AWS Backup Kunci Brankas

catatan

AWS Backup Vault Lock telah dinilai oleh Cohasset Associates untuk digunakan di lingkungan yang tunduk pada peraturan SEC 17a-4, CFTC, dan FINRA. Untuk informasi selengkapnya tentang bagaimana AWS Backup Vault Lock berhubungan dengan peraturan ini, lihat Penilaian Kepatuhan Cohasset Associates.

AWS Backup Vault Lock adalah fitur opsional dari brankas cadangan, yang dapat membantu memberi Anda keamanan dan kontrol tambahan atas brankas cadangan Anda. Ketika kunci aktif dalam mode Kepatuhan dan waktu tenggang berakhir, konfigurasi vault tidak dapat diubah atau dihapus oleh pelanggan, pemilik akun/data, atau AWS selama berisi titik pemulihan. Setiap lemari besi dapat memiliki satu kunci brankas di tempatnya.

AWS Backup memastikan bahwa cadangan Anda tersedia untuk Anda sampai mereka mencapai berakhirnya periode retensi mereka. Jika ada pengguna (termasuk pengguna root) yang mencoba menghapus cadangan atau mengubah properti siklus hidup di brankas yang terkunci, AWS Backup akan menolak operasi.

• Vault yang terkunci dalam mode tata kelola dapat menghapus kunci oleh pengguna dengan izin IAM yang memadai.

• Vault yang terkunci dalam mode kepatuhan tidak dapat dihapus setelah periode pendinginan (” waktu tenggang “) berakhir jika ada titik pemulihan yang ada di brankas. Selama waktu tenggang, Anda masih dapat menghapus kunci brankas dan mengubah konfigurasi kunci.

Mode kunci lemari besi

Saat Anda membuat kunci vault, Anda memiliki dua pilihan mode: Mode tata kelola atau mode Kepatuhan. Mode tata kelola dimaksudkan untuk memungkinkan brankas dikelola hanya oleh pengguna dengan hak istimewa IAM yang memadai. Mode tata kelola membantu organisasi memenuhi persyaratan tata kelola, memastikan hanya personel yang ditunjuk yang dapat membuat perubahan pada brankas cadangan. Mode kepatuhan ditujukan untuk brankas cadangan di mana brankas (dan dengan ekstensi, isinya) diharapkan tidak akan pernah dihapus atau diubah hingga periode penyimpanan data selesai. Setelah brankas dalam mode kepatuhan terkunci, itu tidak dapat diubah, artinya kunci tidak dapat dihapus (brankas itu sendiri dapat dihapus jika kosong dan tidak berisi titik pemulihan apa pun).

Vault yang terkunci dalam mode Tata Kelola dapat dikelola atau dihapus oleh pengguna yang memiliki izin IAM yang sesuai.

Kunci brankas dalam mode Kepatuhan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS Kunci brankas dalam mode kepatuhan memiliki masa tenggang yang Anda atur sebelum terkunci dan konten serta kunci brankas menjadi tidak dapat diubah.

Manfaat kunci vault

AWS Backup Vault Lock memberikan beberapa manfaat, antara lain:

• Konfigurasi WORM (tulis-sekali, baca-banyak) untuk semua cadangan yang Anda simpan dan buat di brankas cadangan.

• Lapisan pertahanan tambahan yang melindungi cadangan (titik pemulihan) di brankas cadangan Anda dari penghapusan yang tidak disengaja atau berbahaya.

• Penegakan periode retensi, yang mencegah penghapusan dini oleh pengguna istimewa (termasuk pengguna Akun AWS root), dan memenuhi kebijakan dan prosedur perlindungan data organisasi Anda.

Kunci brankas cadangan menggunakan konsol

Anda dapat menambahkan kunci vault ke AWS Backup Vault menggunakan konsol Backup.

Untuk menambahkan kunci vault ke brankas cadangan Anda:

1. Masuk ke AWS Management Console, dan buka AWS Backup konsol di https://console.aws.amazon.com/backup.

2. Di panel navigasi, temukan Brankas Cadangan. Klik tautan yang bersarang di bawah Brankas Cadangan yang disebut kunci Vault.

3. Di bawah Cara kerja kunci vault atau kunci Vault, klik + Buat kunci vault.

4. Di panel Detail kunci Vault, pilih brankas mana yang ingin Anda gunakan untuk mengunci.

5. Di bawah mode kunci Vault pilih mode mana Anda ingin brankas Anda terkunci. Untuk informasi selengkapnya tentang memilih mode, lihat Mode kunci Vault sebelumnya di halaman ini.

6. Untuk periode Retensi, pilih periode retensi minimum dan maksimum (periode retensi adalah opsional). Pekerjaan pencadangan dan penyalinan baru yang dibuat di vault akan gagal jika tidak sesuai dengan periode penyimpanan yang Anda tetapkan; periode ini tidak akan berlaku untuk titik pemulihan yang sudah ada di brankas.

7. Jika Anda memilih mode kepatuhan, bagian yang disebut Tanggal mulai kunci Vault akan ditampilkan. Jika Anda memilih mode Tata Kelola, ini tidak akan ditampilkan, dan langkah ini dapat dilewati.

