AWS Backup Vault Lock - AWS Backup

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Backup Vault Lock

Anmerkung

AWS Backup Vault Lock wurde von Cohasset Associates für den Einsatz in Umgebungen bewertet, die den Vorschriften SEC 17a-4,, und CFTC unterliegen. FINRA Weitere Informationen darüber, wie AWS Backup Vault Lock mit diesen Vorschriften zusammenhängt, finden Sie in der Compliance-Bewertung von Cohasset Associates.

AWS Backup Vault Lock ist eine optionale Funktion eines Backup-Tresors, die Ihnen zusätzliche Sicherheit und Kontrolle über Ihre Backup-Tresore bieten kann. Wenn eine Sperre im Compliance-Modus aktiv ist und die Übergangszeit abgelaufen ist, kann die Tresorkonfiguration nicht von einem Kunden, Konto-/Dateneigentümer geändert oder gelöscht werden, AWS solange sie Wiederherstellungspunkte enthält. Jeder Tresor kann eine Tresorsperre haben.

AWS Backup stellt sicher, dass Ihre Backups für Sie verfügbar sind, bis ihre Aufbewahrungsfristen abgelaufen sind. Wenn ein Benutzer (einschließlich des Root-Benutzers) versucht, ein Backup zu löschen oder die Lebenszykluseigenschaften in einem gesperrten Tresor zu ändern, AWS Backup wird der Vorgang verweigert.

  • Bei im Governance-Modus gesperrten Tresoren kann die Sperre von Benutzern mit ausreichenden IAM Berechtigungen entfernt werden.

  • Im Compliance-Modus gesperrte Tresore können nach Ablauf der Bedenkzeit (“ Grace Time „) nicht gelöscht werden, sofern sich irgendwelche Wiederherstellungspunkte im Tresor befinden. Während der Kulanzzeit können Sie die Tresorsperre weiterhin aufheben und die Sperrkonfiguration ändern.

Modi der Tresorsperre

Wenn Sie eine Tresorsperre erstellen, haben Sie die Wahl zwischen zwei Modi: dem Governance-Modus und dem Compliance-Modus. Im Governance-Modus kann ein Tresor nur von Benutzern verwaltet werden, die über ausreichende Rechte verfügen. IAM Der Governance-Modus unterstützt eine Organisation bei der Erfüllung von Governance-Anforderungen und stellt sicher, dass nur speziell bestimmtes Personal Änderungen an einem Backup-Tresor vornehmen kann. Der Compliance-Modus ist für Backup-Tresore vorgesehen, bei denen davon ausgegangen wird, dass der Tresor (und damit auch sein Inhalt) vor Ablauf des Datenaufbewahrungszeitraums niemals gelöscht oder verändert wird. Sobald ein Tresor im Compliance-Modus gesperrt ist, ist er unveränderlich, was bedeutet, dass die Sperre nicht aufgehoben werden kann (der Tresor selbst kann gelöscht werden, wenn er leer ist und keine Wiederherstellungspunkte enthält).

Ein im Governance-Modus gesperrter Tresor kann von Benutzern verwaltet oder gelöscht werden, die über die entsprechenden IAM Berechtigungen verfügen.

Eine Tresorsperre im Compliance-Modus kann weder von Benutzern noch von AWS geändert oder gelöscht werden. Für eine Tresorsperre im Compliance-Modus gibt es eine von Ihnen festgelegte Übergangszeit, bis sie gesperrt wird und Inhalt und Tresorsperre unveränderlich werden.

Vorteile der Tresorsperre

AWS Backup Vault Lock bietet mehrere Vorteile, darunter:

  • WORMKonfiguration (einmal schreiben, viele lesen) für alle Backups, die Sie in einem Backup-Tresor speichern und erstellen.

