AWS Backup 저장소 잠금
참고
AWS Backup 저장소 잠금은 SEC 17a-4, CFTC 및 FINRA 규정의 적용을 받는 환경에서 Cohasset Associates에 의해 평가되었습니다. AWS Backup 저장소 잠금과 이러한 규정의 관계에 대한 자세한 내용은 Cohasset Associates 규정 준수 평가를 참조하세요.
AWS Backup 저장소 잠금은 백업 저장소의 선택적 기능으로, 백업 저장소에 대한 추가적인 보안 및 제어 기능을 제공하는 데 유용할 수 있습니다. 규정 준수 모드에서 잠금이 활성화되어 있고 유예 시간이 끝나는 경우, 저장소 구성은 복구 시점을 포함하는 한 고객, 계정/데이터 소유자 또는 AWS가 변경하거나 삭제할 수 없습니다. 각 저장소에는 저장소 잠금이 하나씩 준비된 상태일 수 있습니다.
AWS Backup은 보존 기간이 만료될 때까지 백업을 사용할 수 있도록 합니다. 모든 사용자(루트 사용자 포함)가 백업을 삭제하거나 잠긴 저장소의 수명 주기 속성을 변경하려고 하면 AWS Backup이 작업을 거부합니다.
거버넌스 모드에서 잠긴 저장소는 충분한 IAM 권한을 가진 사용자가 잠금을 제거할 수 있습니다.
규정 준수 모드에서 잠긴 저장소는 쿨링 오프 기간("유예 시간") 이 만료된 후에도 해당 저장소에 복구 시점이 있는 경우 삭제할 수 없습니다. 유예 시간 동안에도 저장소 잠금을 제거하고 잠금 구성을 변경할 수 있습니다.
저장소 잠금 모드
저장소 잠금을 생성할 경우, 거버넌스 모드 또는 규정 준수 모드라는 두 가지 모드 중에서 하나를 선택할 수 있습니다. 거버넌스 모드는 충분한 IAM 권한을 가진 사용자만 저장소를 관리할 수 있도록 하기 위한 모드입니다. 거버넌스 모드는 지정된 담당자만 백업 저장소를 변경할 수 있도록 보장하므로, 조직이 거버넌스 요구 사항을 충족하는 데 도움이 됩니다. 규정 준수 모드는 데이터 보존 기간이 완료될 때까지 저장소(및 더 나아가 저장소의 콘텐츠)가 삭제되거나 변경되지 않아야 하는 백업 저장소를 위한 모드입니다. 규정 준수 모드에서 저장소가 잠기면 변경이 불가능하며, 다시 말해 잠금을 제거할 수 없습니다(저장소 자체가 비어 있고 복구 시점이 없는 경우 삭제할 수 있음).
거버넌스 모드에서 잠긴 저장소는 적절한 IAM 권한이 있는 사용자가 관리하거나 삭제할 수 있습니다.
규정 준수 모드의 저장소 잠금은 다른 사용자 또는 AWS가 변경하거나 삭제할 수 없습니다. 규정 준수 모드의 저장소 잠금은 설정한 유예 기간이 지나면 잠기고, 콘텐츠와 저장소 잠금은 변경이 불가능해집니다.
저장소 잠금의 이점
AWS Backup 저장소 잠금은 다음과 같은 여러 가지 이점을 제공합니다.
백업 저장소에 저장하고 생성하는 모든 백업을 위한 WORM(write-once, read-many) 구성.
백업 저장소의 백업(복구 시점)이 실수로 또는 악의적으로 삭제되지 않도록 보호하는 추가적인 방어 계층입니다.
보존 기간 적용 - 이를 통해 권한이 있는 사용자(AWS 계정 루트 사용자 포함)가 조기 삭제하는 것을 방지하고, 조직의 데이터 보호 정책 및 절차를 충족합니다.