   Dalam mode kepatuhan, kunci brankas memiliki periode pendinginan dari pembuatan kunci lemari besi hingga lemari besi dan kuncinya menjadi tidak dapat diubah dan tidak dapat diubah. Anda memilih durasi periode ini (disebut waktu tenggang), meskipun harus minimal 3 hari (72 jam).

   penting

   Setelah waktu tenggang berakhir, lemari besi dan kuncinya tidak dapat diubah. Itu tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh AWS.

8. Bila Anda puas dengan pilihan konfigurasi, klik Create vault lock.

9. Untuk mengonfirmasi bahwa Anda ingin membuat kunci ini dalam mode yang dipilih, ketik confirm kotak teks, lalu centang kotak yang mengakui konfigurasi sebagaimana dimaksud.

Jika langkah-langkah telah berhasil diselesaikan, spanduk “Sukses” akan muncul di bagian atas konsol.

Kunci brankas cadangan secara terprogram

Untuk mengonfigurasi AWS Backup Vault Lock, gunakan APIPutBackupVaultLockConfiguration. Parameter yang akan disertakan akan tergantung pada mode kunci vault mana yang Anda inginkan. Jika Anda ingin membuat kunci brankas dalam mode tata kelola, jangan sertakan. ChangeableForDays Jika parameter ini disertakan, kunci vault akan dibuat dalam mode kepatuhan.

Berikut adalah contoh CLI dari pembuatan kunci vault mode kepatuhan:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Berikut adalah contoh CLI dari pembuatan kunci brankas mode tata kelola:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

Anda dapat mengkonfigurasi empat opsi.

1. BackupVaultName

   Nama lemari besi untuk dikunci.

2. ChangeableForDays(termasuk hanya untuk mode kepatuhan)

   Parameter ini menginstruksikan AWS Backup untuk membuat kunci vault dalam mode kepatuhan. Hilangkan parameter ini jika Anda bermaksud membuat kunci dalam mode tata kelola.

   Nilai ini dinyatakan dalam beberapa hari. Itu harus angka tidak kurang dari 3 dan tidak lebih dari 36.500; jika tidak, kesalahan akan kembali.

   Dari pembuatan kunci brankas ini hingga berakhirnya tanggal yang ditentukan, kunci vault dapat dihapus dari lemari besi menggunakan. DeleteBackupVaultLockConfiguration Atau, selama waktu ini, Anda dapat mengubah konfigurasi menggunakanPutBackupVaultLockConfiguration.

   Pada dan setelah tanggal yang ditentukan ditentukan oleh parameter ini, brankas cadangan akan tidak dapat diubah dan tidak dapat diubah atau dihapus.

3. MaxRetentionDays(opsional)

   Ini adalah nilai numerik yang dinyatakan dalam hari. Ini adalah periode retensi maksimum dimana brankas mempertahankan titik pemulihannya.

   Kerangka waktu retensi maksimum yang Anda pilih harus selaras dengan kebijakan organisasi Anda untuk menyimpan data. Jika organisasi Anda menginstruksikan data untuk disimpan selama suatu periode, nilai ini dapat diatur ke periode tersebut (dalam beberapa hari). Misalnya, data keuangan atau perbankan mungkin diperlukan untuk disimpan selama 7 tahun (sekitar 2.557 hari, tergantung pada tahun kabisat).

   Jika tidak ditentukan, AWS Backup Vault Lock tidak akan menerapkan periode retensi maksimum. Jika ditentukan, cadangan dan salin pekerjaan ke vault ini dengan periode retensi siklus hidup yang lebih lama dari periode retensi maksimum akan gagal. Titik pemulihan yang sudah disimpan di brankas sebelum pembuatan kunci vault tidak terpengaruh. Periode retensi maksimum terpanjang yang dapat Anda tentukan adalah 36500 hari (sekitar 100 tahun).

4. MinRetentionDays(opsional; diperlukan untuk CloudFormation)

   Ini adalah nilai numerik yang dinyatakan dalam hari. Ini adalah periode retensi minimum dimana vault mempertahankan titik pemulihannya. Pengaturan ini harus diatur ke jumlah waktu organisasi Anda diperlukan untuk memelihara data. Misalnya, jika peraturan atau undang-undang mengharuskan data disimpan setidaknya selama tujuh tahun, nilainya dalam hari akan menjadi sekitar 2.557, tergantung pada tahun kabisat.

   Jika tidak ditentukan, AWS Backup Vault Lock tidak akan memberlakukan periode retensi minimum. Jika ditentukan, cadangan dan salin pekerjaan ke vault ini dengan periode retensi siklus hidup yang lebih pendek dari periode retensi minimum akan gagal. Titik pemulihan yang sudah disimpan di brankas sebelum AWS Backup Vault Lock tidak terpengaruh. Periode retensi minimum terpendek yang dapat Anda tentukan adalah 1 hari.

Tinjau brankas cadangan untuk konfigurasi AWS Backup Vault Lock

Anda dapat meninjau detail AWS Backup Vault Lock di vault kapan saja dengan menelepon DescribeBackupVault atau ListBackupVaults API.

