AWS Backup のボールトロック
注記
AWS Backup ボールトロックは、SEC 17a-4、CFTC、および FINRA の各規制に従った環境での使用について、Cohasset Associates によって評価済みです。AWS Backup ボールトロックがこれらの規制にどのように関係しているかの詳細については、「Cohasset Associates コンプライアンス評価」を参照してください。
AWS Backup ボールトロックは、バックアップボールトのオプション機能で、バックアップボールトのセキュリティと管理を強化するのに役立ちます。コンプライアンスモードでロックが有効になっていて、猶予期間が終了すると、復旧ポイントが含まれている限り、顧客、アカウント/データ所有者、または AWS によるボールト設定の変更または削除ができなくなります。各ボールトには 1 つのボールトロックを設定できます。
AWS Backup では、保持期間が満了するまでバックアップを利用できるようにします。ユーザー (ルートユーザーを含む) が、ロックされたボールト内のバックアップの削除や、ライフサイクルプロパティの変更を試みると、AWS Backup では、その操作が拒否されます。
ガバナンスモードでロックされたボールトは、十分な IAM アクセス許可を持つユーザーがロックを解除できます。
コンプライアンスモードでロックされたボールトは、復旧ポイントがボールトに入っている場合、クーリングオフ期間 (「猶予期間」) が過ぎると削除できなくなります。猶予期間中でも、ボールトロックを解除したり、ロック設定を変更したりできます。
ボールトロックモード
ボールトロックを作成する場合、ガバナンスモードとコンプライアンスモードの 2 つのモードを選択できます。ガバナンスモードは、十分な IAM アクセス許可を持つユーザーだけがボールトを管理できるようにするためのものです。ガバナンスモードは、指定された担当者のみがバックアップボールトを変更できるようにすることで、組織がガバナンス要件を満たすのに役立ちます。コンプライアンスモードは、データ保持期間が終了するまでボールト (ひいてはその内容) が削除または変更されないことが見込まれるバックアップボールトを対象としています。コンプライアンスモードのボールトがロックされると、イミュータブルになります。つまり、ロックを削除できなくなります (ボールト自体が空で、復旧ポイントが含まれていない場合は削除できます)。
ガバナンスモードでロックされたボールトは、適切な IAM アクセス許可を持つユーザーが管理または削除できます。
コンプライアンスモードのボールトロックは、どのユーザーも、また、AWS でも変更、削除ができません。コンプライアンスモードのボールトロックには、ロックされてコンテンツとボールトロックがイミュータブルになるまでの猶予期間が設定されています。
ボールトロックのメリット
AWS Backup ボールトロックには以下のようないくつかのメリットがあります。
バックアップボールトに保存および作成するすべてのバックアップの WORM (write-once, read-many) 構成。
バックアップボールトのバックアップ (復旧ポイント) を不注意または悪意のある削除から保護する追加の保護レイヤー。
保持期間の執行。これにより、特権ユーザー (AWS アカウント ルートユーザーを含む) による早期削除の防止し、組織のデータ保護ポリシーと手順を満たします。
コンソールを使用してバックアップボールトをロックする
バックアップコンソールを使用して、AWS Backup ボールトにボールトロックを追加できます。
バックアップボールトにボールトロックを追加するには:
AWS Management Console にサインインして、AWS Backup コンソール (https://console.aws.amazon.com/backup
) を開きます。 ナビゲーションペインで、[バックアップボールト] を見つけます。バックアップボールトの下にネストされた、[ボールトロック] というリンクをクリックします。
[ボールトロックの仕組み] または [ボールトロック] で、[+ ボールトロックを作成] をクリックします。
[ボールトロックの詳細] ペインで、ロックを適用するボールトを選択します。
[ボールトロックモード] で、ボールトをロックするモードを選択します。モードの選択について詳しくは、このページで前述した「ボールトロックモード」を参照してください。
[保持期間] については、最小保持期間と最大保持期間を選択します (保持期間は任意です)。ボールトで作成された新しいバックアップジョブとコピージョブは、設定した保持期間に従わないと失敗します。これらの期間は、既にボールト内にある復旧ポイントには適用されません。
コンプライアンスモードを選択した場合、「ボールトロック開始日」というセクションが表示されます。ガバナンスモードを選択した場合、これは表示されないため、このステップはスキップできます。
コンプライアンスモードでは、クーリングオフ期間 (ボールトロックの作成からボールトとそのロックがイミュータブルで変更不能になるまでの間) があります。この期間 (「猶予時間」といいます) は自分で選択できますが、少なくとも 3 日間 (72 時間) は必要です。
