控制和修复 - AWS Backup
备份资源包含在至少一个备份计划中备份计划最低频率和最低保留期保管库可防止手动删除恢复点恢复点经过加密为恢复点设定的最低保留期计划跨区域备份复制计划跨账户备份复制备份受 AWS Backup 保管库锁定保护已创建上一个恢复点资源还原时间满足目标逻辑上受物理隔离的保管库中的资源

控制和修复

本页列出了 AWS Backup Audit Manager 的可用控件。您可以选择右侧的信息窗格,查看控件列表并跳转到特定控件。要快速比较控件,请参阅选择控件中的表格。要以编程方式定义控件,请参阅使用 AWS Backup API 创建框架中的代码片段。

每个区域每个账户最多可以使用 50 个控件。在两个不同的框架中使用相同的控件相当于使用了 50 个控件限制中的两个控件。

本页列出了每个控件及其以下信息:

  • 描述。方括号(“[]”)中的值是默认参数值。

  • 控件评估的资源

  • 控件的参数

  • 发生控件运行的情况。

  • 控件的范围,如下所示:

    • 您可以选择一个或多个 AWS Backup 支持的服务,按类型指定资源

    • 您可以使用单个标签键和可选值,指定带标签的资源范围。

    • 您可以使用单个资源下拉列表,指定单个资源。

  • 使适用资源合规的补救措施。

请注意,仅在控制评估资源的合规性时,才会包括活动资源。例如,处于运行状态的 Amazon EC2 实例将由上一个恢复点已创建控件进行评估。处于停止状态的 EC2 实例将不包括在合规性评估中。

备份资源包含在至少一个备份计划中

描述:评估资源是否包含在至少一个备份计划中。

资源:AWS Backup: backup selection

参数:

发生:每 24 小时自动发生一次

范围:

  • 带标签的资源

  • 按类型划分的资源(默认)

  • 单一资源

补救措施:将资源分配给备份计划。AWS Backup 会在将资源分配给备份计划后,自动保护您的资源。有关更多信息,请参阅将资源分配给备份计划

备份计划最低频率和最低保留期

描述:评估备份计划是否包含至少一条备份规则,该规则的备份频率至少为 [1 天],保留期至少为 [35 天]。

资源:AWS Backup: backup plans

参数:

  • 所需的备份频率,以小时或天数为单位。

  • 所需的保留期,以天、周、月或年为单位。我们建议温存储保留期至少为一周,使 AWS Backup 尽可能进行增量备份,从而避免额外收费。

发生:配置更改

范围:

  • 带标签的资源

  • 单一资源

补救措施更新备份计划以更改其备份频率、保留期(或两者)。更新备份计划会更改更新后计划创建的恢复点的保留期。

保管库可防止手动删除恢复点

描述:评估备份保管库是否不允许手动删除某些 IAM 角色以外的恢复点。

资源:AWS Backup: backup vaults

参数:允许手动删除恢复点的多达五个 IAM 角色的 Amazon 资源名称 (ARN)。

发生:配置更改

范围:

  • 带标签的资源

  • 单一资源

补救措施:在备份保管库上创建或修改基于资源的访问策略。有关如何设置备份保管库访问策略的策略示例和说明,请参阅拒绝删除备份保管库中的恢复点

恢复点经过加密

描述:评估恢复点是否已加密。

资源:AWS Backup: recovery points

参数:

发生:配置更改

范围:

  • 带标签的资源

补救措施:为恢复点配置加密。配置 AWS Backup 恢复点加密的方式因资源类型而异。

在使用 AWS Backup 时,您可以针对支持完全 AWS Backup 管理的资源类型配置加密。如果资源类型不支持完全 AWS Backup 管理,则您必须按照该服务的说明配置其备份加密,例如《Amazon Elastic Compute Cloud 用户指南》中的 Amazon EBS 加密。要查看支持完全 AWS Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表的“完全 AWS Backup 管理”部分。

为恢复点设定的最低保留期

描述:评估恢复点保留期是否至少为 [35 天]。

资源:AWS Backup: recovery points

参数:所需的恢复点保留期,以天、周、月或年为单位。我们建议温存储保留期至少为一周,使 AWS Backup 尽可能进行增量备份,从而避免额外收费。

发生:配置更改

范围:

