AWS Backup 保存庫鎖定 - AWS Backup

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Backup 保存庫鎖定

注意

AWS Backup Vault Lock 已由 Cohasset Associates 評估,可用於受 SEC 17a-4、 CFTC和 FINRA法規規範的環境中。如需有關保存 AWS Backup 庫鎖定如何與這些法規關聯的詳細資訊,請參閱 Cohasset Associates 合規評估。

AWS Backup 保存庫鎖定是備份保存庫的選用功能,有助於為您提供額外的安全性並控制備份保存庫。當鎖定在合規模式下作用中且寬限期結束時,客戶、帳戶/資料擁有者或 AWS 只要包含復原點,就無法變更或刪除保存庫組態。每個保存庫都可以有一個保存庫鎖定。

AWS Backup 確保您的備份可在其保留期到期之前使用。如果任何使用者 (包括根使用者) 嘗試刪除備份或變更鎖定保存庫中的生命週期屬性, AWS Backup 會拒絕操作。

  • 管理模式鎖定的保存庫可以由具有足夠IAM許可的使用者移除鎖定。

  • 如果任何復原點位於保存庫中,則在冷靜期 ("寬限期") 到期時,無法刪除鎖定在合規模式的保存庫。在寬限期內,您仍然可以移除保存庫鎖定並變更鎖定組態。

保存庫鎖定模式

建立保存庫鎖定時,有兩種模式可供選擇:治理模式合規模式。治理模式旨在僅允許具有足夠IAM權限的使用者管理保存庫。治理模式會協助組織達到治理要求,確保只有指定的人員可以變更備份文件庫。合規模式則能讓備份文件庫中的保存庫 (及擴充後的內容) 不會在資料保留期結束前遭到刪除或變更。鎖定合規模式中的保存庫後,即為不可變 ,表示無法移除鎖定 (如果保存庫本身為空且不包含任何復原點,則可以將其刪除)。

具有適當IAM許可的使用者可以管理或刪除鎖定在治理模式中的保存庫。

任何使用者或 AWS皆無法變更或刪除在合規模式下鎖定的保存庫。合規模式中的保存庫鎖定具有您在鎖定之前設定的寬限期,且內容和保存庫鎖定變為不可變。

保存庫鎖定的優點

AWS Backup Vault Lock 提供數種優點,包括:

  • WORM (單次寫入,多讀取) 組態,用於您在備份保存庫中存放和建立的所有備份。

  • 為備份文件庫中的備份 (復原點) 多加一層防禦,以免遭意外或惡意刪除。

  • 強制執行保留期,防止特殊權限使用者 (包括 AWS 帳戶 根使用者) 提早刪除,並符合組織的資料保護政策和程序。

使用主控台鎖定備份文件庫

您可以使用 Backup 主控台將保存庫鎖定新增至保存 AWS Backup 庫。

在備份文件庫中新增保存庫鎖定:

  1. 登入 AWS Management Console,然後在 https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,尋找 備份文件庫。按一下 備份文件庫 下稱為 保存庫鎖定 的巢狀連結。

  3. 保存庫鎖定運作方式保存庫鎖定 下,按一下 + 建立保存庫鎖定

  4. 保存庫鎖定詳細資訊 窗格中,選擇您要套用鎖定的保存庫。

  5. 保存庫鎖定模式 下,選擇您要鎖定保存庫的模式。如需有關選擇模式的詳細資訊,請參閱本頁前文中的保存庫鎖定模式

  6. 請在 保留期間 選擇最短和最長的保留期間 (保留期間為選用)。在保存庫中建立的新備份和複製任務,如不遵守設定的保留期間將會失敗,這些期間將不適用保存庫中已有的復原點。

  7. 如果您選擇 合規模式,則會顯示名為 保存庫鎖定開始日期 的區段。如果您選擇 控管模式,則不會顯示該區段,並且可以跳過此步驟。

    在合規模式下,保存庫鎖定有一段冷靜,是從建立保存庫鎖定到保存庫及其鎖定成為不可變且不可變更為止。您選擇的這段期間 (稱為寬限期),時長必須至少為 3 天 (72 小時)。

    重要

    寬限期到期後,保存庫及其鎖定即不可變。任何使用者或 AWS皆無法變更或刪除。

  8. 當您對組態選項感到滿意後,請按一下 建立保存庫鎖定

  9. 為確認您希望在所選模式下建立此鎖定,請在文字方塊中輸入 confirm,然後勾選確認為預期組態的方塊。

當步驟順利完成後,主控台頂端就會出現「成功」橫幅。

以程式設計方式鎖定備份文件庫

若要設定 AWS Backup 保存庫鎖定,請使用 API PutBackupVaultLockConfiguration。要包括的參數將取決於您要使用的保存庫鎖定模式。如果您希望在控管模式下建立保存庫鎖定,請勿包含 ChangeableForDays。如果包含此參數,將會在合規模式下建立保存庫鎖定。

以下是合規模式保存庫鎖定建立CLI的範例:

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --changeable-for-days 3 \ --min-retention-days 7 \ --max-retention-days 30