重要
猶予期間が過ぎると、ボールトとそのロックはイミュータブルになります。どのユーザーも、AWS によっても変更も削除もできません。
設定内容に問題がなければ、[ボールトロックを作成] をクリックします。
選択したモードでこのロックを作成することを確認するには、テキストボックスに「
confirm」と入力し、設定が意図したとおりであることを確認するボックスにチェックを入れます。
手順が正常に完了すると、コンソールの上部に「成功」バナーが表示されます。
バックアップボールトのロック (プログラムによる)
AWS Backup ボールトロックを設定するには、API PutBackupVaultLockConfiguration を使用します。含めるパラメータは、使用するボールトロックモードによって異なります。ガバナンスモードでボールトロックを作成する場合は、ChangeableForDays を含めないでください。このパラメータを含めると、ボールトロックはコンプライアンスモードで作成されます。
コンプライアンスモードのボールトロック作成の CLI サンプルを次に示します。
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --changeable-for-days3\ --min-retention-days7\ --max-retention-days30
ガバナンスモードのボールトロック作成の CLI サンプルを以下に示します。
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --min-retention-days7\ --max-retention-days30
次の 4 つのオプションを設定できます。
-
BackupVaultNameロックするボールトの名前。
-
ChangeableForDays(コンプライアンスモードの場合のみ含む)このパラメータは、コンプライアンスモードでボールトロックを作成するように AWS Backup に指示します。ガバナンスモードでロックを作成する場合は、このパラメータを省略します。
この値は日単位で表記されます。3 以上 36,500 以下の数値でなければなりません。そうでない場合、エラーが返されます。
このボールトロックの作成時から、指定した日付の有効期限が切れるまで、
DeleteBackupVaultLockConfigurationを使用してボールトロックをボールトから削除できます。または、この間、PutBackupVaultLockConfigurationを使用して設定を変更することもできます。このパラメータによって決定された指定日以降、バックアップボールトはイミュータブルになり、変更または削除できません。
-
MaxRetentionDays(オプション)これは日数で表される数値です。これは、ボールトが復旧ポイントを保持する最大保持期間です。
選択する最大保持期間は、組織のデータ保持ポリシーに沿ったものでなければなりません。データを一定期間保持するように組織から指示されている場合は、この値をその期間 (日数) に設定できます。例えば、財務データや銀行データを 7 年間 (うるう年によるものの、約 2,557 日) 保存する必要がある場合があります。
指定しない場合、AWS Backup のボールトロックでは最大保持期間が適用されません。指定すると、ライフサイクルの保持期間が最大保持期間よりも長いこのボールトへのバックアップジョブとコピージョブは失敗します。ボールトロックの作成の前に、すでにボールトで保存されている復旧ポイントは影響されません。指定できる最長の最大保持期間は 36500 日 (約 100 年) です。
-
MinRetentionDays(オプション、CloudFormation には必須)これは日数で表される数値です。これは、ボールトが復旧ポイントを保持する最小保持期間です。この設定は、組織がデータを管理するのに必要な期間に合わせて設定する必要があります。例えば、規制や法律でデータを少なくとも 7 年間保持することが義務付けられている場合、うるう年にもよりますが、日数は約 2,557 年になります。
指定しない場合、AWS Backup のボールトロックでは最小保持期間が適用されません。指定すると、ライフサイクルの保持期間が最小保持期間よりも短いこのボールトへのバックアップジョブとコピージョブは失敗します。AWS Backup のボールトロックの前に、すでにボールトで保存されている復旧ポイントは影響されません。指定できる最小保持期間は 1 日です。
AWS Backup のボールトロック設定のバックアップボールトを確認する
DescribeBackupVault または ListBackupVaults API を呼び出すことで、いつでもボールトの AWS Backup ボールトロックステータスを確認することができます。
ボールトロックを、バックアップボールトに適用したかを判断するには、DescribeBackupVault を呼び出し、Locked プロパティを確認します。"Locked": true の場合は次の例のように、バックアップボールトへ AWS Backup のボールトロックを適用します。
