AWS Backup Verrou de coffre-fort - AWS Backup
Modes de verrouillage du coffre-fortAvantages de Vault LockVerrouillage d'un coffre-fort de sauvegarde à l'aide de la consoleVerrouillage d'un coffre-fort de sauvegarde par programmationVérifiez la configuration Vault Lock d'un AWS Backup coffre-fort de sauvegardeSuppression du verrouillage de coffre-fort pendant le délai de grâce (mode Conformité)Compte AWS fermeture avec coffre verrouilléConsidérations supplémentaires en matière de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Backup Verrou de coffre-fort

Note

AWS Backup Vault Lock a été évalué par Cohasset Associates pour une utilisation dans des environnements soumis aux normes SEC 17a-4 et aux réglementationsCFTC. FINRA Pour plus d'informations sur le lien entre AWS Backup Vault Lock et ces réglementations, consultez l'évaluation de conformité de Cohasset Associates.

AWS Backup Vault Lock est une fonctionnalité optionnelle d'un coffre-fort de sauvegarde, qui peut être utile pour renforcer la sécurité et le contrôle de vos coffres-forts de sauvegarde. Lorsqu'un verrou est actif en mode Conformité et que le délai de grâce est expiré, la configuration du coffre-fort ne peut pas être modifiée ou supprimée par un client, le propriétaire du compte/des données, ou AWS tant qu'elle contient des points de récupération. Chaque coffre-fort peut avoir un verrouillage de coffre-fort en place.

AWS Backup garantit que vos sauvegardes sont disponibles pour vous jusqu'à l'expiration de leur période de conservation. Si un utilisateur (y compris l'utilisateur root) tente de supprimer une sauvegarde ou de modifier les propriétés du cycle de vie dans un coffre verrouillé, AWS Backup il refusera l'opération.

  • Les coffres-forts verrouillés en mode gouvernance peuvent être verrouillés par les utilisateurs disposant d'IAMautorisations suffisantes.

  • Les coffres-forts verrouillés en mode conformité ne peuvent pas être supprimés une fois le délai de refroidissement (« délai de grâce ») expiré si des points de récupération se trouvent dans le coffre. Pendant le délai de grâce, vous pouvez toujours retirer le verrouillage de coffre-fort et modifier la configuration du verrouillage.

Modes de verrouillage du coffre-fort

Lorsque vous créez un verrouillage de coffre-fort, vous avez le choix entre deux modes : le mode Gouvernance ou le mode Conformité. Le mode de gouvernance est destiné à permettre à un coffre-fort d'être géré uniquement par des utilisateurs disposant de IAM privilèges suffisants. Le mode Gouvernance aide une organisation à répondre aux exigences de gouvernance, en garantissant que seul le personnel désigné peut apporter des modifications à un coffre-fort de sauvegarde. Le mode Conformité est destiné aux coffres-forts de sauvegarde dans lesquels le coffre-fort (et par extension, son contenu) ne devrait jamais être supprimé ou modifié avant la fin de la période de conservation des données. Une fois qu'un coffre-fort en mode conformité est verrouillé, il est immuable, ce qui signifie que le verrou ne peut pas être retiré (le coffre-fort lui-même peut être supprimé s'il est vide et ne contient aucun point de récupération).

Un coffre-fort verrouillé en mode Gouvernance peut être géré ou supprimé par les utilisateurs disposant des IAM autorisations appropriées.

Un verrouillage de coffre-fort en mode Conformité ne peut être modifié ou supprimé par un utilisateur ou par AWS. Un verrou de coffre-fort en mode conformité dispose d'un délai de grâce que vous définissez avant qu'il ne soit verrouillé et que le contenu et le verrouillage du coffre-fort ne deviennent immuables.

Avantages de Vault Lock

AWS Backup Vault Lock offre plusieurs avantages, notamment :

  • WORMconfiguration (écriture unique, lecture multiple) pour toutes les sauvegardes que vous stockez et créez dans un coffre-fort de sauvegarde.

  • Une couche de défense supplémentaire qui protège les sauvegardes (points de récupération) de vos coffres-forts de sauvegarde contre les suppressions involontaires ou malveillantes.

  • Application de périodes de conservation, qui empêchent les suppressions anticipées par les utilisateurs privilégiés (y compris l'utilisateur Compte AWS root) et respectent les politiques et procédures de protection des données de votre organisation.

Verrouillage d'un coffre-fort de sauvegarde à l'aide de la console

Vous pouvez ajouter un verrou de coffre-fort à votre AWS Backup coffre-fort à l'aide de la console Backup.

Pour ajouter un verrouillage à votre coffre-fort de sauvegarde :

  1. Connectez-vous à et ouvrez AWS Management Console la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Dans le panneau de navigation, choisissez Coffres-forts de sauvegarde. Cliquez sur le lien imbriqué sous les coffres-forts de sauvegarde appelés Verrouillages de coffre.

