本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控制和修复
本页列出了 Audit Manager Amazon Backup 的可用控件。您可以选择右侧的信息窗格,查看控件列表并跳转到特定控件。要快速比较控件,请参阅选择控件中的表格。要以编程方式定义控件,请参阅使用创建框架中的代码片段。 Amazon Backup API
每个区域每个账户最多可以使用 50 个控件。在两个不同的框架中使用相同的控件相当于使用了 50 个控件限制中的两个控件。
本页列出了每个控件及其以下信息:
-
描述。方括号(“[]”)中的值是默认参数值。
-
控件评估的资源。
-
控件的参数。
-
发生控制失控的情况。
-
控制范围如下:
-
您可以选择一个或多个 Amazon Backup支持的服务,按类型指定资源。
-
您可以使用单个标签键和可选值,指定带标签的资源范围。
-
您可以使用单个资源下拉列表,指定单个资源。
-
-
使适用资源合规的补救措施。
请注意,仅在控制评估资源的合规性时,才会包括活动资源。例如,处于运行状态的 Amazon EC2 实例将由上次创建恢复点的控件进行评估。处于停止状态的EC2实例将不包括在合规性评估中。
至少一个备份计划中包含备份资源
描述:评估资源是否包含在至少一个备份计划中。
资源:Amazon Backup: backup selection
参数:无
发生:每 24 小时自动发生
范围:
-
带标签的资源
-
按类型划分的资源(默认)
-
单一资源
补救措施:将资源分配给备份计划。 Amazon Backup 会在将资源分配给备份计划后,自动保护您的资源。有关更多信息,请参阅将资源分配给备份计划。
备份计划最低频率和最低保留期
描述:评估备份计划是否包含至少一条备份规则,该规则的备份频率至少为 [1 天],保留期至少为 [35 天]。
资源:Amazon Backup: backup plans
参数:
-
所需的备份频率,以小时或天数为单位。
-
所需的保留期,以天、周、月或年为单位。我们建议将热存储保留至少一周, Amazon Backup 以便尽可能进行增量备份,从而避免额外收费。
发生:配置更改
范围:
-
带标签的资源
-
单一资源
补救措施:更新备份计划以更改其备份频率、保留期(或两者)。更新备份计划会更改更新后计划创建的恢复点的保留期。
保管库可防止手动删除恢复点
描述:评估备份存储库是否不允许手动删除某些IAM角色以外的恢复点。
资源:Amazon Backup: backup vaults
参数:允许手动删除恢复点的最多五个IAM角色的 Amazon 资源名称 (ARNs)。
发生:配置更改
范围:
-
带标签的资源
-
单一资源
补救措施:在备份保管库上创建或修改基于资源的访问策略。有关如何设置备份库访问策略的策略示例和说明,请参阅拒绝删除备份保管库中的恢复点。
恢复点经过加密
描述:评估恢复点是否已加密。
资源:Amazon Backup: recovery points
参数:无
发生:配置更改
范围:
-
带标签的资源
补救措施:为恢复点配置加密。为 Amazon Backup 恢复点配置加密的方式因资源类型而异。
您可以为支持完全 Amazon Backup 管理的资源类型配置加密 Amazon Backup。如果资源类型不支持完全 Amazon Backup 管理,则必须按照该服务的说明配置其备份加密,例如亚马逊弹性计算云用户指南中的亚马逊EBS加密。要查看支持完全 Amazon Backup 管理的资源类型列表,请参阅按资源划分的功能可用性表格的 “完全 Amazon Backup 管理” 部分。
为恢复点设定的最低保留期
描述:评估恢复点保留期是否至少为 [35 天]。
资源:Amazon Backup: recovery points
参数:所需的恢复点保留期,以天、周、月或年为单位。我们建议将热存储保留至少一周, Amazon Backup 以便尽可能进行增量备份,从而避免额外收费。
发生:配置更改
范围:
-
带标签的资源
补救措施:更改恢复点的保留期。有关更多信息,请参阅编辑备份。