  • Eine zusätzliche Schutzebene, die Backups (Wiederherstellungspunkte) in Ihren Backup-Tresoren vor versehentlichem oder böswilligem Löschen schützt;

  • Durchsetzung von Aufbewahrungsfristen, die vorzeitige Löschungen durch privilegierte Benutzer (einschließlich AWS-Konto Root-Benutzer) verhindern und die Datenschutzrichtlinien und -verfahren Ihres Unternehmens einhalten.

Sperren eines Backup-Tresors über die Konsole

Sie können Ihrem Tresor mithilfe der Backup-Konsole eine AWS Backup Tresorsperre hinzufügen.

So fügen Sie Ihrem Backup-Tresor eine Tresorsperre hinzu

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Suchen Sie im Navigationsbereich die Option Backup-Tresore. Klicken Sie auf den Link unterhalb der Backup-Tresore mit dem Namen Tresorsperren.

  3. Klicken Sie unter So funktionieren Tresorverriegelungen oder Tresorsperren auf + Tresorsperre erstellen.

  4. Wählen Sie im Bereich Details zur Tresorsperre den Tresor aus, auf den die Sperre angewendet werden soll.

  5. Wählen Sie unter Modus der Tresorsperre aus, in welchem Modus Ihr Tresor gesperrt werden soll. Weitere Informationen zur Auswahl Ihrer Modi finden Sie unter Modi der Tresorsperre weiter oben auf dieser Seite.

  6. Wählen Sie für den Aufbewahrungszeitraum die Mindest- und Höchstdauer aus (Aufbewahrungszeiträume sind optional). Neue, im Tresor erstellte Backup- und Kopieraufträge schlagen fehl, wenn sie nicht den von Ihnen festgelegten Aufbewahrungszeiträumen entsprechen. Diese Zeiträume gelten nicht für Wiederherstellungspunkte, die sich bereits im Tresor befinden.

  7. Wenn Sie den Compliance-Modus gewählt haben, wird ein Abschnitt mit der Bezeichnung Startdatum der Tresorverriegelung angezeigt. Wenn Sie den Governance-Modus gewählt haben, wird dieser Abschnitt nicht angezeigt und dieser Schritt kann übersprungen werden.

    Im Compliance-Modus gilt für eine Tresorsperre ab dem Zeitpunkt der Erstellung der Tresorsperre eine Bedenkzeit, ehe der Tresor und seine Sperre unveränderlich werden. Sie selbst entscheiden über die Dauer dieses Zeitraums (die sogenannte Kulanzzeit), sie muss jedoch mindestens 3 Tage (72 Stunden) betragen.

    Wichtig

    Sobald die Kulanzzeit abgelaufen ist, sind der Tresor und seine Sperre unveränderbar. Er kann weder von einem Benutzer, noch von AWS geändert oder gelöscht werden.

  8. Wenn Sie mit den Konfigurationseinstellungen zufrieden sind, klicken Sie auf Tresorsperre erstellen.

  9. Um zu bestätigen, dass Sie diese Sperre im ausgewählten Modus erstellen möchten, geben Sie confirm in das Textfeld ein und aktivieren Sie dann das Kontrollkästchen, um zu bestätigen, dass die Konfiguration Ihren Anforderungen entspricht.

Wenn die Schritte erfolgreich abgeschlossen wurden, erscheint oben in der Konsole ein Erfolgsbanner.

Programmgesteuertes Sperren eines Backup-Tresors

Um AWS Backup Vault Lock zu konfigurieren, verwenden Sie den APIPutBackupVaultLockConfiguration. Die einzubeziehenden Parameter hängen davon ab, welchen Modus der Tresorsperre Sie zu verwenden beabsichtigen. Wenn Sie eine Tresorsperre im Governance-Modus einrichten möchten, schließen Sie ChangeableForDays nicht ein. Wenn dieser Parameter enthalten ist, wird die Tresorsperre im Compliance-Modus erstellt.

Hier ist ein CLI Beispiel für die Erstellung einer Tresorsperre im Compliance-Modus:

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --changeable-for-days 3 \ --min-retention-days 7 \ --max-retention-days 30

Hier ist ein CLI Beispiel für die Erstellung einer Tresorsperre im Governance-Modus:

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --min-retention-days 7 \ --max-retention-days 30

Sie können vier Optionen konfigurieren.

