本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
注意
AWS Backup Vault Lock 已由 Cohasset Associates 評估,可用於符合 SEC 17a-4、CFTC 和 FINRA 法規的環境。如需 AWS Backup 保存庫鎖定如何與這些法規相關的詳細資訊,請參閱 Cohasset Associates Compliance Assessment。
AWS Backup 保存庫鎖定是備份保存庫的選用功能,有助於為您提供額外的安全性並控制備份保存庫。當鎖定在合規模式下處於作用中狀態且寬限期結束後,客戶、帳戶/資料擁有者或 AWS 只要包含復原點,就無法變更或刪除保存庫組態。每個保存庫都可以有一個保存庫鎖定。
AWS Backup 可確保您的備份可供您使用,直到其保留期間到期為止。如果任何使用者 (包括根使用者) 嘗試刪除備份或變更鎖定保存庫中的生命週期屬性, AWS Backup 將拒絕操作。
在控管模式下鎖定的保存庫,可以讓具有足夠 IAM 許可的使用者移除鎖定。
如果保存庫中有任何復原點,則在冷靜期 (「寬限期」) 過期後,即無法刪除在合規模式中鎖定的保存庫。在寬限期內,您仍然可以移除保存庫鎖定並變更鎖定組態。
保存庫鎖定模式
建立保存庫鎖定時,有兩種模式可供選擇:治理模式或合規模式。治理模式目的在僅允許擁有足夠 IAM 許可的使用者管理保存庫。治理模式會協助組織達到治理要求,確保只有指定的人員可以變更備份文件庫。合規模式則能讓備份文件庫中的保存庫 (及擴充後的內容) 不會在資料保留期結束前遭到刪除或變更。鎖定合規模式中的保存庫後,就不會變更,這表示無法移除鎖定 (如果保存庫本身是空的且不包含任何復原點,則可以將其刪除)。
具有適當 IAM 許可的使用者可以管理或刪除在控管模式下鎖定的保存庫。
任何使用者或 AWS皆無法變更或刪除在合規模式下鎖定的保存庫。合規模式中的保存庫鎖定有一段寬限期,之後才會鎖定,且內容和保存庫鎖定會變成不可變。
保存庫鎖定的優點
AWS Backup 保存庫鎖定提供多種優點,包括:
WORM (單寫多讀) 組態,適用於您在備份文件庫中儲存與建立的所有備份。
為備份文件庫中的備份 (復原點) 多加一層防禦,以免遭意外或惡意刪除。
強制執行保留期,防止特殊權限使用者 (包括 AWS 帳戶 根使用者) 提早刪除,並符合組織的資料保護政策和程序。
使用主控台鎖定備份文件庫
您可以使用 Backup 主控台將保存庫鎖定新增至保存 AWS Backup 庫。
在備份文件庫中新增保存庫鎖定:
登入 AWS Management Console,並在 https://https://console.aws.amazon.com/backup
開啟 AWS Backup 主控台。 在導覽窗格中,尋找 備份文件庫。按一下 備份文件庫 下稱為 保存庫鎖定 的巢狀連結。
在 保存庫鎖定運作方式 或 保存庫鎖定 下,按一下 + 建立保存庫鎖定。
在 保存庫鎖定詳細資訊 窗格中,選擇您要套用鎖定的保存庫。
在 保存庫鎖定模式 下,選擇您要鎖定保存庫的模式。如需有關選擇模式的詳細資訊,請參閱本頁前文中的保存庫鎖定模式。
請在 保留期間 選擇最短和最長的保留期間 (保留期間為選用)。在保存庫中建立的新備份和複製任務,如不遵守設定的保留期間將會失敗,這些期間將不適用保存庫中已有的復原點。
如果您選擇 合規模式,則會顯示名為 保存庫鎖定開始日期 的區段。如果您選擇 控管模式,則不會顯示該區段,並且可以跳過此步驟。
在合規模式下,保存庫鎖定有一段冷靜,是從建立保存庫鎖定到保存庫及其鎖定成為不可變且不可變更為止。您選擇的這段期間 (稱為寬限期),時長必須至少為 3 天 (72 小時)。
重要
寬限期到期後,保存庫及其鎖定即不可變。任何使用者或 AWS皆無法變更或刪除。
當您對組態選項感到滿意後,請按一下 建立保存庫鎖定。
為確認您希望在所選模式下建立此鎖定,請在文字方塊中輸入
confirm,然後勾選確認為預期組態的方塊。
當步驟順利完成後,主控台頂端就會出現「成功」橫幅。
以程式設計方式鎖定備份文件庫
若要設定 AWS Backup 保存庫鎖定,請使用 API PutBackupVaultLockConfiguration。要包括的參數將取決於您要使用的保存庫鎖定模式。如果您希望在控管模式下建立保存庫鎖定,請勿包含 ChangeableForDays。如果包含此參數,將會在合規模式下建立保存庫鎖定。
以下是建立合規模式保存庫鎖定的 CLI 範例:
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --changeable-for-days3\ --min-retention-days7\ --max-retention-days30
以下是建立控管模式保存庫鎖定的 CLI 範例:
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --min-retention-days7\ --max-retention-days30
您可以設定四個選項。
-
BackupVaultName要鎖定的保存庫名稱。
-
ChangeableForDays(僅合規模式包含)此參數 AWS Backup 指示 在合規模式下建立保存庫鎖定。如果想要在控管模式下建立鎖定,請省略此參數。
此值是以天數表示。必須是大於 3 且小於 36,500 的數字,否則會傳回錯誤。
從建立此保存庫鎖定起到指定的到期日為止,您可以使用
DeleteBackupVaultLockConfiguration移除保存庫的保存庫鎖定。或者,您可以在此期間使用PutBackupVaultLockConfiguration變更組態。在此參數決定的指定日期當天和之後,備份文件庫將為不可變,且無法變更或刪除。
-
MaxRetentionDays(選用)這是以天數表示的數值。這是保存庫保留復原點的最長保留期間。
