AWS Backup 文件库锁定

注意

AWS Backup文件库锁定已由 Cohasset Assiates 评估，可在受 SEC 17a-4、CFTC 和 FINRA 法规约束的环境中使用。有关VaulateAWS Backup t Locastet Locast et Locastet Locet Locat Ast et

AWS Backup保管库锁定是备份保管库的一项可选功能，它可以帮助您提高安全性和对备份保管库的控制。当锁定在合规模式下处于活动状态并且宽限期结束时，客户、账户/数据所有者或无法更改或删除文件库配置AWS。每个保管库可以设置一个保管库锁。

AWS Backup确保您的备份在保留期到期之前可供您使用。如果任何用户（包括根用户）尝试删除备份或更改锁定保管库中的生命周期属性，都AWS Backup将拒绝该操作。

• 在监管模式下锁定的文件库可以由具有足够的 IAM 权限的用户解除锁定。

• 冷却期（“宽限期”）到期后，将无法删除锁定在合规模式下的文件库。在宽限期内，您仍然可以移除文件库锁定并更改锁定配置。

保管库锁定模式

创建文件库锁定时，您可以选择两种模式：治理模式或合规模式。治理模式旨在仅允许具有充足 IAM 权限的用户管理文件库。治理模式可帮助组织满足监管要求，确保只有指定人员才能对备份保管库进行更改。合规模式适用于备份保管库，在这种情况下，在数据保留期结束之前，保管库（进而包括其内容）永远不会被删除或更改。合规模式下的保管库一旦被锁定，它就不可变，这意味着无法解除锁定。

在治理模式下锁定的文件库可以由具有相应 IAM 权限的用户管理或删除。

任何用户或任何人都无法更改或删除合规模式下的文件库锁定AWS。合规模式下的文件库锁定在锁定和变为不可变之前会设置一个宽限期。

保管库锁的好处

AWS BackupVault Lock 提供多种好处，包括：

• WORM（一次写入、多次读取）配置，适用于您在备份库中存储和创建的所有备份。

• 额外的防御层可保护备份库中的备份（恢复点）免遭无意或恶意删除。

• 强制执行保留期，防止特权用户（包括AWS 账户根用户）提前删除，并符合贵组织的数据保护政策和程序。

使用控制台锁定备份库

您可以使用Backup 控制台向您的AWS Backup保管库添加保管库锁。

要向备份保管库添加保管库锁，请执行以下操作：

1. 登录AWS Management Console，然后通过以下网址打开AWS Backup控制台：https://console.aws.amazon.com/backup。

2. 在导航窗格中，找到 Backup文件库。单击嵌套在Backup 保管库下的名为保管库锁的链接。

3. 在 “保管库锁的工作原理” 或 “保管库锁定” 下，单击 + 创建保管库锁。

4. 在 “保管库锁定详细信息” 窗格中，选择要对哪个保管库应用锁定。

5. 在保管库锁定模式下，选择要锁定保管库的模式。有关选择模式的更多信息，请参阅本页前面的保管库锁定模式。

6. 对于保留期，选择最小和最大保留期（最大保留期是可选的）。只有保留期内的备份作业才能成功。

7. 如果您选择合规模式，则会显示一个名为 Vault 锁定开始日期的部分。如果您选择治理模式，则不会显示该模式，并且可以跳过此步骤。

   在合规模式下，保管库锁有一段冷静期，从创建文件库锁开始，直到文件库及其锁变为不可变和不可更改。您可以选择此时段的持续时间（称为宽限期），但必须至少为 3 天（72 小时）。

   重要

   宽限期到期后，保管库及其锁是不可变的。任何用户或任何人都不能对其进行更改或删除AWS。

8. 当您对配置选择感到满意时，请单击 “创建保管库锁”。

9. 要确认您希望在所选模式下创建此锁，请在文本框confirm中键入，然后选中确认配置符合预期的复选框。

如果这些步骤已成功完成，控制台顶部将出现 “成功” 横幅。

以编程方式锁定备份文件库

要配置AWS Backup文件库锁定，请使用 APIPutBackupVaultLockConfiguration。要包含的参数将取决于您打算采用哪种保管库锁定模式。如果您希望在管理模式下创建文件库锁，请不要包括ChangeableForDays。如果包含此参数，则将在合规模式下创建文件库锁。

以下是创建合规模式文件库锁定的 CLI 示例：

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

以下是创建治理模式文件库锁的 CLI 示例：

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

您可以配置四个选项。

1. BackupVaultName

   要锁定的文件库的名称。

2. ChangeableForDays（仅适用于合规模式）

   此参数指示AWS Backup在合规模式下创建文件库锁。如果您打算在治理模式下创建锁，请省略此参数。

   该值以天为单位表示。它必须是一个不小于 3 且不大于 36,500 的数字；否则，将返回错误。

   从创建此文件库锁到指定日期到期，可以使用以下方法将文件库锁定从文件库中删除DeleteBackupVaultLockConfiguration。或者，在此期间，您可以使用更改配置PutBackupVaultLockConfiguration。

