AWS Backup ボールトロック - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Backup ボールトロック

注記

AWS Backup ボールトロックは、SEC 17a-4、CFTC、および FINRA の規制の対象となる環境での使用について、Cohasset Associates によって評価されています。 AWS Backup ボールトロックがこれらの規制にどのように関連しているかの詳細については、「Cohasset Associates Compliance Assessment」を参照してください。

AWS Backup ボールトロックはバックアップボールトのオプション機能であり、バックアップボールトのセキュリティと制御を強化するのに役立ちます。コンプライアンスモードでロックがアクティブで、猶予期間が終了すると、お客様、アカウント/データ所有者、または AWS 復旧ポイントが含まれている限り、ボールト設定を変更または削除することはできません。各ボールトには 1 つのボールトロックを設定できます。

AWS Backup は、保持期間が終了するまでバックアップを利用できるようにします。ユーザー (ルートユーザーを含む) が、ロックされたボールトのライフサイクルプロパティを削除または変更しようとすると、 AWS Backup はオペレーションを拒否します。

  • ガバナンスモードでロックされたボールトは、十分な IAM アクセス許可を持つユーザーがロックを解除できます。

  • コンプライアンスモードでロックされたボールトは、クーリングオフ期間 (「猶予時間」) が終了すると、復旧ポイントがボールト内にある場合、削除できません猶予期間中でも、ボールトロックを解除したり、ロック設定を変更したりできます。

ボールトロックモード

ボールトロックを作成する場合、ガバナンスモードコンプライアンスモードの 2 つのモードを選択できます。ガバナンスモードは、十分な IAM アクセス許可を持つユーザーだけがボールトを管理できるようにするためのものです。ガバナンスモードは、指定された担当者のみがバックアップボールトを変更できるようにすることで、組織がガバナンス要件を満たすのに役立ちます。コンプライアンスモードは、データ保持期間が終了するまでボールト (ひいてはその内容) が削除または変更されないことが見込まれるバックアップボールトを対象としています。コンプライアンスモードのボールトがロックされると、イミュータブル になります。つまり、ロックを削除することはできません (ボールト自体は空で復旧ポイントが含まれていない場合は削除できます)。

ガバナンスモードでロックされたボールトは、適切な IAM アクセス許可を持つユーザーが管理または削除できます。

コンプライアンスモードのボールトロックは、どのユーザーも、また、 AWSでも変更、削除ができません。コンプライアンスモードのボールトロックには、ロック前に設定した猶予期間があり、コンテンツとボールトロックはイミュータブルになります。

ボールトロックのメリット

AWS Backup ボールトロックには、次のようないくつかの利点があります。

  • バックアップボールトに保存および作成するすべてのバックアップの WORM (write-once, read-many) 構成。

  • バックアップボールトのバックアップ (復旧ポイント) を不注意または悪意のある削除から保護する追加の保護レイヤー。

  • 保持期間の適用。これにより、特権ユーザー ( AWS アカウント ルートユーザーを含む) による早期削除を防ぎ、組織のデータ保護ポリシーと手順を満たします。

コンソールを使用してバックアップボールトをロックする

Backup コンソールを使用してボールトロックをボール AWS Backup トに追加できます。

バックアップボールトにボールトロックを追加するには:

  1. にサインインし AWS Management Console、https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、[バックアップボールト] を見つけます。バックアップボールトの下にネストされた、[ボールトロック] というリンクをクリックします。

  3. [ボールトロックの仕組み] または [ボールトロック] で、[+ ボールトロックを作成] をクリックします。

  4. [ボールトロックの詳細] ペインで、ロックを適用するボールトを選択します。

  5. [ボールトロックモード] で、ボールトをロックするモードを選択します。モードの選択について詳しくは、このページで前述した「ボールトロックモード」を参照してください。

  6. [保持期間] については、最小保持期間と最大保持期間を選択します (保持期間は任意です)。ボールトで作成された新しいバックアップジョブとコピージョブは、設定した保持期間に従わないと失敗します。これらの期間は、既にボールト内にある復旧ポイントには適用されません。

  7. コンプライアンスモードを選択した場合、「ボールトロック開始日」というセクションが表示されます。ガバナンスモードを選択した場合、これは表示されないため、このステップはスキップできます。

    コンプライアンスモードでは、クーリングオフ期間 (ボールトロックの作成からボールトとそのロックがイミュータブルで変更不能になるまでの間) があります。この期間 (「猶予時間」といいます) は自分で選択できますが、少なくとも 3 日間 (72 時間) は必要です。

    重要

    猶予期間が過ぎると、ボールトとそのロックはイミュータブルになります。どのユーザーも、 AWSによっても変更も削除もできません。

  8. 設定内容に問題がなければ、[ボールトロックを作成] をクリックします。

  9. 選択したモードでこのロックを作成することを確認するには、テキストボックスに「confirm」と入力し、設定が意図したとおりであることを確認するボックスにチェックを入れます。

手順が正常に完了すると、コンソールの上部に「成功」バナーが表示されます。

バックアップボールトのロック (プログラムによる)

AWS Backup ボールトロックを設定するには、 API を使用しますPutBackupVaultLockConfiguration。含めるパラメータは、使用するボールトロックモードによって異なります。ガバナンスモードでボールトロックを作成する場合は、ChangeableForDays を含めないでください。このパラメータを含めると、ボールトロックはコンプライアンスモードで作成されます。

コンプライアンスモードのボールトロック作成の CLI サンプルを次に示します。

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --changeable-for-days 3 \ --min-retention-days 7 \ --max-retention-days 30

