コントロールと修正 - AWS Backup
バックアップリソースが少なくとも 1 つのバックアッププランに含まれますBackup プランの最小頻度と最小保存期間復旧ポイントの手動削除をボールトによって防止します復旧ポイントが暗号化されています復旧ポイントに設定された最小保持期間クロスリージョンバックアップコピーが予定されていますクロスアカウントバックアップコピーがスケジュールされていますバックアップが AWS Backup ボールトロックによって保護されています最後の復旧ポイントが作成されましたリソースが目標に達するまでの復元時間論理エアギャップボールト内にあるリソース

コントロールと修正

このページには、AWS BackupAudit Managerのためのコントロールの一覧が表示されます。右側の情報ペインを選択すると、コントロールのリストが表示され、特定のコントロールにジャンプできます。コントロールをすばやく比較するには、コントロールを選択するの表を参照してください。プログラムでコントロールを定義するには、AWS BackupAPIを使用して、フレームワークを作成する中にあるコードスニペックを参照してください。

リージョンごとにアカウントごとに最大 50 個のコントロールを使用できます。2 つの異なるフレームワークで同じコントロールを使用すると、50 制御限界の 2 つのコントロールを使用する場合とカウントされます。

このページには、次の情報を含む各コントロールの一覧が表示されます。

  • 説明。角カッコ (「[]」) 内の値は、デフォルトのパラメータ値です。

  • コントロールが評価するリソース

  • コントロールのパラメータ

  • コントロールの実行が発生する状況。

  • 次のような、コントロールのスコープ

    • 1 つ、または複数の項目AWS Backup-でサポートされるサービスを選択して、タイプ別のリソースを指定できます。

    • タグ付きリソーススコープは、1 つのタグキーとオプションの値を持つと指定してください。

    • [単一リソース] ドロップダウンリストを使用して、単一リソースを指定できます。

  • 該当するリソースをコンプライアンスに組み込むための修復手順。

コントロールがリソースのコンプライアンスを評価するときには、アクティブなリソースのみが含まれることに注意してください。例えば、実行中状態の Amazon EC2 インスタンスは、[最後の復旧ポイントが作成されました] というコントロールによって評価されます。停止状態の EC2 インスタンスはコンプライアンス評価には含まれません。

バックアップリソースが少なくとも 1 つのバックアッププランに含まれます

説明: リソースが少なくとも 1 つのバックアッププランに含まれているかどうかを評価します。

リソース: AWS Backup: backup selection

パラメータ : なし

発生: 24 時間ごとに自動的

スコープ:

  • タグ付きリソース

  • タイプ別のリソースタイプ (デフォルト)

  • 単一リソース

修復: バックアッププランにリソースを割り当てます。AWS Backupバックアッププランに割り当てた後で、自動的にリソースを保護します。詳細については、 デベロッパーガイドのバックアッププランへのリソースの割り当てを参照してください。

Backup プランの最小頻度と最小保存期間

記述:バックアッププランにバックアップ頻度が [1日] 以上で、保存期間が少なくとも [35 日] であるバックアップルールが少なくとも1つ含まれているかどうかを評価します。

リソース: AWS Backup: backup plans

[パラメータ:]

  • 必要なバックアップの頻度(時間または日数)。

  • 必要な保持期間は日、週、月、または年の数です。可能な場合に AWS Backup で増分バックアップを作成して追加料金を回避するには、ウォームストレージでの保持期間を 1 週間以上とすることをお勧めします。

発生: 設定の変更

スコープ:

  • タグ付きリソース

  • 単一リソース

修復:バックアッププランの更新をクリックして、バックアップの頻度、保存期間、またはその両方を変更します。バックアッププランを更新すると、更新後にプランが作成するリカバリポイントの保持期間が変更されます。

復旧ポイントの手動削除をボールトによって防止します

記述: 特定の IAM ロールを除き、バックアップボールトで復旧ポイントを手動で削除できないかどうかを評価します。

リソース: AWS Backup: backup vaults

パラメータ: 最大 5 つの IAM ロールの Amazon リソースネーム (ARN) で、リカバリポイントを手動で削除できます。

発生: 設定の変更

スコープ:

  • タグ付きリソース

  • 単一リソース

修復:バックアップボールトのリソースベースのアクセスポリシーを作成もしくは修正します。ポリシーの例と、バックアップボールトアクセスポリシーを設定する手順については、「バックアップボールトの復旧ポイントを削除するアクセスを拒否する」を参照してください。

復旧ポイントが暗号化されています

記述: リカバリポイントが暗号化されているかどうかを評価します。

リソース: AWS Backup: recovery points

パラメータ : なし

発生: 設定の変更

スコープ:

  • タグ付きリソース

修復: リカバリポイントの暗号化を構成します。リカバリーポイントのために、暗号化を設定する方法はリソースタイプによって異なります。

AWS Backup を使ってフル AWS Backup 管理をサポートするリソースタイプの暗号化を設定できます。リソースタイプがフル AWS Backup 管理をサポートしていない場合、Amazon Elastic Compute Cloud ユーザーガイドの「Amazon EBS 暗号化」のようなサービスの指示に従ってバックアップ暗号化を設定する必要があります。フル AWS Backup 管理をサポートするリソースタイプのリストを表示するには、リソース別の機能の可用性 テーブルの「フル AWS Backup 管理」セクションを参照してください。

