AWS Backup Fechadura do cofre

nota

AWS Backup O Vault Lock foi avaliado pela Cohasset Associates para uso em ambientes sujeitos às regulamentações SEC 17a-4, CFTC e FINRA. Para obter mais informações sobre como o AWS Backup Vault Lock se relaciona com esses regulamentos, consulte a Avaliação de conformidade da Cohasset Associates.

AWS Backup O Vault Lock é um recurso opcional de um cofre de backup, que pode ser útil para oferecer segurança e controle adicionais sobre seus cofres de backup. Quando um bloqueio está ativo no modo de conformidade e o tempo de carência termina, a configuração do cofre não poderá ser alterada ou excluída por um cliente, proprietário da conta/dados ou pela AWS. Cada cofre pode ter um bloqueio de cofre em vigor.

AWS Backup garante que seus backups estejam disponíveis para você até que atinjam a expiração dos períodos de retenção. Se algum usuário (incluindo o usuário raiz) tentar excluir um backup ou alterar as propriedades do ciclo de vida em um cofre bloqueado, AWS Backup negará a operação.

• Os cofres bloqueados no modo de governança podem ter o bloqueio removido por usuários com permissões suficientes do IAM.

• Os cofres bloqueados no modo de conformidade não podem ser excluídos depois que o período de reflexão (“período de carência”) expirar. Durante o período de carência, você ainda pode remover o bloqueio do cofre e alterar a configuração do bloqueio.

Modos de bloqueio do cofre

Ao criar um bloqueio de cofre, você pode escolher entre dois modos: modo de governança ou modo de conformidade. O modo de governança tem como objetivo permitir que um cofre seja gerenciado somente por usuários com privilégios suficientes do IAM. O modo de governança ajuda a organização a atender aos requisitos de governança, garantindo que somente a equipe designada possa fazer alterações em um cofre de backup. O modo de conformidade é destinado a cofres de backup nos quais se espera que o cofre (e, por extensão, seu conteúdo) nunca seja excluído ou alterado até que o período de retenção de dados seja concluído. Quando um cofre no modo de conformidade é bloqueado, ele é imutável, o que significa que o bloqueio não pode ser removido.

Um cofre bloqueado no modo de governança pode ser gerenciado ou excluído por usuários que tenham as permissões apropriadas do IAM.

Um bloqueio de cofre no modo de conformidade não pode ser alterado ou excluído por nenhum usuário ou pela AWS. Um bloqueio de cofre no modo de conformidade tem um período de carência que você define antes de ser bloqueado e se tornar imutável.

Benefícios do Vault Lock

AWS Backup O Vault Lock oferece vários benefícios, incluindo:

• Configuração WORM (write once, read-many) para todos os backups que você armazena e cria em um cofre de backup.

• Uma camada adicional de defesa que protege os backups (pontos de recuperação) em seus cofres de backup contra exclusões inadvertidas ou mal-intencionadas.

• Aplicação de períodos de retenção, que evitam exclusões antecipadas por usuários privilegiados (incluindo o usuário Conta da AWS raiz) e atendem às políticas e procedimentos de proteção de dados da sua organização.

Bloquear um cofre de backup usando o console

Você pode adicionar uma trava de cofre ao seu AWS Backup cofre usando o console de Backup.

Como adicionar um bloqueio de cofre ao seu cofre de backup:

1. Faça login no AWS Management Console e abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação, selecione Cofres de backup. Clique no link aninhado em Cofres de backup chamado Bloqueios de cofre.

3. Em Como funcionam os bloqueios do cofre ou Bloqueios de cofre, clique em + Criar bloqueio de cofre.

4. No painel Detalhes do bloqueio de cofre, escolha em qual cofre você deseja aplicar o bloqueio.

5. Em Modo de bloqueio de cofre, escolha em qual modo você deseja que seu cofre seja bloqueado. Para obter mais informações sobre como escolher seus modos, consulte Modos de bloqueio de cofre anteriormente nesta página.

6. Para o período de retenção, escolha os períodos mínimo e máximo de retenção (os períodos de retenção são opcionais). Haverá falha nos novos trabalhos de backup e cópia criados no cofre se não estiverem em conformidade com os períodos de retenção que você definiu. Esses períodos não se aplicarão aos pontos de recuperação que já estiverem no cofre.

