AWS Backup 保存庫鎖定 - AWS Backup
保存庫鎖定模式保存庫鎖定的優點使用主控台鎖定備份文件庫以程式設計方式鎖定備份文件庫檢閱備份保存庫的 AWS Backup 保存庫鎖定組態在寬限期內移除保存庫鎖定 (合規模式)AWS 帳戶 使用鎖定保存庫關閉其他安全考慮事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Backup 保存庫鎖定

注意

AWS Backup Vault Lock 已由 Cohasset Associates 評估,可用於受 SEC 17a-4、 CFTC和 FINRA法規規範的環境中。如需有關保存 AWS Backup 庫鎖定如何與這些法規關聯的詳細資訊,請參閱 Cohasset Associates 合規評估。

AWS Backup 保存庫鎖定是備份保存庫的選用功能,有助於為您提供額外的安全性並控制備份保存庫。當鎖定在合規模式下作用中且寬限期結束時,客戶、帳戶/資料擁有者或 AWS 只要包含復原點,就無法變更或刪除保存庫組態。每個保存庫都可以有一個保存庫鎖定。

AWS Backup 確保您的備份可在其保留期到期之前使用。如果任何使用者 (包括根使用者) 嘗試刪除備份或變更鎖定保存庫中的生命週期屬性, AWS Backup 會拒絕操作。

  • 管理模式鎖定的保存庫可以由具有足夠IAM許可的使用者移除鎖定。

  • 如果任何復原點位於保存庫中,則在冷靜期 ("寬限期") 到期時,無法刪除鎖定在合規模式的保存庫。在寬限期內,您仍然可以移除保存庫鎖定並變更鎖定組態。

保存庫鎖定模式

建立保存庫鎖定時,有兩種模式可供選擇:治理模式合規模式。治理模式旨在僅允許具有足夠IAM權限的使用者管理保存庫。治理模式會協助組織達到治理要求,確保只有指定的人員可以變更備份文件庫。合規模式則能讓備份文件庫中的保存庫 (及擴充後的內容) 不會在資料保留期結束前遭到刪除或變更。鎖定合規模式中的保存庫後,即為不可變的 ,表示無法移除鎖定 (如果保存庫本身為空且不包含任何復原點,則可以將其刪除)。

具有適當IAM許可的使用者可以管理或刪除鎖定在治理模式中的保存庫。

任何使用者或 AWS皆無法變更或刪除在合規模式下鎖定的保存庫。合規模式中的保存庫鎖定具有您在鎖定之前設定的寬限期,且內容和保存庫鎖定變為不可變。

保存庫鎖定的優點

AWS Backup Vault Lock 提供數種優點,包括:

  • WORM (單次寫入、多讀 ) 組態,用於您在備份保存庫中存放和建立的所有備份。

  • 為備份文件庫中的備份 (復原點) 多加一層防禦,以免遭意外或惡意刪除。

  • 執行保留期,防止特殊權限使用者 (包括 AWS 帳戶 根使用者) 提早刪除,並符合組織的資料保護政策和程序。

使用主控台鎖定備份文件庫

您可以使用 Backup 主控台將保存庫鎖定新增至保存 AWS Backup 庫。

在備份文件庫中新增保存庫鎖定:

  1. 登入 AWS Management Console,然後在 https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,尋找 備份文件庫。按一下 備份文件庫 下稱為 保存庫鎖定 的巢狀連結。

  3. 保存庫鎖定運作方式保存庫鎖定 下,按一下 + 建立保存庫鎖定

  4. 保存庫鎖定詳細資訊 窗格中,選擇您要套用鎖定的保存庫。

  5. 保存庫鎖定模式 下,選擇您要鎖定保存庫的模式。如需有關選擇模式的詳細資訊,請參閱本頁前文中的保存庫鎖定模式

  6. 請在 保留期間 選擇最短和最長的保留期間 (保留期間為選用)。在保存庫中建立的新備份和複製任務,如不遵守設定的保留期間將會失敗,這些期間將不適用保存庫中已有的復原點。

  7. 如果您選擇 合規模式,則會顯示名為 保存庫鎖定開始日期 的區段。如果您選擇 控管模式,則不會顯示該區段,並且可以跳過此步驟。

    在合規模式下,保存庫鎖定有一段冷靜,是從建立保存庫鎖定到保存庫及其鎖定成為不可變且不可變更為止。您選擇的這段期間 (稱為寬限期),時長必須至少為 3 天 (72 小時)。

    重要

    寬限期到期後,保存庫及其鎖定即不可變。任何使用者或 AWS皆無法變更或刪除。

  8. 當您對組態選項感到滿意後,請按一下 建立保存庫鎖定

  9. 為確認您希望在所選模式下建立此鎖定,請在文字方塊中輸入 confirm,然後勾選確認為預期組態的方塊。

當步驟順利完成後,主控台頂端就會出現「成功」橫幅。

以程式設計方式鎖定備份文件庫

若要設定 AWS Backup 保存庫鎖定,請使用 API PutBackupVaultLockConfiguration。要包括的參數將取決於您要使用的保存庫鎖定模式。如果您希望在控管模式下建立保存庫鎖定,請勿包含 ChangeableForDays。如果包含此參數,將會在合規模式下建立保存庫鎖定。

