本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制和修复
<a name="controls-and-remediation"></a>

本页列出了 Audit Manager AWS Backup 的可用控件。您可以选择右侧的信息窗格，查看控件列表并跳转到特定控件。要快速比较控件，请参阅[选择控件](https://docs.aws.amazon.com/aws-backup/latest/devguide/choosing-controls.html)中的表格。要以编程方式定义控件，请参阅[使用 AWS Backup API 创建框架](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html)中的代码片段。

每个区域每个账户最多可以使用 50 个控件。在两个不同的框架中使用相同的控件相当于使用了 50 个控件限制中的两个控件。

本页列出了每个控件及其以下信息：
+ 描述。方括号（“[]”）中的值是默认参数值。
+ 控件评估的**资源**。
+ 控件的**参数**。
+ **发生**控件运行的情况。
+ 控件的**范围**，如下所示：
  + 您可以选择一个或多个 AWS Backup支持的服务，**按类型指定资源**。
  + 您可以使用单个标签键和可选值，指定**带标签的资源**范围。
  + 您可以使用**单个资源**下拉列表，指定单个资源。
+ 使适用资源合规的补救措施。

请注意，仅在控制评估资源的合规性时，才会包括活动资源。例如，处于运行状态的 Amazon EC2 实例将由[上一个恢复点已创建](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html#last-recovery-point-created-control)控件进行评估。处于停止状态的 EC2 实例将不包括在合规性评估中。

## 备份资源包含在至少一个备份计划中
<a name="backup-resources-protected-by-backup-plan"></a>

**描述**：评估资源是否包含在至少一个备份计划中。

**资源：**`AWS Backup: backup selection`

**参数：**无

**发生**：每 24 小时自动发生一次

**范围：**
+ 带标签的资源
+ 按类型划分的资源（默认）
+ 单一资源

**补救措施**：将资源分配给备份计划。 AWS Backup 会在将资源分配给备份计划后，自动保护您的资源。有关更多信息，请参阅[将资源分配给备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## 备份计划最低频率和最低保留期
<a name="backup-plan-minimum-frequency-and-minimum-retention"></a>

**描述**：评估备份计划是否包含至少一条备份规则，该规则的备份频率至少为 [1 天]，保留期至少为 [35 天]。

**资源：**`AWS Backup: backup plans`

**参数：**
+ 所需的备份频率，以小时或天数为单位。
+ 所需备份频率的数值。最多 24 小时，或 31 天。
+ 所需的保留期，以天、周、月或年为单位。我们建议将预热存储保留至少一周， AWS Backup 以便尽可能进行增量备份，从而避免额外收费。

**发生**：配置更改

**范围：**
+ 带标签的资源
+ 单一资源

**补救措施**：[更新备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以更改其备份频率、保留期（或两者）。更新备份计划会更改更新后计划创建的恢复点的保留期。

## 保管库可防止手动删除恢复点
<a name="backup-prevent-recovery-point-manual-deletion"></a>

**描述**：评估备份保管库是否不允许手动删除某些 IAM 角色以外的恢复点。

**资源：**`AWS Backup: backup vaults`

**参数**：允许手动删除恢复点的多达五个 IAM 角色的 Amazon 资源名称 (ARNs)。

**发生**：配置更改

**范围：**
+ 带标签的资源
+ 单一资源

**补救措施**：在备份保管库上创建或修改基于资源的访问策略。有关如何设置备份保管库访问策略的策略示例和说明，请参阅[拒绝删除备份保管库中的恢复点](create-a-vault-access-policy.md#deny-access-to-delete-recovery-points)。

## 恢复点经过加密
<a name="backup-recovery-point-encrypted"></a>

**描述**：评估恢复点是否已加密。

**资源：**`AWS Backup: recovery points`

**参数：**无

**发生**：配置更改

**范围：**
+ 带标签的资源

**补救措施**：为恢复点配置加密。为 AWS Backup 恢复点配置加密的方式因资源类型而异。

您可以为支持完全 AWS Backup 管理的资源类型配置加密 AWS Backup。如果资源类型不支持完全 AWS Backup 管理，则必须按照该服务的说明配置其备份加密，例如[亚马逊*弹性计算云用户指南中的 Amazon* EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。要查看支持完全 AWS Backup 管理的资源类型列表，请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表格的 “完全 AWS Backup 管理” 部分。