以下是管理模式保存庫鎖定建立CLI的範例:

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --min-retention-days 7 \ --max-retention-days 30

您可以設定四個選項。

  1. BackupVaultName

    要鎖定的保存庫名稱。

  2. ChangeableForDays (合規模式包含)

    此參數指示 AWS Backup 在合規模式下建立保存庫鎖定。如果想要在控管模式下建立鎖定,請省略此參數。

    此值是以天數表示。必須是大於 3 且小於 36,500 的數字,否則會傳回錯誤。

    從建立此保存庫鎖定起到指定的到期日為止,您可以使用 DeleteBackupVaultLockConfiguration 移除保存庫的保存庫鎖定。或者,您可以在此期間使用 PutBackupVaultLockConfiguration 變更組態。

    在此參數決定的指定日期當天和之後,備份文件庫將為不可變,且無法變更或刪除。

  3. MaxRetentionDays (選用)

    這是以天數表示的數值。這是保存庫保留復原點的最長保留期間。

    您選擇的最長保留時間範圍應與組織的保留資料政策一致。如果組織指示了資料的保留期間,您可以將此值設定為該期間 (以天數為單位)。例如,財務或銀行資料可能需要保存 7 年 (約 2,557 天,隨閏年而增減)。

    如果未指定, AWS Backup Vault Lock 將不會強制執行最長保留期。如已指定,則此保存庫中,生命週期保留期間超過最長保留期間的備份和複製任務將會失敗。在建立保存庫鎖定之前已儲存於保存庫的復原點不會受到影響。您可以指定的最長保留期間為 36500 天 (約 100 年)。

  4. MinRetentionDays選用 ; 需要 CloudFormation)

    這是以天數表示的數值。這是保存庫保留復原點的最短保留期間。建議使用組織維護資料所需的時間長短設定此項設定。例如,如果法規或法律要求資料至少保留七年,則以天數設定的值約為 2,557,隨閏年而增減。

    如果未指定, AWS Backup Vault Lock 將不會強制執行最短保留期。如已指定,則此保存庫中,生命週期保留期間不到最短保留期間的備份和複製任務將會失敗。在 AWS Backup 保存庫鎖定之前已儲存的復原點不會受到影響。您可以指定的最短保留期間為 1 天。

檢閱備份保存庫的 AWS Backup 保存庫鎖定組態

您可以隨時致電 DescribeBackupVaultListBackupVaults 來檢閱保存庫上的保存 AWS Backup 庫鎖定詳細資訊APIs。

請呼叫 DescribeBackupVault 並檢查 Locked 屬性,確定是否已將保存庫鎖定套用至備份文件庫。如果 "Locked": true,如同下列範例,您已將 AWS Backup 保存庫鎖定套用至備份保存庫。

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }

上述輸出會確認下列選項:

  1. Locked 是布林值,指出您是否已將保存 AWS Backup 庫鎖定套用至此備份保存庫。 True 表示 AWS Backup 保存庫鎖定會導致對保存庫中存放的復原點的刪除或更新操作失敗 (無論您是否仍在冷靜寬限期)。

  2. LockDate 是冷靜寬限期結束時的UTC日期和時間。在此時間之後,您即無法刪除或變更此保存庫的鎖定。使用任何可公開取得的時間轉換器將此字串轉換成您的當地時間。

如果是 "Locked":false,與以下範例一樣,即表示您尚未套用保存庫鎖定 (或已刪除之前的鎖定)。

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }

在寬限期內移除保存庫鎖定 (合規模式)

若要使用 AWS Backup 主控台在寬限期 (鎖定保存庫後但在 之前的時間LockDate) 刪除保存庫鎖定,

  1. 登入 AWS Management Console,然後在 https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側導覽的 我的帳戶 下,按一下 備份文件庫,再按一下 備份 Vault Lock。

  3. 按一下您想要移除的保存庫鎖定,再按一下 管理保存庫鎖定

  4. 按一下 刪除保存庫鎖定

  5. 隨即會出現一個警告方塊,要求您確認是否刪除該保存庫鎖定。在文字方塊中輸入 confirm,然後按一下 確認

順利完成所有步驟後,主控台畫面頂端就會顯示「成功」橫幅。

若要使用 CLI命令在寬限期刪除保存庫鎖定,請使用DeleteBackupVaultLockConfiguration下列CLI範例:

aws backup delete-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock

AWS 帳戶 使用鎖定保存庫關閉

當您關閉包含備份保存庫 AWS 帳戶 的 時, AWS 並 AWS Backup 暫停您的帳戶 90 天,且備份完好無損。如果您在這 90 天內未重新開啟帳戶, 會 AWS 刪除備份保存庫的內容,即使 AWS Backup 已設定保存庫鎖定。

其他安全考慮事項

AWS Backup Vault Lock 會為您的資料保護防禦深度新增額外的安全層。保存庫鎖定可與下列其他安全功能合併:

注意

AWS Backup 保存庫鎖定功能與 Amazon S3 Glacier Vault Lock 不同,僅與 S3 Glacier 相容。