AWS Backup 볼트 락

참고

AWS Backup 코하셋 어소시에이츠는 SEC 17a-4, CFTC 및 FINRA 규정이 적용되는 환경에서 볼트 락을 사용할 수 있는지 평가했습니다. AWS Backup Vault Lock이 이러한 규정과 어떤 관련이 있는지에 대한 자세한 내용은 코하셋 어소시에이츠 규정 준수 평가를 참조하십시오.

AWS Backup 저장소 잠금은 백업 저장소의 선택적 기능으로, 백업 저장소에 대한 추가 보안 및 제어 기능을 제공하는 데 유용할 수 있습니다. 규정 준수 모드에서 잠금이 활성화되어 있고 유예 시간이 끝나면 고객, 계정/데이터 소유자 또는 AWS가 저장소 구성을 변경하거나 삭제할 수 없습니다. 각 저장소에는 저장소 잠금이 하나씩 준비된 상태일 수 있습니다.

AWS Backup 보존 기간이 만료될 때까지 백업을 사용할 수 있도록 합니다. 모든 사용자 (루트 사용자 포함) 가 백업을 삭제하거나 잠긴 저장소의 수명 주기 속성을 변경하려고 AWS Backup 하면 작업이 거부됩니다.

• 거버넌스 모드에서 잠긴 저장소는 충분한 IAM 권한을 가진 사용자가 잠금을 제거할 수 있습니다.

• 규정 준수 모드에서 잠긴 저장소는 쿨링 오프 기간("유예 시간") 이 만료되면 삭제할 수 없습니다. 유예 시간 동안에도 저장소 잠금을 제거하고 잠금 구성을 변경할 수 있습니다.

저장소 잠금 모드

저장소 잠금을 생성할 경우, 거버넌스 모드 또는 규정 준수 모드라는 두 가지 모드 중에서 하나를 선택할 수 있습니다. 거버넌스 모드는 충분한 IAM 권한을 가진 사용자만 저장소를 관리할 수 있도록 하기 위한 모드입니다. 거버넌스 모드는 지정된 담당자만 백업 저장소를 변경할 수 있도록 보장하므로, 조직이 거버넌스 요구 사항을 충족하는 데 도움이 됩니다. 규정 준수 모드는 데이터 보존 기간이 완료될 때까지 저장소(및 더 나아가 저장소의 콘텐츠)가 삭제되거나 변경되지 않아야 하는 백업 저장소를 위한 모드입니다. 규정 준수 모드의 저장소가 잠기면 변경이 불가능합니다. 즉, 잠금을 제거할 수 없습니다.

거버넌스 모드에서 잠긴 저장소는 적절한 IAM 권한이 있는 사용자가 관리하거나 삭제할 수 있습니다.

규정 준수 모드의 저장소 잠금은 다른 사용자 또는 AWS가 변경하거나 삭제할 수 없습니다. 규정 준수 모드의 저장소 잠금에는 저장소가 잠겨서 변경 불가능해지기 전까지 설정한 유예 시간이 있습니다.

저장소 잠금의 이점

AWS Backup Vault Lock은 다음과 같은 여러 가지 이점을 제공합니다.

• 백업 저장소에 저장하고 생성하는 모든 백업을 위한 WORM(write-once, read-many) 구성.

• 백업 저장소의 백업(복구 시점)이 실수로 또는 악의적으로 삭제되지 않도록 보호하는 추가적인 방어 계층입니다.

• 보존 기간 적용: 권한이 있는 사용자 ( AWS 계정 루트 사용자 포함) 의 조기 삭제를 방지하고 조직의 데이터 보호 정책 및 절차를 준수합니다.

콘솔을 사용하여 백업 저장소 잠그기

Backup 콘솔을 사용하여 AWS Backup Vault에 저장소 잠금을 추가할 수 있습니다.

백업 저장소에 저장소 잠금을 추가하려면

1. 에 AWS Management Console로그인하고 https://console.aws.amazon.com/backup 에서 AWS Backup 콘솔을 엽니다.

2. 탐색 창에서 백업 저장소를 선택합니다. 백업 저장소 아래에 중첩된 저장소 잠금이라는 링크를 클릭합니다.

3. 저장소 잠금 작동 방식 또는 저장소 잠금 아래에서 + 저장소 잠금 생성을 클릭합니다.

4. 저장소 잠금 세부 정보 창에서 잠금을 적용할 저장소를 선택합니다.

5. 저장소 잠금 모드에서 저장소를 잠글 모드를 선택합니다. 모드 선택에 대한 자세한 내용은 이 페이지 앞 부분의 저장소 잠금 모드를 참조하세요.

6. 보존 기간의 경우 최소 및 최대 보존 기간을 선택합니다(보존 기간은 선택 사항). 저장소에 생성된 새로운 백업 및 복사 작업이 사용자가 설정한 보존 기간에 맞지 않으면 해당 작업은 실패합니다. 이러한 기간은 저장소에 이미 있는 복구 시점에는 적용되지 않습니다.

