控制與補救 - AWS Backup

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制與補救

此頁面列出 AWS Backup Audit Manager 的可用控制項。您可以選擇正確的資訊窗格查看控制項清單,並跳至特定的控制項。若要快速比較控制項,請參閱選擇您的控制項中的資料表。若要以程式設計方式定義控制項,請參閱使用 建立架構 AWS Backup API中的程式碼片段。

每個區域每個帳戶最多可以使用 50 個控制項。在兩個不同的架構中使用相同的控制項,在 50 個控制項的限制中會計為使用了兩個控制項。

本頁面會列出每個控制項,並包含下列資訊:

  • 描述。方括號 ("[ ]") 中的值是預設參數值。

  • 控制項評估的資源 (s)

  • 控制項的參數

  • 執行 控制時發生 。

  • 控制項的範圍,如下所示:

    • 您可以選擇一或多項 AWS Backup支援的服務,指定 依類型分類的資源

    • 您可以使用單一標籤索引鍵和選用值來指定 標記的資源 範圍。

    • 您可以使用 單一資源 下拉式清單指定單一資源。

  • 將適用資源納入合規性的修補步驟。

請注意,當控制項評估資源是否合規時,只會包含作用中的資源。例如,處於執行狀態的 Amazon EC2執行個體將由控制項評估 最後建立的復原點。處於停止狀態的EC2執行個體不會包含在合規評估中。

備份資源包含於至少一個備份計畫中

描述 :評估資源是否包含於至少一個備份計畫中。

資源:AWS Backup: backup selection

參數:

發生:每 24 小時自動一次

範圍:
  • 標記的資源

  • 依類型分類的資源 (預設值)

  • 單一資源

修補:將資源指派給備份計畫。 AWS Backup 在您將資源指派給備份計畫後,會自動保護資源。如需詳細資訊,請參閱將資源指派到備份計畫

備份計畫最低頻率和最低保留

描述:評估備份計畫是否包含至少一項備份規則,其備份頻率至少為 [1 天] 且保留期間至少為 [35 天]。

資源:AWS Backup: backup plans

參數:
  • 所需的備份頻率按小時或天數計算。

  • 所需的保留期間按天數、週數、月數或年數計算。我們建議暖儲存保留至少一週的時間, AWS Backup 以便盡可能進行增量備份,避免額外費用。

發生:組態變更

範圍:
  • 標記的資源

  • 單一資源

修補更新備份計畫 以變更其備份頻率、保留期間或兩者皆變更。更新備份計畫會在您更新後,變更計畫建立的復原點保留期間。

保存庫可防止手動刪除復原點

描述 :評估備份保存庫是否不允許手動刪除復原點,但某些IAM角色除外。

資源:AWS Backup: backup vaults

參數 :最多允許手動刪除復原點五個IAM角色的 Amazon Resource Names (ARNs)。

發生:組態變更

範圍:
  • 標記的資源

  • 單一資源

修補:建立或修改備份文件庫的資源型存取政策。如需如何設定備份保存庫存取政策的範例政策和指示,請參閱 拒絕對刪除備份文件庫中復原點的存取

復原點已加密

描述:評估復原點是否已加密。

資源:AWS Backup: recovery points

參數:

發生:組態變更

範圍:
  • 標記的資源

修補:設定復原點加密。設定 AWS Backup 復原點加密的方式會因資源類型而有所不同。

您可以使用 為支援完整 AWS Backup 管理的資源類型設定加密 AWS Backup。如果資源類型不支援完整 AWS Backup 管理,您必須遵循 Amazon Elastic Compute Cloud 使用者指南 中的 Amazon 加密等服務指示來設定其備份EBS加密。若要查看支援完整 AWS Backup 管理的資源類型清單,請參閱各資源的功能可用性資料表的「完整 AWS Backup 管理」一節。

為復原點建立的最短保留期

描述:評估復原點保留期間是否至少為 [35 天]。

資源:AWS Backup: recovery points

參數:所需的復原點保留期間按天數、週數、月數或年數計算。我們建議暖儲存保留至少一週的時間, AWS Backup 以便盡可能進行增量備份,避免額外費用。

發生:組態變更

範圍:
  • 標記的資源

修補:變更復原點的保留期間。如需詳細資訊,請參閱編輯備份

已排程跨區域備份副本

描述 :評估資源是否設定為建立備份到另一個 AWS 區域的複本。

資源:AWS Backup: backup selection

參數:
  • 選取備份複本應存在的 AWS 區域(s) (選用)