{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }
前の出力では、次のオプションが確認できます。
-
Lockedは、AWS Backup のボールトロックをこのバックアップボールトに適用したかどうかを示すブール値です。Trueは、AWS Backup のボールトロックでボールトに保存されている復旧ポイントに対し、削除または更新の操作が失敗することを意味しています (クーリングオフ猶予期間中かどうかに関係なく)。 -
LockDateは、クーリングオフ猶予期間が終了する UTC 日時です。この日時を過ぎると、このボールトでロックの削除や変更はできません。公開されているタイムコンバータを使用して、この文字列を現地時間に変換します。
"Locked":false の場合、次の例のようにボールトロックを適用していません (または以前のものが削除されていません)。
{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }
猶予期間中のボールトロック削除 (コンプライアンスモード)
猶予期間 (ボールトをロックしてから、LockDate までの期間) に AWS Backup コンソールを使用してボールトロックを削除するには、
AWS Management Console にサインインして、AWS Backup コンソール (https://console.aws.amazon.com/backup
) を開きます。 左側のナビゲーションの [マイアカウント] で、[バックアップボールト] をクリックし、[バックアップボールトロック] をクリックします。
削除するボールトロックをクリックし、[ボールトロックを管理] をクリックします。
[ボールトロックを削除] をクリックします。
ボールトロックを削除するかどうかを確認する警告ボックスが表示されます。テキストボックスに「
confirm」と入力し、[確認] をクリックします。
すべての手順が正常に完了すると、コンソール画面の上部に [成功] バナーが表示されます。
CLI コマンドを使用して猶予時間中にボールトロックを削除するには、次の CLI サンプルのように DeleteBackupVaultLockConfiguration を使用します。
aws backup delete-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock
ボールトがロックされた状態での AWS アカウント の閉鎖
バックアップボールトを含む AWS アカウント を閉じると、AWS および AWS Backup は、バックアップをそのまま維持してアカウントを 90 日間停止します。その 90 日間にアカウントを再開しないと、AWS は、AWS Backup ボールトロックが有効になっていたとしても、バックアップボールトの内容を削除します。
セキュリティに関するその他の考慮事項
AWS Backup のボールトロックは、データ保護の防御にセキュリティレイヤーを追加します。ボールトロックは、以下の他のセキュリティ機能と組み合わせることができます。
-
AWS Backup のボールトおよび復旧ポイントのアクセスポリシーで、ボールトレベルでのアクセス権限を付与または拒否することができます。
-
AWS Backup のサポートされているサービスによって、バックアップおよび復元のアクセス権限を付与または拒否できる [カスタマー管理ポリシー] のライブラリを含んだ [AWS セキュリティのベストプラクティス]、および
-
[AWS Backup Audit Manager] で、定義したコントロールのリストに対し、バックアップのコンプライアンスチェックを自動化することができます。
AWS Backup API を使用したフレームワークの作成を行い、AWS Backup Audit Manager で「バックアップが AWS Backup ボールトロックによって保護されています」のコントロールを使用すると、目的のリソースがボールトロックで保護されていることを確認できます。
-
リソースを非アクティブにするメカニズムは、その復元機能に影響を与える可能性があります。ロックされたボールトでそれらを削除することはまだできませんが、アクティブ以外の状態にすることはできます。例えば、AMI を無効にすることができる Amazon Elastic Compute Cloud 設定は、EC2 インスタンスのバックアップを復元する機能を一時的にブロックする可能性があります。これは、ボールトロックやリーガルホールドの影響を受けるバックアップであっても、すべての EC2 復旧ポイントに影響します。
EC2 バックアップが無効になっている場合は、無効になっている AMI を再度有効にできます。再度有効にすると、復元の対象となります。AMI 無効化機能をブロックするには、IAM ポリシーを使用して
ec2:DisableImageを許可しないようにできます。
注記
AWS Backup ボールトロックは、S3 Glacier とのみ互換性がある Amazon S3 Glacier ボールトロックと同じ機能ではありません。
