Controles y corrección - AWS Backup
Los recursos de backup están incluidos en al menos un plan de backupFrecuencia mínima y retención mínima del plan de copia de seguridadLos almacenes impiden la eliminación manual de los puntos de recuperaciónLos puntos de recuperación están cifradosSe ha establecido una retención mínima para el punto de recuperaciónSe ha programado una copia de la copia de seguridad entre regionesSe ha programado una copia de la copia de seguridad entre cuentasLas copias de seguridad están protegidas por AWS Backup Vault LockSe creó el último punto de recuperaciónEl tiempo de restauración de los recursos cumple el objetivoRecursos en una bóveda aislada de forma lógica

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles y corrección

En esta página se enumeran los controles disponibles para AWS Backup Audit Manager. Puede elegir el panel de información derecho para ver una lista de controles y pasar a un control específico. Para comparar rápidamente los controles, consulta la tabla en Elección de controles. Para definir los controles mediante programación, consulte los fragmentos de código en Creación de marcos mediante el. AWS Backup API

Puede usar hasta 50 controles por cuenta y región. Usar el mismo control en dos marcos diferentes cuenta como usar dos controles del límite de 50 controles.

En esta página se muestra cada control con la siguiente información:

  • Descripción. Los valores entre corchetes (“[]”) son los valores de los parámetros predeterminados.

  • Los recursos que evalúa el control.

  • Los parámetros del control.

  • Ocasión en la que se produce la ejecución del control.

  • El alcance del control, de la siguiente manera:

    • Puede especificar Recursos por tipo. Para ello, elija uno o más servicios compatibles con AWS Backup.

    • Puede especificar un ámbito de Recursos etiquetados con una única clave de etiqueta y un valor opcional.

    • Puede especificar un único recurso mediante la lista desplegable Recurso único.

  • Medidas correctivas para que los recursos aplicables logren la conformidad.

Tenga en cuenta que solo se incluirán los recursos activos cuando los controles evalúen la conformidad de los recursos. Por ejemplo, una EC2 instancia de Amazon en estado de ejecución será evaluada por el control Se creó el último punto de recuperación. Una EC2 instancia detenida no se incluirá en la evaluación de conformidad.

Los recursos de backup están incluidos en al menos un plan de backup

Descripción: Evalúa si los recursos están incluidos en al menos un plan de respaldo.

Recurso: AWS Backup: backup selection

Parámetros: ninguno

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos etiquetados

  • Recursos por tipo (predeterminado)

  • Recurso único

Corrección: asigne los recursos a un plan de copia de seguridad. AWS Backup protege automáticamente sus recursos después de que los asigne a un plan de copia de seguridad. Para obtener más información, consulte Asignación de recursos a un plan de copia de seguridad.

Frecuencia mínima y retención mínima del plan de copia de seguridad

Descripción: evalúa si los planes de copia de seguridad contienen al menos una regla de copia de seguridad según la cual la frecuencia de copia de seguridad sea de al menos [1 día] y el periodo de retención sea de al menos [35 días].

Recurso: AWS Backup: backup plans

Parámetros:

  • Frecuencia de copia de seguridad requerida en número de horas o días.

  • Periodo de retención obligatorio en días, semanas, meses o años. Recomendamos conservar el almacenamiento en caliente durante un período de al menos una semana para poder AWS Backup realizar copias de seguridad incrementales siempre que sea posible y evitar cargos adicionales.

Ocurre: cambios en la configuración

Ámbito:

  • Recursos etiquetados

  • Recurso único

Corrección: actualice un plan de copia de seguridad para cambiar su frecuencia de copia de seguridad, su periodo de retención o ambos. La actualización del plan de copia de seguridad cambia el periodo de retención de los puntos de recuperación que el plan crea después de la actualización.

Los almacenes impiden la eliminación manual de los puntos de recuperación

Descripción: Evalúa si los almacenes de respaldo no permiten la eliminación manual de los puntos de recuperación, excepto para determinadas funciones. IAM

Recurso: AWS Backup: backup vaults

Parámetros: Los nombres de recursos de Amazon (ARNs) de hasta cinco IAM funciones permitían eliminar puntos de recuperación manualmente.

Ocurre: cambios en la configuración

Ámbito:

  • Recursos etiquetados

  • Recurso único

Corrección: cree o modifique una política de acceso basada en recursos en un almacén de copias de seguridad. Para ver un ejemplo de política e instrucciones sobre cómo configurar una política de acceso al almacén de copias de seguridad, consulteDenegación del acceso para eliminar puntos de recuperación en un almacén de copias de seguridad.

Los puntos de recuperación están cifrados

Descripción: evalúa si los puntos de recuperación están cifrados.

Recurso: AWS Backup: recovery points

Parámetros: ninguno

Ocurre: cambios de configuración

Ámbito:

  • Recursos etiquetados

Corrección: configure el cifrado de los puntos de recuperación. La forma de configurar el cifrado de los puntos de AWS Backup recuperación varía según el tipo de recurso.

Puede configurar el cifrado para los tipos de recursos que admitan una AWS Backup administración completa de su uso AWS Backup. Si el tipo de recurso no admite la AWS Backup administración completa, debes configurar su cifrado de respaldo siguiendo las instrucciones de ese servicio, como el EBScifrado de Amazon en la Guía del usuario de Amazon Elastic Compute Cloud. Para ver la lista de tipos de recursos que admiten la AWS Backup administración completa, consulta la sección « AWS Backup Administración completa» de la Disponibilidad de características por recurso tabla.

