本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Backup 文件库锁
**注意**
AWS Backup Cohasset Associates已对Vault Lock进行了评估,适用于受美国证券交易委员会17a-4、美国商品期货交易委员会和美国金融监管局法规约束的环境。有关 AWS Backup Vault Lock 与这些法规的关系的更多信息,请参阅 [Cohasset Associates 合规性评估](samples/cohassetreport.zip)。
AWS Backup Vault Lock 是备份保管库的一项可选功能,它有助于增强对备份库的安全性和控制力。当锁在合规模式下处于活动状态并且宽限期结束时,客户、 account/data 所有者或 AWS 只要存储库配置包含恢复点,就无法更改或删除。每个保管库可以有一个保管库锁。
AWS Backup 确保您的备份在保留期到期之前一直可供您使用。如果任何用户(包括 root 用户)尝试删除已锁定文件库中的备份或更改其生命周期属性, AWS Backup 则会拒绝该操作。
+ 拥有充足 IAM 权限的用户可以解除锁定在**治理模式**下的保管库。
+ 冷静期(“**宽限期**”)到期后,如果保管库包含任何恢复点,则*无法删除*在**合规模式**下锁定的保管库。在宽限期内,您仍可以移除保管库锁定并更改锁定配置。
**警告**
宽限期到期后,文件库及其锁定将不可变,任何用户或任何用户都无法更改或删除。 AWS锁定文件库中的备份在生命周期结束之前无法删除,如果不小心,则会产生持续的成本。例如,确保没有保留期设置为 “始终” 的恢复点,宽限期到期后,这些恢复点将永久保留,并且无法更改或删除。
## 保管库锁定模式
创建保管库锁定时,您可以选择两种模式:**治理模式**或**合规模式**。治理模式旨在允许只有拥有充足 IAM 权限的用户才能管理保管库。治理模式可帮助组织满足治理要求,确保只有指定的人员才能对备份保管库进行更改。合规模式适用于在数据保留期结束之前永远不会删除或更改保管库(以及其内容)的备份保管库。一旦合规模式下的保管库被锁定,它就**不可变**,意味着*无法移除*锁定(如果保管库为空,而不包含任何恢复点,则可以删除保管库本身)。
拥有相应 IAM 权限的用户可以管理或删除在治理模式下锁定的保管库。
任何用户或 AWS都无法更改或删除处于合规模式下的保管库锁定。在保管库锁定并且内容和保管库锁定变为不可变之前,合规模式下的保管库锁定功能具有您设置的宽限期。
## 保管库锁定的好处
AWS Backup 文件库锁有多项好处,包括:
+ 针对您在备份保管库中存储和创建的所有备份进行 WORM(*一次写入、多次读取*)配置。
+ 额外防御层,可保护备份保管库中的备份(恢复点)免遭意外或恶意删除。
+ 强制执行保留期,防止特权用户(包括 AWS 账户 root 用户)提前删除,并符合贵组织的数据保护策略和程序。
## 使用控制台锁定备份保管库
您可以使用 Backup 控制台向 AWS Backup 保管库添加文件库锁。
要向备份保管库添加保管库锁定,请执行以下操作:
1. 登录 AWS 管理控制台,然后在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在导航窗格中,找到**备份保管库**。单击 Backup 保管库下嵌套的名为**保管库锁定**的链接。
1. 在**保管库锁定的工作原理**或**保管库锁定**下,单击 **\$1 创建保管库锁定**。
1. 在**保管库锁定详细信息**窗格中,选择要应用锁定的保管库。
1. 在**保管库锁定模式**下,选择要锁定保管库的模式。有关选择模式的更多信息,请参阅本页前面的[保管库锁定模式](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes)。
1. 对于**保留期**,选择最小和最大保留期(保留期是*可选项*)。如果保管库中创建的新备份和复制作业不符合您设置的保留期,则这些作业将失败;这些期限不适用于保管库中已有的恢复点。在启用文件库锁定之前存在于保管库中的恢复点将遵循其之前的生命周期设置。
1. 如果您选择合规模式,则会显示一个名为**保管库锁定开始日期**的部分。如果您选择治理模式,则不会显示该部分,并且可以跳过此步骤。
在合规模式下,保管库锁定的冷静期从创建保管库锁定开始,直到保管库及其锁变为不可变且不可更改。您可以选择此期限的持续时间(称为**宽限期**),但必须*至少*为 3 天(72 小时)。
**重要**
宽限期到期后,文件库及其锁定将不可变,任何用户或任何用户都无法更改或删除。 AWS
1. 如果您对配置选项感到满意,请单击**创建保管库锁定**。
1. 要确认您希望在所选模式下创建此锁定,请在文本框中键入 `confirm`,然后选中确认配置符合预期的复选框。