7. 규정 준수 모드를 선택한 경우 저장소 잠금 시작 날짜라는 섹션이 표시됩니다. 거버넌스 모드를 선택한 경우 이 섹션은 표시되지 않으며 이 단계를 건너뛸 수 있습니다.

   규정 준수 모드의 저장소 잠금에는 저장소 잠금이 생성된 시점부터 저장소 및 저장소의 잠금을 변경 불가능할 수 없게 될 때까지 쿨링 오프 기간이 있습니다. 이 기간(유예 시간이라고 함)을 선택하되, 최소 3일(72시간)이어야 합니다.

   중요

   유예 시간이 만료되면 저장소와 저장소의 잠금은 변경 불가능합니다. 다른 사용자나 AWS가 이를 변경하거나 삭제할 수 없습니다.

8. 구성 선택에 만족하면 저장소 잠금 생성을 클릭합니다.

9. 선택한 모드에서 이 잠금을 생성하도록 확인하려면 텍스트 상자에 confirm을 입력한 다음, 구성이 의도한 대로인지 확인하는 상자를 선택합니다.

단계를 성공적으로 완료하면 콘솔 상단에 "성공" 배너가 나타납니다.

프로그래밍 방식으로 백업 저장소 잠그기

AWS Backup 저장소 잠금을 구성하려면 API를 사용하십시오PutBackupVaultLockConfiguration. 포함할 파라미터는 사용하려는 저장소 잠금 모드에 따라 달라집니다. 거버넌스 모드에서 저장소 잠금을 생성하려는 경우에는 ChangeableForDays를 포함하지 마세요. 이 파라미터를 포함하면 규정 준수 모드에서 저장소 잠금이 생성됩니다.

다음은 규정 준수 모드 저장소 잠금 생성의 CLI 예제입니다.

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

다음은 거버넌스 모드 저장소 잠금 생성의 CLI 예제입니다.

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

네 가지 옵션을 구성할 수 있습니다.

1. BackupVaultName

   잠그려는 저장소의 이름입니다.

2. ChangeableForDays(규정 준수 모드에만 포함)

   이 매개변수는 규정 준수 모드에서 금고 잠금을 AWS Backup 생성하도록 지시합니다. 거버넌스 모드에서 잠금을 생성하려면 이 파라미터를 생략하세요.

   이 값은 일 단위로 표시됩니다. 3보다 크고 36,500보다 작은 숫자여야 합니다. 그렇지 않으면 오류가 반환됩니다.

   이 저장소 잠금을 생성한 후 지정된 날짜가 만료될 때까지는 DeleteBackupVaultLockConfiguration을 사용하여 저장소에서 저장소 잠금을 제거할 수 있습니다. 또는 이 기간 동안 PutBackupVaultLockConfiguration을 사용하여 구성을 변경할 수도 있습니다.

   이 파라미터에 의해 정해진 지정된 날짜 이후에는 백업 저장소를 변경할 수 없으며 삭제할 수 없습니다.

3. MaxRetentionDays(선택 사항)

   이 값은 일 단위로 표시되는 숫자 값입니다. 이는 저장소가 복구 시점을 유지하는 최대 보존 기간입니다.

   사용자가 선택하는 최대 보존 기간은 조직의 데이터 보존 정책과 일치해야 합니다. 조직에서 데이터를 일정 기간 동안 보존하도록 지시할 경우, 이 값을 해당 기간(일 단위)으로 설정할 수 있습니다. 예를 들어, 금융 또는 은행 데이터를 7년(윤년에 따라 약 2,557일) 동안 보관해야 할 수 있습니다.

   지정하지 않으면 AWS Backup 저장소 잠금은 최대 보존 기간을 적용하지 않습니다. 지정된 경우, 수명 주기 보존 기간이 최대 보존 기간보다 긴 이 저장소로 백업 및 복사하는 작업은 실패합니다. 저장소 잠금의 생성 이전에 저장소에 이미 저장된 복구 시점은 영향을 받지 않습니다. 지정할 수 있는 최대 보존 기간은 36,500일(약 100년)입니다.

4. MinRetentionDays(선택 사항, 필수) CloudFormation

   이 값은 일 단위로 표시되는 숫자 값입니다. 이는 저장소가 복구 시점을 유지하는 최소 보존 기간입니다. 이 설정은 조직에서 데이터를 유지하는 데 필요한 시간으로 설정해야 합니다. 예를 들어, 규정이나 법률에 따라 데이터를 최소 7년 동안 보존해야 할 경우 일 단위의 값은 윤년에 따라 약 2,557일이 됩니다.