您選擇的最長保留時間範圍應與組織的保留資料政策一致。如果組織指示了資料的保留期間,您可以將此值設定為該期間 (以天數為單位)。例如,財務或銀行資料可能需要保存 7 年 (約 2,557 天,隨閏年而增減)。
如果未指定, AWS Backup Vault Lock 不會強制執行最長保留期間。如已指定,則此保存庫中,生命週期保留期間超過最長保留期間的備份和複製任務將會失敗。在建立保存庫鎖定之前已儲存於保存庫的復原點不會受到影響。您可以指定的最長保留期間為 36500 天 (約 100 年)。
-
MinRetentionDays(選用,在 CloudFormation 為必要項)這是以天數表示的數值。這是保存庫保留復原點的最短保留期間。建議使用組織維護資料所需的時間長短設定此項設定。例如,如果法規或法律要求資料至少保留七年,則以天數設定的值約為 2,557,隨閏年而增減。
如果未指定, AWS Backup Vault Lock 不會強制執行最短保留期間。如已指定,則此保存庫中,生命週期保留期間不到最短保留期間的備份和複製任務將會失敗。在 AWS Backup 保存庫鎖定之前,已儲存在保存庫中的復原點不會受到影響。您可以指定的最短保留期間為 1 天。
檢閱其 AWS Backup 保存庫鎖定組態的備份保存庫
您可以隨時透過呼叫 AWS Backup DescribeBackupVault或 ListBackupVaults APIs 來檢閱保存庫的保存庫鎖定詳細資訊。
請呼叫 DescribeBackupVault 並檢查 Locked 屬性,確定是否已將保存庫鎖定套用至備份文件庫。如果為 "Locked": true,如下列範例所示,您已將保存 AWS Backup 庫鎖定套用至備份保存庫。
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 1,
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30,
"LockDate": "2021-09-30T10:12:38.089000-07:00"
}上述輸出會確認下列選項:
-
Locked是一種布林值,指出您是否已將保存 AWS Backup 庫鎖定套用至此備份保存庫。True表示 AWS Backup 保存庫鎖定會導致保存庫中存放的復原點的刪除或更新操作失敗 (無論您是否仍在冷靜寬限期)。 -
LockDate是冷靜寬限期結束的 UTC 日期與時間。在此時間之後,您即無法刪除或變更此保存庫的鎖定。使用任何可公開取得的時間轉換器將此字串轉換成您的當地時間。
如果是 "Locked":false,與以下範例一樣,即表示您尚未套用保存庫鎖定 (或已刪除之前的鎖定)。
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 3,
"Locked": false
}在寬限期內移除保存庫鎖定 (合規模式)
若要使用 AWS Backup 主控台在寬限期 (鎖定保存庫後但在您 之前的時間LockDate) 刪除保存庫鎖定,
登入 AWS Management Console,然後開啟 AWS Backup 主控台,網址為 https://https://console.aws.amazon.com/backup
。 在左側導覽的 我的帳戶 下,按一下 備份文件庫,再按一下 備份 Vault Lock。
按一下您想要移除的保存庫鎖定,再按一下 管理保存庫鎖定。
按一下 刪除保存庫鎖定。
隨即會出現一個警告方塊,要求您確認是否刪除該保存庫鎖定。在文字方塊中輸入
confirm,然後按一下 確認。
順利完成所有步驟後,主控台畫面頂端就會顯示「成功」橫幅。
若要使用 CLI 命令在寬限期內刪除保存庫鎖定,請使用 DeleteBackupVaultLockConfiguration,如以下 CLI 範例所示:
aws backup delete-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock
AWS 帳戶 使用鎖定的保存庫關閉
當您關閉包含備份文件庫 AWS 帳戶 的 時, AWS 並 AWS Backup 暫停您的帳戶 90 天,且備份保持不變。如果您在這 90 天內未重新開啟帳戶, AWS Backup 會 AWS 刪除備份文件庫的內容,即使已設定保存庫鎖定。
其他安全考慮事項
AWS Backup Vault Lock 為您的資料保護防禦新增多一層安全性。保存庫鎖定可與下列其他安全功能合併:
-
AWS Backup 保存庫和復原點存取政策,可讓您授予或拒絕保存庫層級的許可,
-
AWS Backup 安全最佳實務,包括其客戶受管政策的程式庫,可讓您授予或拒絕 AWS 受支援服務的備份和還原許可,以及
-
AWS Backup Audit Manager,可讓您根據定義的控制項清單,自動執行備份的合規檢查。
您可以使用 AWS Backup Audit Manager 透過 使用 AWS Backup API 建立架構 來控制 資源位於具有保存 AWS Backup 庫鎖定的備份計畫中,以協助確保預期資源受到保存庫鎖定的保護。
-
使資源處於非作用中狀態的機制可能會影響還原資源的能力。雖然仍然無法在鎖定的保存庫中刪除它們,但它們可以處於作用中以外的狀態。例如,可讓您停用 AMI 的 Amazon Elastic Compute Cloud 設定可能會暫時封鎖還原 EC2 執行個體備份的功能。這會影響所有 EC2 復原點,甚至是受保存庫鎖定或法務保存影響的備份。
如果 EC2 備份已停用,您可以重新啟用已停用的 AMI。重新啟用後,即可還原。若要封鎖 AMI 停用功能,您可以使用 IAM 政策來不允許
ec2:DisableImage。
注意
AWS Backup 保存庫鎖定功能與 Amazon S3 Glacier 保存庫鎖定不同,僅與 S3 Glacier 相容。