## 为恢复点设定的最低保留期
<a name="backup-recovery-point-minimum-retention"></a>

**描述**：评估恢复点保留期是否至少为 [35 天]。

**资源：**`AWS Backup: recovery points`

**参数**：所需的恢复点保留期，以天、周、月或年为单位。我们建议将预热存储保留至少一周， AWS Backup 以便尽可能进行增量备份，从而避免额外收费。

**发生**：配置更改

**范围：**
+ 带标签的资源

**补救措施**：更改恢复点的保留期。有关更多信息，请参阅[编辑备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/editing-a-backup.html)。

## 计划跨区域备份复制
<a name="backup-cross-region-copy"></a>

**描述**：评估资源是否配置为将其备份副本创建到另一个 AWS 区域。

**资源：**`AWS Backup: backup selection`

**参数：**
+ 选择备份副本应存在的地方（可选） AWS 区域
+ Region

**发生**：每 24 小时自动发生一次

**范围：**
+ 带标签的资源
+ 按类型划分的资源
+ 单一资源

**补救**：[更新备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以更改备份副本应存在 AWS 区域 的位置。

## 计划跨账户备份复制
<a name="backup-cross-account-copy"></a>

**描述**：评估是否将资源配置为将其备份副本创建到另一个账户。您最多可以添加 5 个账户供控件评估。在 AWS Organizations中，目的地账户必须与源账户位于同一个组织中。

**资源：**`AWS Backup: backup selection`

**参数：**
+ 选择应存放备份副本的 AWS 账户 ID（可选）
+ 账户 ID

**发生**：每 24 小时自动发生一次

**范围：**
+ 带标签的资源
+ 按类型划分的资源
+ 单一资源

**补救**：[更新备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以更改或添加副本应存在的 AWS 账户 ID。

## 资源位于带有 AWS Backup 文件库锁的备份计划中
<a name="backup-vault-lock-control"></a>

**描述**：评估资源是否在锁定的备份保管库中存储了不可变备份。

**资源：**`AWS Backup: backup selection`

**参数：**
+ 输入 AWS Backup 文件库锁定的最小和最大保留天数（可选）
+ 最小保留天数
+ 最大保留天数

**发生**：每 24 小时自动发生一次

**范围：**
+ 带标签的资源
+ 按类型划分的资源
+ 单一资源

**补救措施**：[锁定备份保管库](https://docs.aws.amazon.com//aws-backup/latest/devguide/vault-lock.html#lock-backup-vault-cli)，以设置其名称，更改其最小保留天数、最大保留天数（或两者）。对于合规模式下的保管库锁，也可以包括 `ChangeableForDays`。

## 已创建上一个恢复点
<a name="last-recovery-point-created-control"></a>

**描述**：此控件评估是否在指定的时间范围内（以天或小时为单位）创建了恢复点。

如果资源在指定的时间范围内创建了恢复点，则控件合规。如果未在指定的天数或小时数内创建恢复点，则控件不合规。

**注意**  
此控件仅评估在同一账户和地区内创建的恢复点。此控件不评估从其他账户复制的恢复点。

**资源：**`AWS Backup: recovery points`

**参数：**
+ 以整数（以小时或天为单位）输入指定的时间范围。
+ `hours` 的值可以从 `1` 到 `744`。
+ `days` 的值可以从 `1` 到 `31`。

**发生**：每 24 小时自动发生一次

**范围：**
+ 带标签的资源
+ 按类型划分的资源
+ 单一资源

**补救措施**：
+ [更新备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)，以更改创建恢复点的指定时间范围。
+ 此外，您还可以创建按需备份。

## 资源还原时间满足目标
<a name="restore-time-meets-target-control"></a>

**描述**：评估对受保护资源的还原是否在目标还原时间内完成。

此控制功能可检查特定资源的还原时间是否符合目标持续时间。如果某资源类型的 `LatestRestoreExecutionTimeMinutes` 大于 `maxRestoreTime`（以分钟为单位），则该规则为 NON\_COMPLIANT。

**参数：**
+ `maxRestoreTime`（以分钟为单位）

**发生**：每 24 小时自动发生一次

**范围：**
+ 带标签的资源
+ 按类型划分的资源
+ 单一资源

**注意**  
AWS Backup 不提供任何恢复时间的服务级别协议 (SLAs)。还原时间可能因系统负载和容量而异，即使包含相同资源的还原也是如此。

## 逻辑上受物理隔离的保管库中的资源
<a name="resources-in-lag-vault-control"></a>

**描述**：此控件评估在指定的值和时间范围内，资源是否至少有一个恢复点复制到逻辑上受物理隔离的保管库。如果在为控件配置的时间范围内未将某个恢复点复制到逻辑上受物理隔离的保管库，则此控件为 NON\_COMPLIANT。

**资源：**`AWS Backup: recovery points`

**参数：**
+ `recoveryPointAgeValue`
+ `recoveryPointAgeUnit`

输入时间段。指定单位为 `days` 或 `hours`。为该单位指定一个值。小时数的值可以介于 `24` 和 `2184`（含）之间。天数的值可以介于 `1` 和 `91`（含）之间。

建议将最小值设为 `7` 天或 `168` 小时。控件值的频率不应高于备份计划的副本创建频率；否则，您可能会看到意外的 `NON_COMPLIANT` 状态，这种状态一直持续到下一次备份被复制到逻辑上受物理隔离的保管库中并且此控件运行为止。

**发生**：每 24 小时自动发生一次

**范围：**
+ 按类型划分的资源
+ 单一资源