   지정하지 않을 경우 AWS Backup Vault Lock은 최소 보존 기간을 적용하지 않습니다. 지정된 경우, 수명 주기 보존 기간이 최소 보존 기간보다 짧은 이 저장소로 백업 및 복사하는 작업은 실패합니다. AWS Backup 저장소 잠금 이전에 저장소에 이미 저장된 복구 지점은 영향을 받지 않습니다. 지정할 수 있는 가장 짧은 최소 보존 기간은 1일입니다.

백업 저장소의 AWS Backup 저장소 잠금 구성을 검토하십시오.

전화 DescribeBackupVault 또는 ListBackupVaults API를 통해 언제든지 저장소의 AWS Backup 저장소 잠금 세부 정보를 검토할 수 있습니다.

백업 저장소에 저장소 잠금을 적용했는지 확인하려면 DescribeBackupVault를 호출하고 Locked 속성을 확인합니다. 다음 예와 같이 백업 AWS Backup 저장소에 저장소 잠금을 적용한 경우 "Locked": true

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

앞의 출력은 다음 옵션을 확인합니다.

1. Locked이 백업 AWS Backup 저장소에 저장소 잠금을 적용했는지 여부를 나타내는 불리언입니다. True AWS Backup 저장소 잠금으로 인해 저장소에 저장된 복구 지점에 대한 삭제 또는 업데이트 작업이 실패한다는 의미입니다 (아직 보존 유예 기간 내에 있는지 여부와 관계 없음).

2. LockDate는 쿨링 오프 유예 기간이 종료되는 날짜 및 시간(UTC)입니다. 이 기간이 지나면 이 저장소의 잠금을 삭제하거나 변경할 수 없습니다. 일반적으로 제공되는 시간 변환기를 사용하여 이 문자열을 현지 시간으로 변환합니다.

아래의 예제처럼 "Locked":false인 경우, 저장소 잠금을 적용하지 않았거나 이전 저장소 잠금이 삭제된 것입니다.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

유예 시간 중에 저장소 잠금 제거(규정 준수 모드)

콘솔을 사용하여 유예 기간 (저장소를 잠근 후 남은 시간LockDate) 에 저장소 잠금을 삭제하려면 AWS Backup

1. 에 AWS Management Console로그인하고 https://console.aws.amazon.com/backup 에서 AWS Backup 콘솔을 엽니다.

2. 왼쪽 탐색 메뉴의 내 계정에서 백업 저장소를 클릭한 다음, 백업 저장소 잠금을 클릭합니다.

3. 제거하려는 저장소 잠금을 클릭한 다음 저장소 잠금 관리를 클릭합니다.

4. 저장소 잠금 삭제를 클릭합니다.

5. 저장소 잠금을 삭제할 것인지 확인하라고 묻는 경고 상자가 나타납니다. 텍스트 상자에 confirm을 입력한 다음 확인을 클릭합니다.

단계를 성공적으로 모두 완료하면 콘솔 화면의 상단에 성공 배너가 나타납니다.

CLI 명령을 사용하여 유예 시간 중에 저장소 잠금을 삭제하려면 아래의 CLI 예제처럼 DeleteBackupVaultLockConfiguration을 사용하세요.

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

AWS 계정 잠긴 금고로 닫기

백업 저장소가 들어 AWS 계정 있는 계정을 AWS 폐쇄하고 백업을 그대로 유지한 상태로 90일 동안 계정을 AWS Backup 정지하는 경우 90일 동안 계정을 다시 열지 않으면 Vault Lock이 설치되어 있더라도 AWS Backup 백업 저장소의 콘텐츠가 AWS 삭제됩니다.

추가 보안 고려 사항

AWS Backup Vault Lock은 심층적인 데이터 보호 방어에 보안을 한층 더 강화합니다. 저장소 잠금은 다음과 같은 다른 보안 기능과 결합할 수 있습니다.

• 복구 시점의 암호화

• AWS Backup 저장소 및 복구 지점 액세스 정책을 통해 저장소 수준에서 권한을 부여하거나 거부할 수 있습니다.

• AWS Backup AWS 지원되는 서비스별로 백업 및 복원 권한을 부여하거나 거부할 수 있는 고객 관리형 정책 라이브러리를 포함한 보안 모범 사례

• AWS Backup Audit Manager를 사용하면 정의한 제어 목록을 기준으로 백업에 대한 규정 준수 검사를 자동화할 수 있습니다.

  의도한 리소스가 볼트 잠금으로 보호되도록 AWS Backup Audit Manager의 백업은 AWS Backup Vault Lock으로 보호됩니다. 컨트롤에 대해 API를 사용하여 프레임워크 만들기 AWS Backup의 내용을 참조할 수 있습니다.

참고

AWS Backup 저장소 잠금은 Amazon S3와만 호환되는 S3 Glacier 유연한 검색 저장소 잠금과는 기능이 다릅니다.