콘솔을 사용하여 백업 저장소 잠그기
백업 콘솔을 사용하여 AWS Backup 저장소에 저장소 잠금을 추가할 수 있습니다.
백업 저장소에 저장소 잠금을 추가하려면
AWS Management Console에 로그인하고 https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. 탐색 창에서 백업 저장소를 선택합니다. 백업 저장소 아래에 중첩된 저장소 잠금이라는 링크를 클릭합니다.
저장소 잠금 작동 방식 또는 저장소 잠금 아래에서 + 저장소 잠금 생성을 클릭합니다.
저장소 잠금 세부 정보 창에서 잠금을 적용할 저장소를 선택합니다.
저장소 잠금 모드에서 저장소를 잠글 모드를 선택합니다. 모드 선택에 대한 자세한 내용은 이 페이지 앞 부분의 저장소 잠금 모드를 참조하세요.
보존 기간의 경우 최소 및 최대 보존 기간을 선택합니다(보존 기간은 선택 사항). 저장소에 생성된 새로운 백업 및 복사 작업이 사용자가 설정한 보존 기간에 맞지 않으면 해당 작업은 실패합니다. 이러한 기간은 저장소에 이미 있는 복구 시점에는 적용되지 않습니다.
규정 준수 모드를 선택한 경우 저장소 잠금 시작 날짜라는 섹션이 표시됩니다. 거버넌스 모드를 선택한 경우 이 섹션은 표시되지 않으며 이 단계를 건너뛸 수 있습니다.
규정 준수 모드의 저장소 잠금에는 저장소 잠금이 생성된 시점부터 저장소 및 저장소의 잠금을 변경 불가능할 수 없게 될 때까지 쿨링 오프 기간이 있습니다. 이 기간(유예 시간이라고 함)을 선택하되, 최소 3일(72시간)이어야 합니다.
중요
유예 시간이 만료되면 저장소와 저장소의 잠금은 변경 불가능합니다. 다른 사용자나 AWS가 이를 변경하거나 삭제할 수 없습니다.
구성 선택에 만족하면 저장소 잠금 생성을 클릭합니다.
선택한 모드에서 이 잠금을 생성하도록 확인하려면 텍스트 상자에
confirm을 입력한 다음, 구성이 의도한 대로인지 확인하는 상자를 선택합니다.
단계를 성공적으로 완료하면 콘솔 상단에 "성공" 배너가 나타납니다.
프로그래밍 방식으로 백업 저장소 잠그기
AWS Backup 저장소 잠금을 구성하려면 PutBackupVaultLockConfiguration API를 사용합니다. 포함할 파라미터는 사용하려는 저장소 잠금 모드에 따라 달라집니다. 거버넌스 모드에서 저장소 잠금을 생성하려는 경우에는 ChangeableForDays를 포함하지 마세요. 이 파라미터를 포함하면 규정 준수 모드에서 저장소 잠금이 생성됩니다.
다음은 규정 준수 모드 저장소 잠금 생성의 CLI 예제입니다.
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --changeable-for-days3\ --min-retention-days7\ --max-retention-days30
다음은 거버넌스 모드 저장소 잠금 생성의 CLI 예제입니다.
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --min-retention-days7\ --max-retention-days30
네 가지 옵션을 구성할 수 있습니다.
-
BackupVaultName잠그려는 저장소의 이름입니다.
-
ChangeableForDays(규정 준수 모드에만 포함)이 파라미터는 AWS Backup이 규정 준수 모드에서 저장소 잠금을 생성하도록 지시합니다. 거버넌스 모드에서 잠금을 생성하려면 이 파라미터를 생략하세요.
이 값은 일 단위로 표시됩니다. 3보다 크고 36,500보다 작은 숫자여야 합니다. 그렇지 않으면 오류가 반환됩니다.
