本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Backup 保存庫鎖定
**注意**
AWS Backup Cohasset Associates 已評估保存庫鎖定,可用於符合 SEC 17a-4、CFTC 和 FINRA 法規的環境。如需 Vault Lock AWS Backup 如何與這些法規相關的詳細資訊,請參閱 [Cohasset Associates 合規評估。](samples/cohassetreport.zip)
AWS Backup 保存庫鎖定是備份保存庫的選用功能,可協助您提高安全性並控制備份保存庫。在合規模式下啟用鎖定且寬限期結束後,客戶、帳戶/資料擁有者或 AWS 只要包含復原點,就無法變更或刪除保存庫組態。每個保存庫都可以有一個保存庫鎖定。
AWS Backup 可確保您的備份可供您使用,直到其保留期到期為止。如果任何使用者 (包括根使用者) 嘗試刪除備份或變更鎖定保存庫中的生命週期屬性, AWS Backup 會拒絕操作。
+ 在**控管模式**下鎖定的保存庫,可以讓具有足夠 IAM 許可的使用者移除鎖定。
+ 如果保存庫中有任何復原點,則在冷靜期 (「**寬限期**」) 過期時*,就無法刪除*在**合規模式中**鎖定的保存庫。在寬限期內,您仍然可以移除保存庫鎖定並變更鎖定組態。
**警告**
一旦寬限期到期,保存庫及其鎖定是不可變的,任何使用者或 都無法變更或刪除 AWS。在鎖定保存庫的生命週期完成之前,無法刪除其內的備份,如果您不小心,會導致持續成本。例如,請確定沒有保留期間設為「永遠」的復原點,一旦寬限期到期,這些復原點將永久保留,且無法變更或刪除。
## 保存庫鎖定模式
建立保存庫鎖定時,有兩種模式可供選擇:**治理模式**或**合規模式**。治理模式目的在僅允許擁有足夠 IAM 許可的使用者管理保存庫。治理模式會協助組織達到治理要求,確保只有指定的人員可以變更備份文件庫。合規模式則能讓備份文件庫中的保存庫 (及擴充後的內容) 不會在資料保留期結束前遭到刪除或變更。鎖定合規模式中的保存庫後,即**為不可變**,表示*無法移除*鎖定 (如果保存庫本身是空的且不包含任何復原點,則可以將其刪除)。
具有適當 IAM 許可的使用者可以管理或刪除在控管模式下鎖定的保存庫。
任何使用者或 AWS皆無法變更或刪除在合規模式下鎖定的保存庫。合規模式中的保存庫鎖定具有您在鎖定之前設定的寬限期,並且內容和保存庫鎖定變得不可變。
## 保存庫鎖定的優點
AWS Backup 保存庫鎖定提供多種優點,包括:
+ WORM (*單寫多讀*) 組態,適用於您在備份文件庫中儲存與建立的所有備份。
+ 為備份文件庫中的備份 (復原點) 多加一層防禦,以免遭意外或惡意刪除。
+ 強制執行保留期,防止特殊權限使用者 (包括 AWS 帳戶 根使用者) 提早刪除,並符合組織的資料保護政策和程序。
## 使用主控台鎖定備份文件庫
您可以使用 Backup AWS Backup 主控台將保存庫鎖定新增至保存庫。
在備份文件庫中新增保存庫鎖定:
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,尋找 **備份文件庫**。按一下 備份文件庫 下稱為 **保存庫鎖定** 的巢狀連結。
1. 在 **保存庫鎖定運作方式** 或 **保存庫鎖定** 下,按一下 **\$1 建立保存庫鎖定**。
1. 在 **保存庫鎖定詳細資訊** 窗格中,選擇您要套用鎖定的保存庫。
1. 在 **保存庫鎖定模式** 下,選擇您要鎖定保存庫的模式。如需有關選擇模式的詳細資訊,請參閱本頁前文中的[保存庫鎖定模式](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes)。
1. 請在 **保留期間** 選擇最短和最長的保留期間 (保留期間為*選用*)。如果在保存庫中建立的新備份和複製任務不符合您設定的保留期間,這些期間將不適用於保存庫中已存在的復原點。在啟用保存庫鎖定之前,保存庫中存在的復原點將遵循其先前的生命週期設定。
1. 如果您選擇 合規模式,則會顯示名為 **保存庫鎖定開始日期** 的區段。如果您選擇 控管模式,則不會顯示該區段,並且可以跳過此步驟。
在合規模式下,保存庫鎖定有一段冷靜,是從建立保存庫鎖定到保存庫及其鎖定成為不可變且不可變更為止。您選擇的這段期間 (**稱為寬限期**),時長必須*至少*為 3 天 (72 小時)。
**重要**
一旦寬限期到期,保存庫及其鎖定是不可變的,任何使用者或 都無法變更或刪除 AWS。
1. 當您對組態選項感到滿意後,請按一下 **建立保存庫鎖定**。
1. 為確認您希望在所選模式下建立此鎖定,請在文字方塊中輸入 `confirm`,然後勾選確認為預期組態的方塊。
當步驟順利完成後,主控台頂端就會出現「成功」橫幅。