7. Se você escolher o modo de conformidade, uma seção chamada Data de início do bloqueio de cofre será exibida. Se você escolher o modo de governança, isso não será exibido e essa etapa poderá ser ignorada.

   No modo de conformidade, um bloqueio de cofre tem um período de reflexão desde a criação do bloqueio até que o cofre e seu bloqueio se tornem imutáveis e inalteráveis. Você escolhe a duração desse período (chamado de período de carência), embora deva ser de pelo menos três dias (72 horas).

   Importante

   Depois que o período de carência expirar, o cofre e seu bloqueio serão imutáveis. Ele não pode ser alterado ou excluído por nenhum usuário ou pela AWS.

8. Quando estiver satisfeito com as opções de configuração, clique em Criar bloqueio de cofre.

9. Para confirmar que você deseja criar esse bloqueio no modo escolhido, digite confirm na caixa de texto e marque a caixa confirmando que a configuração está conforme pretendido.

Se as etapas tiverem sido concluídas com êxito, um banner “Êxito” será exibido na parte superior do console.

Bloquear um cofre de backup de forma programática

Para configurar o AWS Backup Vault Lock, use a APIPutBackupVaultLockConfiguration. Os parâmetros a serem incluídos dependerão do modo de bloqueio do cofre que você pretende usar. Se você deseja criar um bloqueio de cofre no modo de governança, não inclua ChangeableForDays. Se esse parâmetro for incluído, o bloqueio do cofre será criado no modo de conformidade.

Aqui está um exemplo de CLI da criação de um bloqueio de cofre no modo de conformidade:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Aqui está um exemplo de CLI da criação de um bloqueio de cofre no modo de governança:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

É possível configurar quatro opções.

1. BackupVaultName

   O nome do cofre a ser bloqueado.

2. ChangeableForDays (inclua somente para o modo de conformidade)

   Esse parâmetro instrui AWS Backup a criar o bloqueio do cofre no modo de conformidade. Omita esse parâmetro se você pretende criar o bloqueio no modo de governança.

   Esse valor é expresso em dias. Deve ser um número não menor que 3 e não maior que 36.500. Caso contrário, será retornado um erro.

   Desde a criação desse bloqueio de cofre até a expiração da data especificada, o bloqueio do cofre poderá ser removido do cofre usando DeleteBackupVaultLockConfiguration. Como alternativa, durante esse período, você poderá alterar a configuração usando PutBackupVaultLockConfiguration.

   Na data especificada e determinada por esse parâmetro, o cofre de backup será imutável e não poderá ser alterado ou excluído.

3. MaxRetentionDays (opcional)

   Esse é um valor numérico expresso em dias. Esse é o período máximo de retenção que o cofre retém seus pontos de recuperação.

   O período máximo de retenção que você escolher deve estar alinhado com as políticas de retenção de dados da sua organização. Se a sua organização instruir que os dados sejam retidos por um período, esse valor poderá ser definido para esse período (em dias). Por exemplo, pode ser necessário manter dados financeiros ou bancários por sete anos (aproximadamente 2.557 dias, dependendo dos anos bissextos).

   Se não for especificado, o AWS Backup Vault Lock não aplicará um período máximo de retenção. Se especificado, haverá falha nos trabalhos de backup e cópia para esse cofre com períodos de retenção do ciclo de vida superiores ao período máximo de retenção. Os pontos de recuperação já salvos no cofre antes da criação do bloqueio de cofre não serão afetados. O período máximo de retenção mais longo que você pode especificar é de 36.500 dias (aproximadamente 100 anos).

4. MinRetentionDays(opcional; obrigatório para CloudFormation)

   Esse é um valor numérico expresso em dias. Esse é o período mínimo de retenção que o cofre retém seus pontos de recuperação. Essa configuração deve ser definida de acordo com a quantidade de tempo que sua organização deve manter os dados. Por exemplo, se os regulamentos ou leis exigirem que os dados sejam retidos por pelo menos sete anos, o valor em dias seria de aproximadamente 2.557, dependendo dos anos bissextos.