  • 區域

發生:每 24 小時自動一次

範圍:
  • 標記的資源

  • 依類型分類資源

  • 單一資源

修復 更新備份計畫,以變更備份複本的存在 AWS 區域 位置。

已排程跨帳戶備份副本

描述:評估是否將資源設定為在其他帳戶下建立備份副本。供控制項評估的帳戶最多可新增 5 個。目的地帳戶必須與 AWS Organizations中的來源帳戶位於同一組織。

資源:AWS Backup: backup selection

參數:
  • 選取備份複本應存在 AWS 的帳戶 ID (選用)

  • 帳戶 ID

發生:每 24 小時自動一次

範圍:
  • 標記的資源

  • 依類型分類資源

  • 單一資源

修復 更新備份計劃以變更或新增副本應存在 AWS 的帳戶 ID (們)。

備份受保存 AWS Backup 庫鎖定保護

描述:評估資源是否將不可變的備份儲存在鎖定的備份文件庫中。

資源:AWS Backup: backup selection

參數:
  • 輸入 AWS Backup 保存庫鎖定的最短和最長保留天數 (選用)

  • 最短保留天數

  • 最長保留天數

發生:每 24 小時自動一次

範圍:
  • 標記的資源

  • 依類型分類資源

  • 單一資源

修補鎖定備份文件庫 以設定其名稱、變更其最短保留天數、最長保留天數或兩者皆變更。也可以包含 ChangeableForDays 以在合規模式下鎖定保存庫。

已建立最後復原點

描述:此控制項會評估是否已在指定的時間範圍內建立復原點 (按天數或小時計算)。

如果資源已在指定的時間範圍內建立復原點,則控制項即符合規範。如果資源未在指定的天數或小時數內建立復原點,控制項即不符合規範。

資源:AWS Backup: recovery points

參數:
  • 以整數輸入指定的時間範圍,以小時或天數為單位。

  • hours 值可以從 1744

  • days 值可以從 131

發生:每 24 小時自動一次

範圍:
  • 標記的資源

  • 依類型分類資源

  • 單一資源

修補

  • 更新備份計畫 以變更建立復原點的指定時間範圍。

  • 此外,您可以建立隨需備份。

資源的還原時間符合目標

描述:評估受保護資源的還原是否在目標還原時間內完成。

此控制項會檢查特定資源的還原時間是否符合目標持續時間。如果資源類型的 大於 LatestRestoreExecutionTimeMinutes,則規則為 NON_COMPLIANTmaxRestoreTime,以分鐘為單位。

參數:
  • maxRestoreTime (以分鐘為單位)

發生:每 24 小時自動一次

範圍:
  • 標記的資源

  • 依類型分類資源

  • 單一資源

注意

AWS Backup 不會在還原時間內提供任何服務層級協議 (SLAs)。還原時間可能會根據系統負載和容量而有所不同,即使是包含相同資源的還原也是如此。

邏輯氣隙保存庫中的資源

說明 :此控制項會評估資源是否在指定的值和時間範圍內,至少有一個復原點複製到邏輯氣隙隔離保存庫。如果復原點尚未在為控制項設定的時間範圍中複製到邏輯氣隙隔離保存庫,則此控制項為 NON_COMPLIANT。

資源:AWS Backup: recovery points

參數:
  • recoveryPointAgeValue

  • recoveryPointAgeUnit

輸入時段。在 days或 中指定單位hours。指定該單位的值。小時的值可以在 242184 內。天的值可以介於 91 1到 之間。

建議值下限為 7 天或 168 小時。控制值不應比備份計劃的複製建立頻率更頻繁;否則,您可能會看到非預期NON_COMPLIANT的狀態,直到下一個備份複製到邏輯氣隙隔離保存庫,並執行此控制為止。

發生:每 24 小時自動一次

範圍:
  • 依類型分類資源

  • 單一資源