  3. Sous Fonctionnement des verrouillages de coffre ou Verrouillages de coffre, cliquez sur + Créer un verrouillage de coffre.

  4. Dans le volet Détails de verrouillage du coffre, choisissez le coffre-fort auquel vous souhaitez appliquer votre verrouillage.

  5. Dans Mode de verrouillage de coffre, choisissez le mode dans lequel vous souhaitez que votre coffre-fort soit verrouillé. Pour plus d'informations sur le choix de vos modes, consultez Modes de verrouillage du coffre-fort plus haut sur cette page.

  6. Pour la Période de rétention, choisissez les périodes de rétention minimale et maximale (les périodes de rétention sont facultatives). Les nouvelles tâches de sauvegarde et de copie créées dans le coffre-fort échoueront si elles ne sont pas conformes aux périodes de rétention que vous avez définies ; ces périodes ne s'appliqueront pas aux points de récupération déjà présents dans le coffre-fort.

  7. Si vous avez choisi le mode Conformité, une section intitulée Date de début du verrouillage du coffre s'affiche. Si vous avez choisi le mode Gouvernance, rien ne s'affichera et cette étape peut être ignorée.

    En mode Conformité, un verrouillage de coffre-fort dispose d'une période de réflexion entre sa création et le moment où le coffre-fort et son verrouillage deviennent immuables et inchangeables. Vous choisissez la durée de cette période (appelée délai de grâce), mais elle doit être d'au moins 3 jours (72 heures).

    Important

    Une fois le délai de grâce expiré, le coffre-fort et son verrouillage sont immuables. Il ne peut être modifié ou supprimé par un utilisateur ou par AWS.

  8. Lorsque vous êtes satisfait des choix de configuration, cliquez sur Création d'un verrouillage de coffre-fort.

  9. Pour confirmer que vous souhaitez créer ce verrouillage dans le mode choisi, tapez confirm dans la zone de texte, puis cochez la case confirmant que la configuration est conforme à vos attentes.

Si les étapes ont été effectuées, une bannière « Succès » apparaîtra en haut de la console.

Verrouillage d'un coffre-fort de sauvegarde par programmation

Pour configurer AWS Backup Vault Lock, utilisez le APIPutBackupVaultLockConfiguration. Les paramètres à inclure dépendent du mode de verrouillage du coffre-fort que vous souhaitez utiliser. Si vous souhaitez créer un verrouillage de coffre-fort en mode gouvernance, n'incluez pas ChangeableForDays. Si ce paramètre est inclus, le verrouillage du coffre-fort sera créé en mode conformité.

Voici un CLI exemple de création d'un verrou de coffre-fort en mode conformité :

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Voici un CLI exemple de création d'un verrou de coffre-fort en mode gouvernance :

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

Vous pouvez configurer quatre options.

  1. BackupVaultName

    Nom du coffre-fort à verrouiller.

  2. ChangeableForDays (à inclure uniquement pour le mode conformité)

    Ce paramètre indique de AWS Backup créer le verrou du coffre-fort en mode de conformité. Omettez ce paramètre si vous avez l'intention de créer le verrouillage en mode gouvernance.

    Cette valeur est exprimée en jours. Le nombre doit être entre 3 et 36 500 ; dans le cas contraire, une erreur sera renvoyée.

    De la création de ce verrouillage de coffre-fort jusqu'à l'expiration de la date spécifiée, le verrouillage du coffre-fort peut être retiré du coffre-fort avec DeleteBackupVaultLockConfiguration. Pendant ce temps, vous pouvez également modifier la configuration avec PutBackupVaultLockConfiguration.

    À compter de la date spécifiée déterminée par ce paramètre, le coffre-fort de sauvegarde sera immuable et ne pourra être ni modifié ni supprimé.

  3. MaxRetentionDays (facultatif)

    Cette valeur numérique est exprimée en jours. La période de rétention maximale pendant laquelle le coffre-fort conserve ses points de récupération.

    La durée de rétention maximale que vous choisissez doit être conforme aux politiques de rétention des données de votre organisation. Si votre organisation demande que les données soient conservées pendant un certain temps, cette valeur peut être définie sur cette période (en jours). Par exemple, les données financières ou bancaires peuvent devoir être conservées pendant 7 ans (environ 2 557 jours, selon les années bissextiles).

    Si ce n'est pas spécifié, AWS Backup Vault Lock n'appliquera pas de période de conservation maximale. Si cela est spécifié, les tâches de sauvegarde et de copie vers ce coffre-fort dont les périodes de rétention du cycle de vie sont supérieures à la période de rétention maximale échoueront. Les points de récupération déjà enregistrés dans le coffre-fort avant la création de son verrouillage ne sont pas affectés. La période de rétention maximale la plus longue que vous puissiez spécifier est de 36 500 jours (environ 100 ans).