이 저장소 잠금을 생성한 후 지정된 날짜가 만료될 때까지는
DeleteBackupVaultLockConfiguration을 사용하여 저장소에서 저장소 잠금을 제거할 수 있습니다. 또는 이 기간 동안PutBackupVaultLockConfiguration을 사용하여 구성을 변경할 수도 있습니다.이 파라미터에 의해 정해진 지정된 날짜 이후에는 백업 저장소를 변경할 수 없으며 삭제할 수 없습니다.
-
MaxRetentionDays(선택 사항)이 값은 일 단위로 표시되는 숫자 값입니다. 이는 저장소가 복구 시점을 유지하는 최대 보존 기간입니다.
사용자가 선택하는 최대 보존 기간은 조직의 데이터 보존 정책과 일치해야 합니다. 조직에서 데이터를 일정 기간 동안 보존하도록 지시할 경우, 이 값을 해당 기간(일 단위)으로 설정할 수 있습니다. 예를 들어, 금융 또는 은행 데이터를 7년(윤년에 따라 약 2,557일) 동안 보관해야 할 수 있습니다.
지정되지 않으면 AWS Backup 저장소 잠금이 최대 보존 기간을 적용하지 않습니다. 지정된 경우, 수명 주기 보존 기간이 최대 보존 기간보다 긴 이 저장소로 백업 및 복사하는 작업은 실패합니다. 저장소 잠금의 생성 이전에 저장소에 이미 저장된 복구 시점은 영향을 받지 않습니다. 지정할 수 있는 최대 보존 기간은 36,500일(약 100년)입니다.
-
MinRetentionDays(선택 사항, CloudFormation에 필요)이 값은 일 단위로 표시되는 숫자 값입니다. 이는 저장소가 복구 시점을 유지하는 최소 보존 기간입니다. 이 설정은 조직에서 데이터를 유지하는 데 필요한 시간으로 설정해야 합니다. 예를 들어, 규정이나 법률에 따라 데이터를 최소 7년 동안 보존해야 할 경우 일 단위의 값은 윤년에 따라 약 2,557일이 됩니다.
지정되지 않으면 AWS Backup 저장소 잠금이 최소 보존 기간을 적용하지 않습니다. 지정된 경우, 수명 주기 보존 기간이 최소 보존 기간보다 짧은 이 저장소로 백업 및 복사하는 작업은 실패합니다. AWS Backup 저장소 잠금 이전에 저장소에 이미 저장된 복구 시점은 영향을 받지 않습니다. 지정할 수 있는 가장 짧은 최소 보존 기간은 1일입니다.
백업 저장소의 AWS Backup 저장소 잠금 구성 검토
DescribeBackupVault 또는 ListBackupVaults API를 호출하여 언제든지 저장소의 AWS Backup 저장소 잠금 세부 정보를 검토할 수 있습니다.
백업 저장소에 저장소 잠금을 적용했는지 확인하려면 DescribeBackupVault를 호출하고 Locked 속성을 확인합니다. 아래의 예제처럼 "Locked": true인 경우, AWS Backup 백업 잠금을 백업 저장소에 적용한 것입니다.
{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }
앞의 출력은 다음 옵션을 확인합니다.
-
Locked는 AWS Backup 저장소 잠금을 이 백업 저장소에 적용했는지 나타내는 부울입니다.True는 AWS Backup저장소 잠금으로 인해 저장소에 저장된 복구 시점에 대한 삭제 또는 업데이트 작업이 실패할 것이라는 의미입니다(아직 쿨링 오프 유예 기간에 속하는지 여부와는 관계없음). -
LockDate는 쿨링 오프 유예 기간이 종료되는 날짜 및 시간(UTC)입니다. 이 기간이 지나면 이 저장소의 잠금을 삭제하거나 변경할 수 없습니다. 일반적으로 제공되는 시간 변환기를 사용하여 이 문자열을 현지 시간으로 변환합니다.
아래의 예제처럼 "Locked":false인 경우, 저장소 잠금을 적용하지 않았거나 이전 저장소 잠금이 삭제된 것입니다.
