit Manager avaliou cada um dos seus controles pela última vez.
# Atualizar frameworks de auditoria
É possível atualizar a descrição, os controles e os parâmetros de uma framework de auditoria existente.
**Como atualizar uma framework existente**
1. No painel de navegação esquerdo AWS Backup do console, escolha **Frameworks**.
1. Escolha a framework que você deseja editar pelo **Nome da framework**.
1. Escolha **Editar**.
# Excluir frameworks de auditoria
**Como excluir uma framework existente**
1. No painel de navegação esquerdo AWS Backup do console, escolha **Frameworks**.
1. Escolha a framework que você deseja excluir pelo **Nome da framework**.
1. Escolha **Excluir**.
1. Digite o nome da framework e escolha **Excluir framework**.