   在此参数确定的指定日期及之后，Backup文件库将不可变且无法更改或删除。

3. MaxRetentionDays（可选）

   这是一个以天为单位的数值。这是文件库保留其恢复点的最长保留期。

   您选择的最大保留时间范围应与贵组织的数据保留政策保持一致。如果您的组织指示将数据保留一段时间，则可以将此值设置为该期限（以天为单位）。例如，财务或银行数据可能需要保存 7 年（大约 2,557 天，取决于闰年）。

   如果未指定，AWS Backup文件库锁定将不会强制规定最长保留期。如果指定，则生命周期保留期长于最大保留期限的备份和复制到此文件库的任务将失败。文件库锁定创建文件库锁定之前已保存在文件库中的恢复点不受影响。您可以指定的最长最大保留期为 36500 天（大约 100 年）。

4. MinRetentionDays（可选；为必填项 CloudFormation）

   这是一个以天为单位的数值。这是文件库保留其恢复点的最短保留期。此设置应设置为您的组织维护数据所需的时间。例如，如果法规或法律要求将数据保留至少七年，则以天为单位的值约为 2,557，具体取决于闰年。

   如果未指定，AWS Backup文件库锁定将不会强制规定最短保留期。如果指定，则生命周期保留期短于最小保留期限的备份和复制到此文件库的任务将失败。文件库锁定之前已保存在文件AWS Backup库中的恢复点不受影响。您可以指定的最短保留期为 1 天。

查看备份保管库的保AWS Backup管库锁定配置

您可以随时通过调用DescribeBackupVault或ListBackupVaults API 查看AWS Backup保管库上的保管库锁定详细信息。

要确定您是否对备份保管库应用了保管库锁定，请致电DescribeBackupVault并检查该Locked属性。如果"Locked": true像以下示例一样，您对备份AWS Backup保管库应用了保管库锁定。

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

上述输出确认了以下选项：

1. Locked是一个布尔值，表示您是否已将AWS Backup文件库锁定应用于此备份保管库。 True意味着AWS Backup Vault Lock 会导致对存储在文件库中的恢复点的删除或更新操作失败（无论您是否仍处于冷静宽限期）。

2. LockDate是您的冷静宽限期结束时的 UTC 日期和时间。在此之后，您将无法删除或更改此保管库的锁定。使用任何公开可用的时间转换器将此字符串转换为您的本地时间。

如果"Locked":false像以下示例一样，您尚未应用文件库锁定（或之前的保管库锁定已被删除）。

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

在宽限期内移除文件库锁（合规模式）

要在宽限期（锁定保管库之后但在锁定保管库之前LockDate）使用AWS Backup主机删除保管库锁定，

1. 登录AWS Management Console，然后通过以下网址打开AWS Backup控制台：https://console.aws.amazon.com/backup。

2. 在 “我的帐户” 下的左侧导航栏中，单击 “Backup 保管库”，然后单击 “Backup 保管库锁定”。

3. 点击您要移除的保管库锁，然后点击管理保管库锁定。

4. 单击 “删除保管库锁”。

5. 将出现一个警告框，要求您确认删除保管库锁的意图。在文本框中键confirm入，然后单击 “确认”。

成功完成所有步骤后，控制台屏幕顶部将出现 “成功” 横幅。

要在宽限期内使用 CLI 命令删除保管库锁，请使用DeleteBackupVaultLockConfiguration如下的 CLI 示例：

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

AWS 账户用锁定的金库关闭

当您关闭AWS 账户包含备份保管库的帐户，AWS并在备份完好无损的情况下AWS Backup暂停您的帐户 90 天时。如果您在这 90 天内没有重新打开账户，即使保管库已锁定，也会AWS删除备份AWS Backup保管库中的内容。

其它安全注意事项

AWS BackupVault Lock 为您的数据保护防御深度增加了一层额外的安全保护。保管库锁定可以与其他安全功能结合使用：

• 为您的恢复点加密

• AWS Backup保管库和恢复点访问策略，允许您在文件库级别授予或拒绝权限，

• AWS Backup安全最佳实践，包括其客户管理策略库，允许您通过AWS支持的服务授予或拒绝备份和恢复权限，以及

• AWS BackupA@@ udit Manager，它允许您根据您定义的控件列表自动检查备份的合规性。

注意

AWS Backup文件库锁定功能与 S3 Glacier 灵活检索文件库锁定功能不同，后者仅与 Amazon S3 兼容。