Se ha establecido una retención mínima para el punto de recuperación

Descripción: evalúa si el periodo de retención del punto de recuperación es de al menos [35 días].

Recurso: AWS Backup: recovery points

Parámetros: periodo de retención obligatorio en días, semanas, meses o años. Recomendamos conservar el almacenamiento en caliente durante un período de al menos una semana para poder AWS Backup realizar copias de seguridad incrementales siempre que sea posible y evitar cargos adicionales.

Ocurre: cambios en la configuración

Ámbito:

  • Recursos etiquetados

Corrección: cambie los periodos de retención de sus puntos de recuperación. Para obtener más información, consulte Edición de una copia de seguridad.

Se ha programado una copia de la copia de seguridad entre regiones

Descripción: Evalúa si un recurso está configurado para crear copias de sus copias de seguridad en otra AWS región.

Recurso: AWS Backup: backup selection

Parámetros:

  • Seleccione los Región de AWS lugares en los que debe estar la copia de seguridad (opcional)

  • Región

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos etiquetados

  • Recursos por tipo

  • Recurso único

Solución: actualice un plan de respaldo para cambiar el Región de AWS lugar donde debe estar la copia de seguridad.

Se ha programado una copia de la copia de seguridad entre cuentas

Descripción: evalúa si un recurso está configurado para crear copias de sus copias de seguridad en otra cuenta. Puede agregar hasta 5 cuentas para que el control las evalúe. La cuenta de destino debe estar en la misma organización que la cuenta de origen en AWS Organizations.

Recurso: AWS Backup: backup selection

Parámetros:

  • Seleccione los ID de AWS cuenta en los que debe estar la copia de seguridad (opcional)

  • ID de cuenta

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos etiquetados

  • Recursos por tipo

  • Recurso único

Solución: actualice un plan de respaldo para cambiar o agregar los ID de AWS cuenta en los que debería estar la copia.

Las copias de seguridad están protegidas por AWS Backup Vault Lock

Descripción: evalúa si un recurso tiene copias de seguridad inmutables almacenadas en un almacén de copias de seguridad bloqueado.

Recurso: AWS Backup: backup selection

Parámetros:

  • Introduzca los días de retención mínimos y máximos de AWS Backup Vault Lock (opcional)

  • Días de retención mínimos

  • Días de retención máximos

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos etiquetados

  • Recursos por tipo

  • Recurso único

Corrección: bloquee un almacén de copias de seguridad para establecer su nombre, cambiar sus días de retención mínimos o máximos, o ambos. También puede incluir ChangeableForDays para un bloqueo del almacén en modo de cumplimiento.

Se creó el último punto de recuperación

Descripción: este control evalúa si se ha creado un punto de recuperación dentro del periodo de tiempo especificado (en días u horas).

El control es conforme si se ha creado un punto de recuperación del recurso dentro del periodo de tiempo especificado. El control no es conforme si no se ha creado un punto de recuperación dentro del número de días u horas especificado.

Recurso: AWS Backup: recovery points

Parámetros:

  • Introduzca el periodo de tiempo especificado en números enteros, ya sea en horas o en días.

  • Los valores de hours pueden oscilar entre 1 y 744.

  • El valor de days puede oscilar entre 1 y 31.

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos etiquetados

  • Recursos por tipo

  • Recurso único

Corrección:

El tiempo de restauración de los recursos cumple el objetivo

Descripción: evalúa si la restauración de los recursos protegidos se completó dentro del tiempo de restauración objetivo.

Este control comprueba si el tiempo de restauración de un recurso concreto cumple la duración objetivo. La regla es NON _ COMPLIANT si el tipo LatestRestoreExecutionTimeMinutes de recurso es mayor que maxRestoreTime en minutos.

Parámetros:

  • maxRestoreTime (en minutos)

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos etiquetados

  • Recursos por tipo

  • Recurso único

nota

AWS Backup no proporciona ningún acuerdo de nivel de servicio (SLAs) para un tiempo de restauración. Los tiempos de restauración pueden variar en función de la carga y la capacidad del sistema, incluso en el caso de restauraciones que contengan los mismos recursos.

Recursos en una bóveda aislada de forma lógica

Descripción: Este control evalúa si los recursos tienen al menos un punto de recuperación copiado en una bóveda vacía de forma lógica dentro del valor y el período de tiempo especificados. Este control es NON _ COMPLIANT si un punto de recuperación no se ha copiado en una bóveda aislada de forma lógica en el período de tiempo configurado para el control.

Recurso: AWS Backup: recovery points

Parámetros:

  • recoveryPointAgeValue

  • recoveryPointAgeUnit

Introduzca el período de tiempo. Especifique la unidad en days ohours. Especifique un valor para esa unidad. Los valores de las horas pueden estar comprendidos entre 24 dos y 2184 ambos inclusive. Los valores de los días pueden estar 1 comprendidos entre 91 ambos.

Se recomienda un valor mínimo de 7 días u 168 horas. El valor de control no debe ser más frecuente que la frecuencia de creación de copias de su plan de copias de seguridad; de lo contrario, es posible que aparezca un NON_COMPLIANT estado inesperado hasta que la siguiente copia de seguridad se copie en un almacén cerrado de forma lógica y se ejecute este control.

Ocurre: automáticamente cada 24 horas

Ámbito:

  • Recursos por tipo

  • Recurso único