## 以程式設計方式鎖定備份文件庫
若要設定 AWS Backup 保存庫鎖定,請使用 API `[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`。要包括的參數將取決於您要使用的保存庫鎖定模式。如果您希望在控管模式下建立保存庫鎖定,**請勿包含** `ChangeableForDays`。如果包含此參數,將會在合規模式下建立保存庫鎖定。
以下是建立合規模式保存庫鎖定的 CLI 範例:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--changeable-for-days 3 \
--min-retention-days 7 \
--max-retention-days 30
```
以下是建立控管模式保存庫鎖定的 CLI 範例:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--min-retention-days 7 \
--max-retention-days 30
```
您可以設定四個選項。
1. `BackupVaultName`
要鎖定的保存庫名稱。
1. `ChangeableForDays` (*僅*合規模式包含)
此參數指示 AWS Backup 在**合規模式下**建立保存庫鎖定。如果想要在**控管模式**下建立鎖定,請省略此參數。
此值是以天數表示。必須是大於 3 且小於 36,500 的數字,否則會傳回錯誤。
從建立此保存庫鎖定起到指定的到期日為止,您可以使用 `DeleteBackupVaultLockConfiguration` 移除保存庫的保存庫鎖定。或者,您可以在此期間使用 `PutBackupVaultLockConfiguration` 變更組態。
在此參數決定的指定日期當天和之後,備份文件庫將為不可變,且無法變更或刪除。
1. `MaxRetentionDays` *(選用)*
這是以天數表示的數值。這是保存庫保留復原點的最長保留期間。
您選擇的最長保留時間範圍應與組織的保留資料政策一致。如果組織指示了資料的保留期間,您可以將此值設定為該期間 (以天數為單位)。例如,財務或銀行資料可能需要保存 7 年 (約 2,557 天,隨閏年而增減)。
如果未指定, AWS Backup Vault Lock 不會強制執行最長保留期間。如已指定,則此保存庫中,生命週期保留期間超過最長保留期間的備份和複製任務將會失敗。在建立保存庫鎖定之前已儲存於保存庫的復原點不會受到影響。您可以指定的最長保留期間為 36500 天 (約 100 年)。
1. `MinRetentionDays` (*選用*,在 CloudFormation 為必要項)
這是以天數表示的數值。這是保存庫保留復原點的最短保留期間。建議使用組織維護資料*所需*的時間長短設定此項設定。例如,如果法規或法律要求資料至少保留七年,則以天數設定的值約為 2,557,隨閏年而增減。
如果未指定, AWS Backup Vault Lock 不會強制執行最短保留期間。如已指定,則此保存庫中,生命週期保留期間不到最短保留期間的備份和複製任務將會失敗。在 AWS Backup 保存庫鎖定之前,已儲存在保存庫中的復原點不會受到影響。您可以指定的最短保留期間為 1 天。
## 檢閱其 AWS Backup 保存庫鎖定組態的備份保存庫
您可以隨時呼叫 AWS Backup `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)`或 `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs 來檢閱保存庫的保存庫鎖定詳細資訊。
請呼叫 `DescribeBackupVault` 並檢查 `Locked` 屬性,確定是否已將保存庫鎖定套用至備份文件庫。如下列範例所示`"Locked": true`,您已將保存 AWS Backup 庫鎖定套用至備份保存庫。
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 1,
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30,
"LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```
上述輸出會確認下列選項:
1. `Locked` 是一種布林值,指出您是否已將保存 AWS Backup 庫鎖定套用至此備份保存庫。 `True`表示 AWS Backup 保存庫鎖定會導致保存庫中存放的復原點的刪除或更新操作失敗 (無論您是否仍在冷靜寬限期)。
1. `LockDate` 是冷靜寬限期結束的 UTC 日期與時間。在此時間之後,您即無法刪除或變更此保存庫的鎖定。使用任何可公開取得的時間轉換器將此字串轉換成您的當地時間。