{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }
유예 시간 중에 저장소 잠금 제거(규정 준수 모드)
AWS Backup 콘솔을 사용하여 유예 시간(저장소를 잠근 이후와 LockDate 이전까지의 시간) 중에 저장소 잠금을 삭제하려면
AWS Management Console에 로그인하고 https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. 왼쪽 탐색 메뉴의 내 계정에서 백업 저장소를 클릭한 다음, 백업 저장소 잠금을 클릭합니다.
제거하려는 저장소 잠금을 클릭한 다음 저장소 잠금 관리를 클릭합니다.
저장소 잠금 삭제를 클릭합니다.
저장소 잠금을 삭제할 것인지 확인하라고 묻는 경고 상자가 나타납니다. 텍스트 상자에
confirm을 입력한 다음 확인을 클릭합니다.
단계를 성공적으로 모두 완료하면 콘솔 화면의 상단에 성공 배너가 나타납니다.
CLI 명령을 사용하여 유예 시간 중에 저장소 잠금을 삭제하려면 아래의 CLI 예제처럼 DeleteBackupVaultLockConfiguration을 사용하세요.
aws backup delete-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock
잠긴 저장소가 있는 AWS 계정 폐쇄
백업 저장소가 포함된 AWS 계정 계정을 폐쇄할 경우, AWS 및 AWS Backup은 백업을 그대로 유지한 상태로 90일 동안 계정을 일시 중지합니다. 90일 동안 계정을 다시 열지 않으면 AWS Backup 저장소 잠금이 설치되어 있더라도 AWS가 백업 저장소의 콘텐츠를 삭제합니다.
추가 보안 고려 사항
AWS Backup 저장소 잠금은 데이터 보호 방어에 심층적인 추가 보안 계층을 제공합니다. 저장소 잠금은 다음과 같은 다른 보안 기능과 결합할 수 있습니다.
-
AWS Backup 저장소 및 복구 시점 액세스 정책 - 저장소 수준에서 권한을 부여하거나 거부할 수 있습니다.
-
AWS Backup 보안 모범 사례 - AWS 지원 서비스를 통해 백업 및 복원 권한을 부여하거나 거부할 수 있는 고객 관리형 정책 라이브러리 포함
-
AWS Backup Audit Manager - 정의한 제어 목록 기준으로 백업에 대한 규정 준수 검사를 자동화할 수 있습니다.
의도한 리소스가 저장소 잠금으로 보호되도록 AWS Backup Audit Manager의 백업이 AWS Backup 저장소 잠금으로 보호됨 컨트롤에 대해 AWS Backup API를 사용하여 프레임워크 생성의 내용을 참조할 수 있습니다.
-
리소스를 비활성화하는 메커니즘은 리소스를 복원하는 기능에 영향을 미칠 수 있습니다. 이러한 리소스는 잠긴 저장소에서 여전히 삭제할 수 없지만, 활성 상태가 아닌 상태에서는 삭제할 수 있습니다. 예를 들어, AMI를 비활성화할 수 있게 하는 Amazon Elastic Compute Cloud 설정은 EC2 인스턴스의 백업을 복원하는 기능을 일시적으로 차단할 수 있습니다. 이는 심지어 저장소 잠금 또는 법적 보존의 영향을 받는 백업을 포함해서, 모든 EC2 복구 시점에 영향을 미칩니다.
EC2 백업이 비활성화된 경우, 비활성화된 AMI를 재활성화할 수 있습니다. 이러한 AMI는 재활성화되면 복원할 수 있습니다. AMI 비활성화 기능을 차단하려면 IAM 정책을 사용하여
ec2:DisableImage를 허용하지 않으면 됩니다.
참고
AWS Backup 저장소 잠금은 S3 Glacier와만 호환되는 Amazon S3 Glacier 저장소 잠금과 동일한 기능이 아닙니다.