Untuk menentukan apakah Anda menerapkan kunci vault ke brankas cadangan, hubungi DescribeBackupVault dan periksa properti. Locked Jika"Locked": true, seperti contoh berikut, Anda telah menerapkan AWS Backup Vault Lock ke brankas cadangan Anda.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

Output sebelumnya mengkonfirmasi opsi berikut:

1. Lockedadalah Boolean yang menunjukkan apakah Anda telah menerapkan AWS Backup Vault Lock ke brankas cadangan ini. Trueberarti bahwa AWS Backup Vault Lock menyebabkan operasi penghapusan atau pembaruan ke titik pemulihan yang disimpan di brankas gagal (terlepas dari apakah Anda masih dalam masa tenggang waktu pendinginan).

2. LockDateadalah tanggal dan waktu UTC ketika masa tenggang pendinginan Anda berakhir. Setelah waktu ini, Anda tidak dapat menghapus atau mengubah kunci Anda di brankas ini. Gunakan konverter waktu yang tersedia untuk umum untuk mengonversi string ini ke waktu lokal Anda.

Jika"Locked":false, seperti contoh berikut, Anda belum menerapkan kunci vault (atau yang sebelumnya telah dihapus).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Penghapusan kunci brankas selama waktu tenggang (Mode kepatuhan)

Untuk menghapus kunci vault Anda selama waktu tenggang (waktu setelah mengunci brankas tetapi sebelum AndaLockDate) menggunakan konsol, AWS Backup

1. Masuk ke AWS Management Console, dan buka AWS Backup konsol di https://console.aws.amazon.com/backup.

2. Di navigasi kiri di bawah Akun saya, klik Backup vaults, lalu klik Backup Vault Lock.

3. Klik kunci vault yang ingin Anda hapus, lalu klik Kelola kunci vault.

4. Klik Hapus kunci brankas.

5. Kotak peringatan akan muncul, meminta Anda mengonfirmasi maksud Anda untuk menghapus kunci vault. Ketik confirm ke dalam kotak teks, lalu klik konfirmasi.

Setelah semua langkah berhasil diselesaikan, spanduk Sukses akan muncul di bagian atas layar konsol.

Untuk menghapus kunci vault Anda selama waktu tenggang menggunakan perintah CLI, DeleteBackupVaultLockConfiguration gunakan contoh CLI seperti ini:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Akun AWS penutupan dengan lemari besi terkunci

Ketika Anda menutup sebuah Akun AWS yang berisi brankas cadangan, AWS dan AWS Backup menangguhkan akun Anda selama 90 hari dengan cadangan Anda utuh. Jika Anda tidak membuka kembali akun selama 90 hari tersebut, AWS menghapus konten brankas cadangan Anda, meskipun AWS Backup Vault Lock sudah terpasang.

Pertimbangan keamanan tambahan

AWS Backup Vault Lock menambahkan lapisan keamanan tambahan ke pertahanan perlindungan data Anda secara mendalam. Kunci vault dapat dikombinasikan dengan fitur keamanan lainnya:

• Enkripsi untuk titik pemulihan Anda

• AWS Backup kebijakan akses vault dan titik pemulihan, yang memungkinkan Anda memberikan atau menolak izin di tingkat vault,

• AWS Backup praktik terbaik keamanan, termasuk pustaka kebijakan terkelola pelanggan yang memungkinkan Anda memberikan atau menolak izin pencadangan dan pemulihan oleh layanan yang AWS didukung, dan

• AWS Backup Audit Manager, yang memungkinkan Anda mengotomatiskan pemeriksaan kepatuhan untuk cadangan Anda terhadap daftar kontrol yang Anda tentukan.

  Anda dapat bekerja Membuat kerangka kerja menggunakan API AWS Backup untuk kontrol Cadangan dilindungi oleh AWS Backup Vault Lock dengan AWS Backup Audit Manager untuk membantu memastikan bahwa sumber daya yang Anda inginkan dilindungi dengan kunci vault.

• Mekanisme yang membuat sumber daya tidak aktif dapat memengaruhi kemampuan untuk memulihkannya. Meskipun masih tidak dapat dihapus di brankas yang terkunci, mereka dapat berada dalam keadaan selain aktif. Misalnya, pengaturan Amazon Elastic Compute Cloud yang memungkinkan Anda menonaktifkan AMI dapat memblokir sementara kemampuan untuk memulihkan cadangan instans EC2. Ini memengaruhi semua titik pemulihan EC2, bahkan cadangan yang dipengaruhi oleh kunci brankas atau penahanan hukum.

  Jika cadangan EC2 dinonaktifkan, Anda dapat mengaktifkan kembali AMI yang dinonaktifkan. Setelah diaktifkan kembali, itu memenuhi syarat untuk dipulihkan. Untuk memblokir fitur nonaktifkan AMI, Anda dapat menggunakan kebijakan IAM untuk tidak mengizinkanec2:DisableImage.

catatan

AWS Backup Vault Lock bukan fitur yang sama dengan Amazon S3 Glacier Vault Lock, yang hanya kompatibel dengan S3 Glacier.