如果步骤已成功完成,则控制台顶部将显示“成功”横幅。
## 以编程方式锁定备份保管库
要配置 AWS Backup 文件库锁定,请使用 API `[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`。要包含的参数将取决于您打算采用哪种保管库锁定模式。如果您想在治理模式下创建保管库锁定,**请不要包含 **`ChangeableForDays`。如果包含此参数,则将在合规模式下创建保管库锁定。
以下是创建合规模式保管库锁定的 CLI 示例:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--changeable-for-days 3 \
--min-retention-days 7 \
--max-retention-days 30
```
以下是创建治理模式保管库锁定的 CLI 示例:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--min-retention-days 7 \
--max-retention-days 30
```
您可以配置四个选项。
1. `BackupVaultName`
要锁定的保管库的名称。
1. `ChangeableForDays`(*仅*适用于合规模式)
此参数指示 AWS Backup 在**合规模式**下创建文件库锁。如果您打算在**治理模式下**创建锁定,请省略此参数。
该值以天数表示。它必须是一个不小于 3 且不大于 36,500 的数字;否则,将返回错误。
从创建此保管库锁定到指定日期到期,可以使用 `DeleteBackupVaultLockConfiguration` 将保管库锁定从保管库中删除。或者,在此期间,您可以使用 `PutBackupVaultLockConfiguration` 更改配置。
在此参数确定的指定日期及之后,备份保管库将不可变且无法更改或删除。
1. `MaxRetentionDays`*(可选)*
这是一个以天为单位的数值。这是保管库保留其恢复点的最长保留期。
您选择的最大保留时间范围应与您组织的数据保留政策保持一致。如果您的组织要求将数据保留一段时间,则可以将此值设置为该期限(以天为单位)。例如,可能需要将财务或银行数据保存 7 年(大约 2,557 天,视闰年而定)。
如果未指定, AWS Backup 文件库锁定将不会强制规定最长保留期。如果指定此参数,则生命周期保留期长于最大保留期的备份和复制到此保管库的作业将失败。保管库锁定创建之前已保存在保管库中的恢复点不受影响。您可以指定的最长保留期为 36500 天(大约 100 年)。
1. `MinRetentionDays`(*可选*;必填项 CloudFormation)
这是一个以天为单位的数值。这是保管库保留其恢复点的最短保留期。此设置应设置为您的组织维护数据*所需的* 时间。例如,如果法规或法律要求将数据保留至少七年,则以天为单位的值约为 2,557,视闰年而定。
如果未指定, AWS Backup 文件库锁定将不会强制规定最短保留期。如果指定此参数,则生命周期保留期短于最小保留期的备份和复制到此保管库的作业将失败。在保管库锁定之前已保存在 AWS Backup 保管库中的恢复点不受影响。您可以指定的最短保留期为 1 天。
## 查看备份保管库的保 AWS Backup 管库锁定配置
您可以随时致电`[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)`或查看 AWS Backup 保管库上的文件库锁定详细信息`[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs。
要确定您是否对备份保管库应用了保管库锁定,请调用 `DescribeBackupVault` 并查看 `Locked` 属性。如果`"Locked": true`像以下示例一样,您已将 AWS Backup 文件库锁定应用于备份保管库。
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 1,
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30,
"LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```
上述输出确认了以下选项:
1. `Locked`是一个布尔值,表示您是否已将 AWS Backup 文件库锁定应用于此备份存储库。 `True`意味着 AWS Backup 文件库锁定会导致对存储在保管库中的恢复点的删除或更新操作失败(无论您是否仍处于冷静期宽限期)。