如果是 `"Locked":false`,與以下範例一樣,即表示您尚未套用保存庫鎖定 (或已刪除之前的鎖定)。
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 3,
"Locked": false
}
```
## 在寬限期內移除保存庫鎖定 (合規模式)
若要使用 AWS Backup 主控台在寬限期 (鎖定保存庫後但在您 之前的時間`LockDate`) 刪除保存庫鎖定,
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在左側導覽的 **我的帳戶** 下,按一下 備份文件庫,再按一下 備份 Vault Lock。
1. 按一下您想要移除的保存庫鎖定,再按一下 **管理保存庫鎖定**。
1. 按一下 **刪除保存庫鎖定**。
1. 隨即會出現一個警告方塊,要求您確認是否刪除該保存庫鎖定。在文字方塊中輸入 `confirm`,然後按一下 **確認**。
順利完成所有步驟後,主控台畫面頂端就會顯示「成功」橫幅。
若要使用 CLI 命令在寬限期內刪除保存庫鎖定,請使用 `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)`,如以下 CLI 範例所示:
```
aws backup delete-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock
```
## AWS 帳戶 使用鎖定的保存庫關閉
當您關閉包含備份保存庫 AWS 帳戶 的 時, AWS 並 AWS Backup 暫停您的帳戶 90 天,且備份保持不變。如果您在這 90 天內未重新開啟帳戶, AWS Backup 會 AWS 刪除備份保存庫的內容,即使已設定保存庫鎖定。
## 其他安全考慮事項
AWS Backup Vault Lock 為您的資料保護防禦增加多一層安全性。保存庫鎖定可與下列其他安全功能合併:
+ [加密復原點](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup 保存庫和復原點存取政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html),可讓您在保存庫層級授予或拒絕許可,
+ [AWS Backup 安全最佳實務](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html),包括其[客戶受管政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)的程式庫,可讓您授予或拒絕 AWS 受支援服務的備份和還原許可,以及
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html),可讓您根據定義的[控制項清單](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html),自動執行備份的合規檢查。
您可以使用 AWS Backup Audit Manager 透過 [使用 AWS Backup API 建立架構](creating-frameworks-api.md) 來控制 [資源位於具有保存 AWS Backup 庫鎖定的備份計畫中](controls-and-remediation.md#backup-vault-lock-control),以協助確保預期資源受到保存庫鎖定的保護。
+ 使資源處於非作用中狀態的機制可能會影響還原資源的能力。雖然仍然無法在鎖定的保存庫中刪除它們,但它們可以處於作用中以外的狀態。例如,可讓您[停用 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) 的 Amazon Elastic Compute Cloud 設定可能會暫時封鎖還原 EC2 執行個體備份的功能。這會影響所有 EC2 復原點,甚至是受保存庫鎖定或法務保存影響的備份。
如果停用 EC2 備份,您可以[重新啟用已停用的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami)。重新啟用後,即可還原。若要封鎖 AMI 停用功能,您可以使用 IAM 政策來不允許 `ec2:DisableImage`。
**注意**
AWS Backup 保存庫鎖定與 [Amazon Glacier 保存庫鎖定](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html)功能不同,此功能僅與 Amazon Glacier 相容。