  1. BackupVaultName

    Der Name des zu sperrenden Tresors.

  2. ChangeableForDays (nur für den Compliance-Modus einzuschließen)

    Dieser Parameter weist an AWS Backup , dass die Tresorsperre im Compliance-Modus erstellt werden soll. Lassen Sie diesen Parameter weg, wenn Sie vorhaben, die Sperre im Governance-Modus zu erstellen.

    Dieser Wert wird in Tagen ausgedrückt. Er muss eine Zahl sein, die nicht kleiner als 3 und nicht größer als 36.500 ist. Andernfalls wird ein Fehler zurückgegeben.

    Von der Erstellung dieser Tresorsperre bis zum Ablauf des angegebenen Datums kann die Tresorsperre mithilfe von DeleteBackupVaultLockConfiguration aus dem Tresor entfernt werden. Alternativ können Sie während dieser Zeit die Konfiguration mithilfe von PutBackupVaultLockConfiguration ändern.

    An und nach dem von diesem Parameter festgelegten spezifischen Datum wird der Backup-Tresor unveränderlich und kann nicht geändert oder gelöscht werden.

  3. MaxRetentionDays (optional)

    Dies ist ein numerischer Wert, der in Tagen ausgedrückt wird. Dies ist die maximale Aufbewahrungsdauer, in der der Tresor seine Wiederherstellungspunkte beibehält.

    Der von Ihnen gewählte maximale Aufbewahrungszeitraum sollte mit den Richtlinien Ihrer Organisation für die Aufbewahrung von Daten in Einklang stehen. Wenn Ihre Organisation vorschreibt, dass Daten für einen bestimmten Zeitraum aufbewahrt werden müssen, kann dieser Wert auf diesen Zeitraum (in Tagen) festgelegt werden. Beispielsweise müssen Finanz- oder Bankdaten möglicherweise 7 Jahre lang aufbewahrt werden (ca. 2 557 Tage, abhängig von Schaltjahren).

    Wenn nicht angegeben, erzwingt AWS Backup Vault Lock keinen maximalen Aufbewahrungszeitraum. Falls angegeben, schlagen Backup- und Kopieraufträge in diesen Tresor mit Lebenszyklus-Aufbewahrungsfristen, die die maximale Aufbewahrungsdauer überschreiten, fehl. Wiederherstellungspunkte, die bereits vor der Erstellung der Tresorsperre im Tresor gespeichert wurden, sind nicht betroffen. Die längste maximale Aufbewahrungsdauer, die Sie angeben können, beträgt 36.500 Tage (ungefähr 100 Jahre).

  4. MinRetentionDays(optional; erforderlich für CloudFormation)

    Dies ist ein numerischer Wert, der in Tagen ausgedrückt wird. Dies ist der Mindestaufbewahrungszeitraum, in dem der Tresor seine Wiederherstellungspunkte beibehält. Diese Einstellung sollte auf die Zeitdauer festgelegt werden, die in Ihrer Organisation für die Datenverwaltung erforderlich ist. Wenn beispielsweise Vorschriften oder Gesetze vorschreiben, dass Daten mindestens sieben Jahre aufbewahrt werden müssen, würde der Wert in Tagen je nach Schaltjahren etwa 2 557 betragen.

    Falls nicht angegeben, erzwingt AWS Backup Vault Lock keine Mindestaufbewahrungsdauer. Falls angegeben, schlagen Backup- und Kopieraufträge in diesen Tresor mit Lebenszyklus-Aufbewahrungsfristen, die die Mindestaufbewahrungsdauer unterschreiten, fehl. Wiederherstellungspunkte, die bereits vor AWS Backup Vault Lock im Tresor gespeichert wurden, sind davon nicht betroffen. Die kürzeste Mindestaufbewahrungsdauer, die Sie angeben können, ist 1 Tag.