  4. MinRetentionDays(facultatif ; obligatoire pour CloudFormation)

    Cette valeur numérique est exprimée en jours. Il s'agit de la période de rétention minimale pendant laquelle le coffre-fort conserve ses points de récupération. Ce paramètre doit être défini en fonction de la durée requise par votre organisation pour conserver les données. Par exemple, si la réglementation ou la loi exigent que les données soient conservées pendant au moins sept ans, la valeur en jours serait d'environ 2 557, selon les années bissextiles.

    Si ce n'est pas spécifié, AWS Backup Vault Lock n'appliquera pas de période de conservation minimale. Si cela est spécifié, les tâches de sauvegarde et de copie vers ce coffre-fort dont les périodes de rétention du cycle de vie sont inférieures à la période de rétention minimale échoueront. Les points de récupération déjà enregistrés dans le coffre-fort avant le verrouillage du AWS Backup coffre-fort ne sont pas affectés. La période de rétention minimale la plus courte que vous puissiez spécifier est d'un jour.

Vérifiez la configuration Vault Lock d'un AWS Backup coffre-fort de sauvegarde

Vous pouvez consulter les détails de AWS Backup Vault Lock sur un coffre-fort à tout moment en appelant DescribeBackupVault ou ListBackupVaultsAPIs.

Pour déterminer si vous avez appliqué un verrouillage de coffre-fort à un coffre-fort de sauvegarde, appelez DescribeBackupVault et vérifiez la propriété Locked. Si"Locked": true, comme dans l'exemple suivant, vous avez appliqué AWS Backup Vault Lock à votre coffre-fort de sauvegarde.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

La sortie précédente confirme les options suivantes :

  1. Lockedest un booléen qui indique si vous avez appliqué AWS Backup Vault Lock à ce coffre-fort de sauvegarde. Truesignifie que AWS Backup Vault Lock entraîne l'échec des opérations de suppression ou de mise à jour des points de restauration stockés dans le coffre-fort (que vous soyez toujours dans le délai de grâce de refroidissement ou non).

  2. LockDateest la UTC date et l'heure auxquelles votre délai de grâce de rétractation prend fin. Passé ce délai, vous ne pouvez plus ni supprimer ni modifier le verrouillage de ce coffre-fort. Utilisez n'importe quel convertisseur horaire accessible au public pour convertir cette chaîne en heure locale.

Si "Locked":false, comme dans l'exemple suivant, vous n'avez pas appliqué de verrouillage de coffre-fort (ou un verrouillage précédent a été supprimé).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Suppression du verrouillage de coffre-fort pendant le délai de grâce (mode Conformité)

Pour supprimer le verrouillage de votre coffre-fort pendant le délai de grâce (le temps qui suit le verrouillage du coffre-fort mais avant votreLockDate) à l'aide de la AWS Backup console,

  1. Connectez-vous à et ouvrez AWS Management Console la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Dans le menu de navigation de gauche, sous Mon compte, cliquez sur Coffres de sauvegarde, puis sur Backup Vault Lock.

  3. Cliquez sur le verrouillage de coffre-fort que vous souhaitez supprimer, puis sur Gérer le verrouillage de coffre.

  4. Cliquez sur Supprimer le verrouillage du coffre.

  5. Une boîte d'avertissement apparaît, vous demandant de confirmer votre intention de supprimer le verrouillage de coffre-fort. Tapez confirm dans la zone de texte, puis cliquez sur Confirmer.

Si toutes les étapes ont été effectuées, une bannière « Succès » apparaîtra en haut de l'écran de la console.

Pour supprimer le verrou de votre coffre-fort pendant le délai de grâce à l'aide d'une CLI commande, DeleteBackupVaultLockConfiguration utilisez l'CLIexemple suivant :

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Compte AWS fermeture avec coffre verrouillé

Lorsque vous fermez un site Compte AWS contenant un coffre-fort de sauvegarde AWS et que vous AWS Backup suspendez votre compte pendant 90 jours avec vos sauvegardes intactes. Si vous ne rouvrez pas votre compte pendant ces 90 jours, le contenu de votre coffre-fort de sauvegarde est AWS supprimé, même si AWS Backup Vault Lock était en place.

Considérations supplémentaires en matière de sécurité

AWS Backup Vault Lock ajoute une couche de sécurité supplémentaire à votre défense approfondie de la protection des données. Le verrouillage du coffre-fort peut être combiné avec les autres fonctionnalités de sécurité suivantes :

Note

AWS Backup Vault Lock n'est pas la même fonctionnalité qu'Amazon S3 Glacier Vault Lock, qui est compatible uniquement avec S3 Glacier.