復旧ポイントに設定された最小保持期間

記述: リカバリポイントの保存期間が少なくとも [35 日] であるかどうかを評価します。

リソース: AWS Backup: recovery points

パラメータ: 必要なリカバリポイントの保持期間は、日、週、月、または年数で表されます。可能な場合に AWS Backup で増分バックアップを作成して追加料金を回避するには、ウォームストレージでの保持期間を 1 週間以上とすることをお勧めします。

発生: 設定の変更

スコープ:

  • タグ付きリソース

修復: リカバリポイントの保持期間を変更します。詳細については、「Editing a backup」を参照してください。

クロスリージョンバックアップコピーが予定されています

説明: リソースが別の AWS リージョンへのバックアップコピーを作成するように設定されているかどうかを評価します。

リソース: AWS Backup: backup selection

[パラメータ:]

  • バックアップコピーを保存する AWS リージョン を選択する (オプション)

  • リージョン

発生: 24 時間ごとに自動的

スコープ:

  • タグ付きリソース

  • タイプ別のリソース

  • 単一リソース

修正: バックアッププランを更新して、バックアップコピーを保存する AWS リージョン を変更します。

クロスアカウントバックアップコピーがスケジュールされています

説明: リソースが別のアカウントにバックアップのコピーを作成するように設定されているかどうかを評価します。コントロールが評価するアカウントは 5 つまで追加できます。コピー先アカウントは、AWS Organizations のソースアカウントと同じ組織にある必要があります。

リソース: AWS Backup: backup selection

[パラメータ:]

  • バックアップコピーを保存する AWS アカウント ID を選択する (オプション)

  • アカウント ID

発生: 24 時間ごとに自動的

スコープ:

  • タグ付きリソース

  • タイプ別のリソース

  • 単一リソース

修正: バックアッププランを更新して、コピーを保存する AWS アカウント ID を変更または追加します。

バックアップが AWS Backup ボールトロックによって保護されています

説明: ロックされたバックアップボールトに保存されているイミュータブルバックアップがリソースにあるかどうかを評価します。

リソース: AWS Backup: backup selection

[パラメータ:]

  • AWS Backup ボールトロックの最小保持日数と最大保持日数を入力する (オプション)

  • 最小保持日数

  • 最大保持日数

発生: 24 時間ごとに自動的

スコープ:

  • タグ付きリソース

  • タイプ別のリソース

  • 単一リソース

修正: バックアップホールドをロックして名前を設定したり、最小保持日数、最大保持日数、あるいはその両方を変更したりします。コンプライアンスモードでボールトロックに ChangeableForDays を含めることもできます。

最後の復旧ポイントが作成されました

説明: このコントロールは、指定された時間枠 (日単位または時間単位) 内に復旧ポイントが作成されたかどうかを評価します。

指定された時間枠内にリソースに復旧ポイントが作成されていれば、コントロールは準拠になります。指定された日数内または時間内に復旧ポイントが作成されなかった場合、コントロールは非準拠になります。

リソース: AWS Backup: recovery points

[パラメータ:]

  • 指定された時間枠を時間単位または日単位の整数で入力します。

  • hours の値の範囲は 1744 です。

  • days の値の範囲は 131 です。

発生: 24 時間ごとに自動的

スコープ:

  • タグ付きリソース

  • タイプ別のリソース

  • 単一リソース

修正:

  • バックアッププランを更新して、指定された復旧ポイント作成枠を変更します。

  • さらに、オンデマンドバックアップを作成できます。

リソースが目標に達するまでの復元時間

説明 : 保護対象リソースの復元が目標の復元時間内に完了したかどうかを評価します。

このコントロールは、特定のリソースの復元時間が目標を満たしているかどうかをチェックします。リソースタイプの LatestRestoreExecutionTimeMinutesmaxRestoreTime (分) より大きい場合、ルールは NON_COMPLIANT です。

[パラメータ:]

  • maxRestoreTime (分)

発生: 24 時間ごとに自動的

スコープ:

  • タグ付きリソース

  • タイプ別のリソース

  • 単一リソース

注記

AWS Backup では、復元時間に関するサービスレベルアグリーメント (SLA) は提供していません。復元にかかる時間は、同じリソースを含む復元であっても、システムの負荷と容量によって異なる場合があります。

論理エアギャップボールト内にあるリソース

説明: このコントロールは、リソースに、指定された値と時間枠内に論理エアギャップボールトにコピーされた復旧ポイントが少なくとも 1 つあるかどうかを評価します。このコントロールは、コントロール用に設定された期間内に復旧ポイントが論理エアギャップボールトにコピーされていない場合、NON_COMPLIANT になります。

リソース: AWS Backup: recovery points

[パラメータ:]

  • recoveryPointAgeValue

  • recoveryPointAgeUnit

期間を入力します。days または hours で単位を指定します。その単位の値を指定します。時間の値は、242184 の範囲で指定できます。日数の値は、191 の範囲で指定できます。

最小値として 7 日または 168 時間が推奨されます。コントロール値は、バックアッププランのコピー作成頻度より頻度を低くする必要があります。そうしないと、次のバックアップが論理エアギャップボールトにコピーされ、このコントロールが実行されるまでに、予期しない NON_COMPLIANT ステータスが表示される可能性があります。

発生: 24 時間ごとに自動的

スコープ:

  • タイプ別のリソース

  • 単一リソース