ガバナンスモードのボールトロック作成の CLI サンプルを以下に示します。

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --min-retention-days 7 \ --max-retention-days 30

次の 4 つのオプションを設定できます。

  1. BackupVaultName

    ロックするボールトの名前。

  2. ChangeableForDays (コンプライアンスモードの場合のみ含む)

    このパラメータは、コンプライアンスモード でボールトロックを作成する AWS Backup ように に指示します。ガバナンスモードでロックを作成する場合は、このパラメータを省略します。

    この値は日単位で表記されます。3 以上 36,500 以下の数値でなければなりません。そうでない場合、エラーが返されます。

    このボールトロックの作成時から、指定した日付の有効期限が切れるまで、DeleteBackupVaultLockConfiguration を使用してボールトロックをボールトから削除できます。または、この間、PutBackupVaultLockConfiguration を使用して設定を変更することもできます。

    このパラメータによって決定された指定日以降、バックアップボールトはイミュータブルになり、変更または削除できません。

  3. MaxRetentionDays (オプション)

    これは日数で表される数値です。これは、ボールトが復旧ポイントを保持する最大保持期間です。

    選択する最大保持期間は、組織のデータ保持ポリシーに沿ったものでなければなりません。データを一定期間保持するように組織から指示されている場合は、この値をその期間 (日数) に設定できます。例えば、財務データや銀行データを 7 年間 (うるう年によるものの、約 2,557 日) 保存する必要がある場合があります。

    指定しない場合、 AWS Backup ボールトロックは最大保持期間を適用しません。指定すると、ライフサイクルの保持期間が最大保持期間よりも長いこのボールトへのバックアップジョブとコピージョブは失敗します。ボールトロックの作成の前に、すでにボールトで保存されている復旧ポイントは影響されません。指定できる最長の最大保持期間は 36500 日 (約 100 年) です。

  4. MinRetentionDays (オプション 、 に必須 CloudFormation)

    これは日数で表される数値です。これは、ボールトが復旧ポイントを保持する最小保持期間です。この設定は、組織がデータを管理するのに必要な期間に合わせて設定する必要があります。例えば、規制や法律でデータを少なくとも 7 年間保持することが義務付けられている場合、うるう年にもよりますが、日数は約 2,557 年になります。

    指定しない場合、 AWS Backup ボールトロックは最小保持期間を適用しません。指定すると、ライフサイクルの保持期間が最小保持期間よりも短いこのボールトへのバックアップジョブとコピージョブは失敗します。ボールト AWS Backup ロックの前にボールトに既に保存されている復旧ポイントは影響を受けません。指定できる最小保持期間は 1 日です。

ボールトロック設定のバックアップ AWS Backup ボールトを確認する

AWS Backup ボールトのボールトロックの詳細は、 DescribeBackupVaultまたは ListBackupVaults APIs を呼び出すことでいつでも確認できます。

ボールトロックを、バックアップボールトに適用したかを判断するには、DescribeBackupVault を呼び出し、Locked プロパティを確認します。の場合"Locked": true、次の例のように、 AWS Backup ボールトロックをバックアップボールトに適用しています。

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }

前の出力では、次のオプションが確認できます。

  1. Locked は、このバックアップボールトに AWS Backup ボールトロックを適用したかどうかを示すブール値です。 Trueは、 AWS Backup ボールトロックによってボールトに保存されている復旧ポイントに対する削除または更新オペレーションが失敗することを意味します (クーリングオフ猶予期間内であるかどうかにかかわらず)。

  2. LockDate は、クーリングオフ猶予期間が終了する UTC 日時です。この日時を過ぎると、このボールトでロックの削除や変更はできません。公開されているタイムコンバータを使用して、この文字列を現地時間に変換します。

"Locked":false の場合、次の例のようにボールトロックを適用していません (または以前のものが削除されていません)。

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }

猶予期間中のボールトロック削除 (コンプライアンスモード)

AWS Backup コンソールを使用して、猶予時間 (ボールトをロックしてから の前LockDate) にボールトロックを削除するには、

  1. にサインインし AWS Management Console、https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションの [マイアカウント] で、[バックアップボールト] をクリックし、[バックアップボールトロック] をクリックします。

  3. 削除するボールトロックをクリックし、[ボールトロックを管理] をクリックします。

  4. [ボールトロックを削除] をクリックします。

  5. ボールトロックを削除するかどうかを確認する警告ボックスが表示されます。テキストボックスに「confirm」と入力し、[確認] をクリックします。

すべての手順が正常に完了すると、コンソール画面の上部に [成功] バナーが表示されます。

CLI コマンドを使用して猶予時間中にボールトロックを削除するには、次の CLI サンプルのように DeleteBackupVaultLockConfiguration を使用します。

aws backup delete-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock

AWS アカウント ロックされたボールトによる閉鎖

バックアップボールト AWS アカウント を含む を閉鎖 AWS し、バックアップをそのままにして アカウントを 90 日間 AWS Backup 停止します。この 90 日間にアカウントを再度開かなかった場合、ボールトロックが設定されていても AWS Backup 、 はバックアップボールトの内容 AWS を削除します。

セキュリティに関するその他の考慮事項

AWS Backup ボールトロックは、データ保護の防御に多層的なセキュリティを追加します。ボールトロックは、以下の他のセキュリティ機能と組み合わせることができます。

注記

AWS Backup ボールトロックは、S3 Glacier とのみ互換性がある Amazon S3 Glacier ボールトロック と同じ機能ではありません。 S3