合法封存和 Amazon Backup - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

合法封存和 Amazon Backup

法律封存概述

法定保留是一种管理工具,可帮助防止备份在保留状态下被删除。设置保留后,将无法删除处于保留状态的备份,并且会更改备份状态(例如转换为 Deleted 状态)的生命周期策略会延迟到法定保留被删除为止。

Amazon Backup 如果生命周期允许,可以将合法保全应用于由创建的一个或多个备份(也称为恢复点)。一种称为连续备份的备份类型拥有 35 天的最长生命周期。法律封存不会延长持续的备份生命周期。

在创建合法封存时,可以考虑特定的筛选标准,例如资源类型和资源IDs。此外,您可以定义要包含在法定保留中的备份的创建日期范围。

法定保留仅适用于存放这些保留的原始备份。当跨区域或账户复制备份时(如果资源支持),该备份不会保留或随之带着其法定保留。与其他资源一样,合法封存具有与之关联的唯一性ARN(Amazon 资源名称)。只有由创建的恢复点 Amazon Backup 才能成为合法封存的一部分。

请注意,虽然Amazon Backup 文件库锁为文件库提供了额外的保护和不可变性,但合法保留提供了额外的保护,防止删除单个备份(恢复点)。法定保留不会过期,并且可以无限期地将数据保留在备份中。在拥有足够权限的用户解除保全之前,该保全将一直处于活动状态。

多项法律封存

备份可以包含多个法定保留。法定保留和备份具有多对多关系,这意味着一个备份可以拥有多个法定保留,并且一个法定保留可以包括多个备份。

只要备份至少有一个合法保留,就无法将其删除。解除对备份的所有法律保留后,该备份将受其保留生命周期属性的约束。至少保留一个法律保留,以防止备份被删除。法律封存可以应用于在备份生命周期保留日期之后保留的恢复点(由于存在法律封存)。

每个账户一次最多可以有 50 个法定保留处于活动状态。

创建法定保留

可以将法定保留添加到现有备份(恢复点)中。

状态为 EXPIREDDELETING 的备份(恢复点)将不包含在法定保留中。状态为 CREATING 的恢复点(备份)可能不包含在法定保留中,具体取决于完成时间。

拥有所需IAM权限的用户可以添加合法保留。

创建合法封存
  1. https://console.aws.amazon.com/backup 上打开 Amazon Backup 控制台。

  2. 在控制台左侧的控制面板中,找到“我的账户”。选择 “合法保留”。

  3. 选择 “添加合法保留”。

  4. 显示了三个面板:合法封存详情合法封存范围合法封存标签

    1. 法定保留详细信息下,在提供的文本框中输入法定保留名称和保留描述。

    2. 法定保留范围面板中,选择您希望如何选择要包含在法定保留中的资源。创建暂挂时,您可以选择用于选择处于合法保全状态的资源的方式。您可以选择包含以下选项之一:

      • 特定资源类型和 IDs

      • 选择备份存储库

      • 您账户中的所有资源类型或所有备份保管库

    3. 指定您的法定保留的日期范围。以:mm: dd YYYY 格式输入日期(包括日期)。

    4. 或者,您可以在 “合法封存” 标签下为保全添加标签。标签可以帮助对法定保留进行分类,以备将来参考和整理。您最多可以添加 50 个标签。

  5. 当您对新法定保留的配置感到满意时,请单击添加新保留按钮。

您可以使用create-legal-hold命令创建合法保留。

aws backup create-legal-hold --title "my title" \ --description "my description" \ --recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"

查看法定保留

您可以在 Amazon Backup 控制台中或以编程方式查看合法保留的详细信息。

要使用 Backup 控制台查看账户内的所有法定保留,请执行以下操作:

  1. https://console.aws.amazon.com/backup 上打开 Amazon Backup 控制台。

  2. 在控制面板左侧的我的账户下,单击法定保留

  3. 法定保留表显示现有保留的标题、状态、描述、ID 和创建日期。单击表标题旁边的向下箭头,以按所选列对表进行筛选。

要以编程方式查看所有合法保留,您可以使用以下API调用:ListLegalHolds和。GetLegalHold

以下JSON模板可用于GetLegalHold

GET /legal-holds/{legalHoldId} HTTP/1.1 Request empty body Response { Title: string, Status: LegalHoldStatus, Description: string, // 280 chars max CancelDescription: string, // this is provided during cancel // 280 chars max LegalHoldId: string, LegalHoldArn: string, CreatedTime: number, CanceledTime: number, ResourceSelection: { VaultArns: [ string ] Resources: [ string ] }, ResourceFilters: { DateRange: { FromDate: number, ToDate: number } } }

以下JSON模板可用于ListLegalHolds

GET /legal-holds/ &maxResults=MaxResults &nextToken=NextToken Request empty body url params: MaxResults: number // optional, NextToken: string // optional status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING maxResults: 1-1000 Response { NextToken: token, LegalHolds: [ Title: string, Status: string, Description: string, // 280 chars max CancelDescription: string, // this is provided during cancel // 280 chars max LegalHoldId: string, LegalHoldArn: string, CreatedTime: number, CanceledTime: number, ] }

以下是可能的状态值。

Status 描述
CREATING 请求的恢复点正在保留过程中,由于保留尚未完成创建,因此对这些恢复点的删除请求可能会成功。
ACTIVE 法定保留已创建,此法定保留项下列出的所有恢复点均已保留。
CANCELLING 正在删除法定保留,关于删除该保留下的恢复点的请求可能会成功。
CANCELED 法定保留已完全释放,不再有任何效力。可以删除恢复点。

释放法定保留

在拥有足够权限的用户将其移除之前,合法保全将一直有效。删除法定保留也称为取消或释放法定保留。如果删除法定保留,会从将其附加到的所有备份中将其消除。在法定保留期间过期的所有备份都将在移除合法保留后的 24 小时内删除。

使用控制台解除保留
  1. https://console.aws.amazon.com/backup 上打开 Amazon Backup 控制台。

  2. 输入您想要与该释放关联的描述。

  3. 查看详细信息,然后单击释放保留

  4. 当出现“释放保留”对话框时,在文本框中键入 confirm 以确认您打算释放保留。

    1. 选中复选框以确认您要取消保留。

法定保留页面上,您可以看到您的所有保留。如果释放成功,则该保留状态将显示为 Released

要以编程方式取消保留,请使用API调CancelLegalHold用。

使用以下JSON模板。

DELETE /legal-holds/{legalHoldId} Request { CancelDescription: String DeleteAfterDays: number // optional } DeleteAfterDays: optional. Defaults to 180 days. how long to keep legal hold record after canceled. This applies to the actual legal hold record only. Recovery points are unlocked as soon as cancelation processes and are not subject to this date. Response Empty body 200 if successful other standard codes