以下是合規模式保存庫鎖定建立CLI的範例:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

以下是管理模式保存庫鎖定建立CLI的範例:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

您可以設定四個選項。

  1. BackupVaultName

    要鎖定的保存庫名稱。

  2. ChangeableForDays (合規模式包含)

    此參數指示 AWS Backup 在合規模式下建立保存庫鎖定。如果想要在控管模式下建立鎖定,請省略此參數。

    此值是以天數表示。必須是大於 3 且小於 36,500 的數字,否則會傳回錯誤。

    從建立此保存庫鎖定起到指定的到期日為止,您可以使用 DeleteBackupVaultLockConfiguration 移除保存庫的保存庫鎖定。或者,您可以在此期間使用 PutBackupVaultLockConfiguration 變更組態。

    在此參數決定的指定日期當天和之後,備份文件庫將為不可變,且無法變更或刪除。

  3. MaxRetentionDays (選用)

    這是以天數表示的數值。這是保存庫保留復原點的最長保留期間。

    您選擇的最長保留時間範圍應與組織的保留資料政策一致。如果組織指示了資料的保留期間,您可以將此值設定為該期間 (以天數為單位)。例如,財務或銀行資料可能需要保存 7 年 (約 2,557 天,隨閏年而增減)。

    如果未指定, AWS Backup Vault Lock 將不會強制執行最長保留期。如已指定,則此保存庫中,生命週期保留期間超過最長保留期間的備份和複製任務將會失敗。在建立保存庫鎖定之前已儲存於保存庫的復原點不會受到影響。您可以指定的最長保留期間為 36500 天 (約 100 年)。

  4. MinRetentionDays選用 ; 需要 CloudFormation)

    這是以天數表示的數值。這是保存庫保留復原點的最短保留期間。建議使用組織維護資料所需的時間長短設定此項設定。例如,如果法規或法律要求資料至少保留七年,則以天數設定的值約為 2,557,隨閏年而增減。

    如果未指定, AWS Backup Vault Lock 將不會強制執行最短保留期。如已指定,則此保存庫中,生命週期保留期間不到最短保留期間的備份和複製任務將會失敗。在 AWS Backup 保存庫鎖定之前,已儲存在保存庫中的復原點不會受到影響。您可以指定的最短保留期間為 1 天。

檢閱備份保存庫的 AWS Backup 保存庫鎖定組態

您可以隨時致電 DescribeBackupVaultListBackupVaults 來檢閱保存庫上的保存 AWS Backup 庫鎖定詳細資訊APIs。

請呼叫 DescribeBackupVault 並檢查 Locked 屬性,確定是否已將保存庫鎖定套用至備份文件庫。如果 "Locked": true,如同下列範例,您已將 AWS Backup 保存庫鎖定套用至備份保存庫。

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

上述輸出會確認下列選項:

  1. Locked 是布林值,指示您是否已將保存 AWS Backup 庫鎖定套用至此備份保存庫。 True 表示 AWS Backup 保存庫鎖定會導致對保存庫中儲存的復原點的刪除或更新操作失敗 (無論您是否仍在冷靜寬限期)。

  2. LockDate 是冷靜寬限期結束的UTC日期和時間。在此時間之後,您即無法刪除或變更此保存庫的鎖定。使用任何可公開取得的時間轉換器將此字串轉換成您的當地時間。

如果是 "Locked":false,與以下範例一樣,即表示您尚未套用保存庫鎖定 (或已刪除之前的鎖定)。

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

在寬限期內移除保存庫鎖定 (合規模式)

若要使用 AWS Backup 主控台在寬限期 (鎖定保存庫後但在 之前的時間LockDate) 刪除保存庫鎖定,

  1. 登入 AWS Management Console,然後在 https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側導覽的 我的帳戶 下,按一下 備份文件庫,再按一下 備份 Vault Lock。

  3. 按一下您想要移除的保存庫鎖定,再按一下 管理保存庫鎖定

  4. 按一下 刪除保存庫鎖定

  5. 隨即會出現一個警告方塊,要求您確認是否刪除該保存庫鎖定。在文字方塊中輸入 confirm,然後按一下 確認

順利完成所有步驟後,主控台畫面頂端就會顯示「成功」橫幅。

若要使用 CLI命令在寬限期刪除保存庫鎖定,請使用DeleteBackupVaultLockConfiguration下列CLI範例:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

AWS 帳戶 使用鎖定保存庫關閉

當您關閉包含備份保存庫 AWS 帳戶 的 時, AWS 並 AWS Backup 暫停您的帳戶 90 天,且備份完好無損。如果您在這 90 天內未重新開啟帳戶, 會 AWS 刪除備份保存庫的內容,即使 AWS Backup 已設定保存庫鎖定。

其他安全考慮事項

AWS Backup Vault Lock 為您的資料保護防禦深度新增額外的安全層。保存庫鎖定可與下列其他安全功能合併:

注意

AWS Backup 保存庫鎖定功能與 Amazon S3 Glacier Vault Lock 不同,僅與 S3 Glacier 相容。