计划跨区域备份复制
描述:评估资源是否配置为将其备份副本创建到另一个 Amazon 区域。
资源:Amazon Backup: backup selection
参数:
-
选择备份副本应存在的地方(可选) Amazon Web Services 区域
-
区域
发生:每 24 小时自动发生
范围:
-
带标签的资源
-
按类型划分的资源
单一资源
补救:更新备份计划以更改备份副本应存在 Amazon Web Services 区域 的位置。
计划跨账户备份复制
描述:评估是否将资源配置为将其备份副本创建到另一个账户。您最多可以添加 5 个账户供控件评估。在 Amazon Organizations中,目的地账户必须与源账户位于同一个组织中。
资源:Amazon Backup: backup selection
参数:
-
选择应存放备份副本的 Amazon 账户 ID(可选)
-
账户 ID
发生:每 24 小时自动发生
范围:
-
带标签的资源
-
按类型划分的资源
单一资源
补救:更新备份计划以更改或添加副本应存在的 Amazon 账户 ID。
备份受 Amazon Backup 文件库锁保护
描述:评估资源是否在锁定的备份保管库中存储了不可变备份。
资源:Amazon Backup: backup selection
参数:
-
输入 Amazon Backup 文件库锁定的最小和最大保留天数(可选)
-
最小保留天数
-
最大保留天数
发生:每 24 小时自动发生
范围:
-
带标签的资源
-
按类型划分的资源
单一资源
补救措施:锁定备份保管库,以设置其名称,更改其最小保留天数、最大保留天数(或两者)。对于合规模式下的保管库锁,也可以包括 ChangeableForDays
。
已创建上一个恢复点
描述:此控件评估是否在指定的时间范围内(以天或小时为单位)创建了恢复点。
如果资源在指定的时间范围内创建了恢复点,则控件合规。如果未在指定的天数或小时数内创建恢复点,则控件不合规。
资源:Amazon Backup: recovery points
参数:
-
以整数(以小时或天为单位)输入指定的时间范围。
-
hours
的值可以从1
到744
。 -
days
的值可以从1
到31
。
发生:每 24 小时自动发生
范围:
-
带标签的资源
-
按类型划分的资源
单一资源
补救措施:
更新备份计划,以更改创建恢复点的指定时间范围。
此外,您还可以创建按需备份。
资源还原时间满足目标
描述:评估对受保护资源的还原是否在目标还原时间内完成。
此控制功能可检查特定资源的还原时间是否符合目标持续时间。COMPLIANT如果资源类型大于LatestRestoreExecutionTimeMinutes
maxRestoreTime
以分钟为单位,则规则为 NON _。
参数:
-
maxRestoreTime
(以分钟为单位)
发生:每 24 小时自动发生
范围:
-
带标签的资源
-
按类型划分的资源
-
单一资源
注意
Amazon Backup 不提供任何恢复时间的服务级别协议 (SLAs)。还原时间可能因系统负载和容量而异,即使包含相同资源的还原也是如此。
逻辑上存在气隙的保管库中的资源
描述:此控件评估资源是否在指定的值和时间范围内至少有一个恢复点复制到逻辑上存在气隙的保管库。COMPLIANT如果在为控件配置的时间范围内未将恢复点复制到逻辑上存在气隙的存储库中,则此控件为 NON _。
资源:Amazon Backup: recovery points
参数:
-
recoveryPointAgeValue
-
recoveryPointAgeUnit
输入时间段。在days
或中指定单位hours
。为该单位指定一个值。小时数值可以介24
于2184
包含范围内。天数的值可以介1
于91
包含范围内。
建议将最小值设为7
天或168
小时。控制值的频率不应高于备份计划的副本创建频率;否则,在下一次备份被复制到逻辑上空隙的保管库中并运行此控件之前,您可能会看到意外NON_COMPLIANT
状态。
发生:每 24 小时自动发生
范围:
-
按类型划分的资源
-
单一资源