Überprüfen Sie einen Backup-Tresor auf seine AWS Backup Vault Lock-Konfiguration

Sie können die Details von AWS Backup Vault Lock in einem Tresor jederzeit telefonisch unter DescribeBackupVault oder überprüfen ListBackupVaultsAPIs.

Um festzustellen, ob Sie eine Tresorsperre auf einen Backup-Tresor angewendet haben, rufen Sie DescribeBackupVault auf und überprüfen Sie die Locked-Eigenschaft. Wenn Sie"Locked": true, wie im folgenden Beispiel, AWS Backup Vault Lock auf Ihren Backup-Tresor angewendet haben.

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }

Die vorherige Ausgabe bestätigt die folgenden Optionen:

  1. Lockedist ein boolescher Wert, der angibt, ob Sie AWS Backup Vault Lock auf diesen Backup-Tresor angewendet haben. Truebedeutet, dass AWS Backup Vault Lock dazu führt, dass Lösch- oder Aktualisierungsvorgänge an den im Tresor gespeicherten Wiederherstellungspunkten fehlschlagen (unabhängig davon, ob Sie sich noch in der Bedenkzeit befinden).

  2. LockDateist das UTC Datum und die Uhrzeit, an dem Ihre Bedenkzeit abläuft. Nach Ablauf dieser Zeit können Sie die Sperre für diesen Tresor nicht mehr löschen oder ändern. Verwenden Sie öffentlich verfügbare Zeitkonverter, um diese Zeichenfolge in Ihre Ortszeit zu konvertieren.

Im Fall von "Locked":false, wie im folgenden Beispiel, haben Sie keine Tresorsperre angewendet (oder eine vorherige wurde gelöscht).

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }

Aufheben der Tresorsperre während der Kulanzzeit (Compliance-Modus)

Um Ihre Tresorsperre während der Kulanzzeit (die Zeit nach dem Sperren des Tresors, aber vor IhremLockDate) mithilfe der AWS Backup Konsole zu löschen,

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Klicken Sie in der linken Navigationsleiste unter Mein Konto auf „Backup-Tresore“ und dann auf „Backup-Tresorsperre“.

  3. Klicken Sie auf Vault Lock, die Sie entfernen möchten, und dann auf Tresorsperre verwalten.

  4. Klicken Sie auf Tresorsperre löschen.

  5. Es erscheint ein Warnfeld, in dem Sie aufgefordert werden, Ihre Absicht, die Tresorsperre zu löschen, zu bestätigen. Geben Sie confirm in das Textfeld ein und klicken Sie dann auf Bestätigen.

Nachdem die Schritte erfolgreich abgeschlossen wurden, erscheint oben im Konsolenbildschirm ein Erfolgsbanner.

Um Ihre Tresorsperre während der Übergangszeit mithilfe eines CLI Befehls zu löschen, gehen Sie DeleteBackupVaultLockConfiguration wie folgt vorCLI:

aws backup delete-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock

AWS-Konto Schließung mit einem verschlossenen Tresor

Wenn Sie einen schließen AWS-Konto , der einen Backup-Tresor enthält, AWS und Ihr Konto für 90 Tage AWS Backup sperren, während Ihre Backups intakt sind. Wenn Sie Ihr Konto während dieser 90 Tage nicht erneut öffnen, wird der Inhalt Ihres Backup-Tresors AWS gelöscht, auch wenn AWS Backup Vault Lock aktiviert war.

Zusätzliche Sicherheitsüberlegungen

AWS Backup Vault Lock erweitert Ihren umfassenden Datenschutz um eine zusätzliche Sicherheitsebene. Vault Lock kann mit diesen weiteren Sicherheitsfunktionen kombiniert werden:

Anmerkung

AWS Backup Vault Lock ist nicht dieselbe Funktion wie Amazon S3 Glacier Vault Lock, das nur mit S3 Glacier kompatibel ist.