1. `LockDate` 是您的冷静宽限期结束时的 UTC 日期和时间。在此时间之后,您将无法删除或更改对此保管库的锁定。使用任何公开可用的时间转换器将此字符串转换为您的本地时间。
如果 `"Locked":false` 像以下示例一样,说明您尚未应用保管库锁定(或之前的保管库锁定已被删除)。
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 3,
"Locked": false
}
```
## 在宽限期内移除保管库锁定(合规模式)
要在宽限期(锁定保管库之后但在锁定保管库之前的时间`LockDate`)使用 AWS Backup 控制台删除文件库锁定,
1. 登录 AWS 管理控制台,然后在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在**我的账户**下的左侧导航栏中,单击“备份保管库”,然后单击“备份保管库锁定”。
1. 单击您要移除的保管库锁定,然后单击**管理保管库锁定**。
1. 单击**删除保管库锁定**。
1. 此时,将显示一个警告框,要求您确认删除保管库锁定的意图。在文本框中键入 `confirm`,然后单击**确认**。
成功完成所有步骤后,控制台屏幕顶部将显示“成功”横幅。
要在宽限期内使用 CLI 命令删除保管库锁定,请使用 `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)`,如这个 CLI 示例所示:
```
aws backup delete-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock
```
## AWS 账户 用上锁的金库关闭
当您关闭 AWS 账户 包含备份保管库的, AWS 并在备份完好无损的情况下 AWS Backup 暂停您的帐户 90 天。如果您在这 90 天内没有重新打开账户,即使保管库锁定已到位,也会 AWS 删除备份 AWS Backup 保管库中的内容。
## 其它安全注意事项
AWS Backup Vault Lock 为您的数据保护防御深度增加了一层额外的安全保护。保管库锁定可以与其他安全功能结合使用:
+ [针对您的恢复点的加密](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup 文件库和恢复点访问策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html),允许您在文件库级别授予或拒绝权限,
+ [AWS Backup 安全最佳实践](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html),包括其[客户托管策略库,这些策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)允许您通过 AWS 支持的服务授予或拒绝备份和恢复权限,以及
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html),它允许您根据自己定义[的控制列表自动检查备份的](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)合规性。
您可以遍历[使用 AWS Backup API 创建框架](creating-frameworks-api.md)以使用 AWS Backup Audit Manager 实施控制[资源位于带有 AWS Backup 文件库锁的备份计划中](controls-and-remediation.md#backup-vault-lock-control),从而帮助确保利用保管库锁的保护您的预期资源。
+ 使资源处于非活动状态的机制可能会影响还原资源的能力。虽然仍然无法在锁定的保管库中删除它们,但它们可能处于非活动状态。例如,允许您[禁用 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) 的 Amazon Elastic Compute Cloud 设置可以暂时阻止还原 EC2 实例的备份。这会影响所有 EC2 恢复点,甚至是受保管库锁定功能或法定保留影响的备份。
如果 EC2 备份被禁用,您可以[重新启用已禁用的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami)。重新启用后,它便有资格进行还原。要阻止 AMI 禁用特征,您可以使用 IAM 策略不允许 `ec2:DisableImage`。
**注意**
AWS Backup 文件库锁与 [Amazon Glacier 文件库锁](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html)的功能不同,后者仅与亚马逊 Glacier 兼容。