   Se não for especificado, o AWS Backup Vault Lock não aplicará um período mínimo de retenção. Se especificado, haverá falha nos trabalhos de backup e cópia para esse cofre com períodos de retenção do ciclo de vida inferiores ao período mínimo de retenção. Os pontos de recuperação já salvos no cofre antes do AWS Backup Vault Lock não são afetados. O período mínimo de retenção mais curto que você pode especificar é de um dia.

Revise a configuração do Vault Lock em um AWS Backup cofre de backup

Você pode revisar os detalhes do AWS Backup Vault Lock em um cofre a qualquer momento por meio de chamadas DescribeBackupVault ou APIs. ListBackupVaults

Para determinar se você aplicou um bloqueio de cofre a um cofre de backup, chame DescribeBackupVault e verifique a propriedade Locked. Se"Locked": true, como no exemplo a seguir, você aplicou o AWS Backup Vault Lock ao seu cofre de backup.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

A saída anterior confirma as seguintes opções:

1. Lockedé um booleano que indica se você aplicou o AWS Backup Vault Lock a esse cofre de backup. Truesignifica que o AWS Backup Vault Lock faz com que as operações de exclusão ou atualização dos pontos de recuperação armazenados no cofre falhem (independentemente de você ainda estar no período de carência de reflexão).

2. LockDate é a data e a hora em UTC em que seu período de carência de reflexão termina. Após esse período, você não poderá excluir ou alterar seu bloqueio neste cofre. Use qualquer conversor de horário disponível publicamente para converter essa string em sua hora local.

Se "Locked":false, como no exemplo a seguir, você não tiver aplicado um bloqueio de cofre (ou se um anterior tiver sido excluído).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Remoção do bloqueio do cofre durante o período de carência (modo de conformidade)

Para excluir o bloqueio do cofre durante o período de carência (o tempo após o bloqueio do cofre, mas antes do seuLockDate) usando o console, AWS Backup

1. Faça login no AWS Management Console e abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, em Minha conta, clique em Cofres de backup e, em seguida, clique em Backup Vault Lock.

3. Clique no bloqueio do cofre que você deseja remover e, em seguida, clique em Gerenciar bloqueio de cofre.

4. Clique em Excluir cofre.

5. Uma caixa de aviso será exibida solicitando que você confirme sua intenção de excluir o bloqueio do cofre. Digite confirm na caixa de texto e clique em confirmar.

Depois que todas as etapas forem concluídas com êxito, um banner de Êxito será exibido na parte superior da tela do console.

Para excluir o bloqueio do cofre durante o período de carência usando um comando da CLI, use DeleteBackupVaultLockConfiguration como este exemplo de CLI:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Conta da AWS fechamento com um cofre trancado

Quando você fecha um Conta da AWS que contém um cofre de backup AWS e AWS Backup suspende sua conta por 90 dias com seus backups intactos. Se você não reabrir sua conta durante esses 90 dias, AWS excluirá o conteúdo do seu cofre de backup, mesmo se o AWS Backup Vault Lock estiver em vigor.

Considerações adicionais sobre segurança

AWS Backup O Vault Lock adiciona uma camada adicional de segurança à sua defesa de proteção de dados em profundidade. É possível combinar o bloqueio do cofre com esses outros recursos de segurança:

• Criptografia para seus pontos de recuperação

• AWS Backup políticas de acesso ao cofre e ao ponto de recuperação, que permitem conceder ou negar permissões no nível do cofre,

• AWS Backup melhores práticas de segurança, incluindo sua biblioteca de políticas gerenciadas pelo cliente que permitem que você conceda ou negue permissões de backup e restauração por meio de um serviço AWS compatível, e

• AWS Backup Audit Manager, que permite automatizar as verificações de conformidade de seus backups em relação a uma lista de controles definidos por você.

  Você pode realizar Criação de estruturas usando a API AWS Backup para o controle Os backups são protegidos pelo AWS Backup Vault Lock com o AWS Backup Audit Manager para ajudar a garantir que os recursos pretendidos sejam protegidos com um bloqueio de cofre.

nota

AWS Backup O Vault Lock não é o mesmo recurso do Amazon S3 Glacier Vault Lock, que é compatível somente com o S3 Glacier.