  • 带标签的资源

补救措施:更改恢复点的保留期。有关更多信息,请参阅编辑备份

计划跨区域备份复制

描述:评估是否将资源配置为将其备份副本创建到另一个 AWS 区域。

资源:AWS Backup: backup selection

参数:

  • 选择备份副本应存在的 AWS 区域(可选)

  • 区域

发生:每 24 小时自动发生一次

范围:

  • 带标签的资源

  • 按类型划分的资源

  • 单一资源

补救措施更新备份计划,以更改备份副本应存在的 AWS 区域。

计划跨账户备份复制

描述:评估是否将资源配置为将其备份副本创建到另一个账户。您最多可以添加 5 个账户供控件评估。在 AWS Organizations 中,目的地账户必须与源账户位于同一个组织中。

资源:AWS Backup: backup selection

参数:

  • 选择应存放备份副本的 AWS 账户 ID(可选)

  • 账户 ID

发生:每 24 小时自动发生一次

范围:

  • 带标签的资源

  • 按类型划分的资源

  • 单一资源

补救措施更新备份计划,以更改或添加副本应存在的 AWS 账户 ID。

备份受 AWS Backup 保管库锁定保护

描述:评估资源是否在锁定的备份保管库中存储了不可变备份。

资源:AWS Backup: backup selection

参数:

  • 输入 AWS Backup 保管库锁的最小和最大保留天数(可选)

  • 最小保留天数

  • 最大保留天数

发生:每 24 小时自动发生一次

范围:

  • 带标签的资源

  • 按类型划分的资源

  • 单一资源

补救措施锁定备份保管库,以设置其名称,更改其最小保留天数、最大保留天数(或两者)。对于合规模式下的保管库锁,也可以包括 ChangeableForDays

已创建上一个恢复点

描述:此控件评估是否在指定的时间范围内(以天或小时为单位)创建了恢复点。

如果资源在指定的时间范围内创建了恢复点,则控件合规。如果未在指定的天数或小时数内创建恢复点,则控件不合规。

资源:AWS Backup: recovery points

参数:

  • 以整数(以小时或天为单位)输入指定的时间范围。

  • hours 的值可以从 1744

  • days 的值可以从 131

发生:每 24 小时自动发生一次

范围:

  • 带标签的资源

  • 按类型划分的资源

  • 单一资源

补救措施

  • 更新备份计划,以更改创建恢复点的指定时间范围。

  • 此外,您还可以创建按需备份。

资源还原时间满足目标

描述:评估对受保护资源的还原是否在目标还原时间内完成。

此控制功能可检查特定资源的还原时间是否符合目标持续时间。如果某资源类型的 LatestRestoreExecutionTimeMinutes 大于 maxRestoreTime(以分钟为单位),则该规则为 NON_COMPLIANT。

参数:

  • maxRestoreTime(以分钟为单位)

发生:每 24 小时自动发生一次

范围:

  • 带标签的资源

  • 按类型划分的资源

  • 单一资源

注意

AWS Backup 不提供任何有关还原时间的服务水平协议(SLA)。还原时间可能因系统负载和容量而异,即使包含相同资源的还原也是如此。

逻辑上受物理隔离的保管库中的资源

描述:此控件评估在指定的值和时间范围内,资源是否至少有一个恢复点复制到逻辑上受物理隔离的保管库。如果在为控件配置的时间范围内未将某个恢复点复制到逻辑上受物理隔离的保管库,则此控件为 NON_COMPLIANT。

资源:AWS Backup: recovery points

参数:

  • recoveryPointAgeValue

  • recoveryPointAgeUnit

输入时间段。指定单位为 dayshours。为该单位指定一个值。小时数的值可以介于 242184(含)之间。天数的值可以介于 191(含)之间。

建议将最小值设为 7 天或 168 小时。控件值的频率不应高于备份计划的副本创建频率;否则,您可能会看到意外的 NON_COMPLIANT 状态,这种状态一直持续到下一次备份被复制到逻辑上受物理隔离的保管库中并且此控件运行为止。

发生:每 24 小时自动发生一次

范围:

  • 按类型划分的资源

  • 单一资源