Amazon Backup 文件库锁定 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Backup 文件库锁定

注意

Amazon BackupVult Lock 已由 Cohasset Nociatet Cociatet Cociates Ciatiates 可在受 SEC 17a-4、CTC、CTC、CTC、C 有关Amazon Backup文件库锁定如何与这些法规相关的更多信息,请参阅 Cohasset Sociates 合规性评估。

Amazon Backup保管库锁定是备份保管库的一项可选功能,它可以帮助您提高安全性和对备份保管库的控制。当锁定处于活动状态时,客户、账户/数据所有者或无法更改或删除保管库配置Amazon。每个保管库可以设置一个保管库锁。

Amazon Backup确保您的备份在保留期到期之前可供您使用。如果任何用户(包括根用户)尝试删除备份或更改锁定保管库中的生命周期属性,都Amazon Backup将拒绝该操作。

  • 监管模式下锁定的文件库可以由具有足够的 IAM 权限的用户解除锁定。

  • 冷却期(“宽限期”)到期后,将无法删除锁定在合规模式下的文件库。在宽限期内,您仍然可以移除文件库锁定并更改锁定配置。

保管库锁定模式

创建文件库锁定时,您可以选择两种模式:治理模式合规模式。治理模式旨在仅允许具有充足 IAM 权限的用户管理文件库。治理模式可帮助组织满足监管要求,确保只有指定人员才能对备份保管库进行更改。合规模式适用于备份保管库,在这种情况下,在数据保留期结束之前,保管库(进而包括其内容)永远不会被删除或更改。合规模式下的保管库一旦被锁定,它就不可变,这意味着无法解除锁定。

在治理模式下锁定的文件库可以由具有相应 IAM 权限的用户管理或删除。

任何用户或任何人都无法更改或删除合规模式下的文件库锁定Amazon。合规模式下的文件库锁定在锁定和变为不可变之前会设置一个宽限期。

文件库锁定优势

Amazon Backup保管库锁定有多种好处,包括:

  • WORM(一次写入、多次读取)配置,适用于您在备份库中存储和创建的所有备份。

  • 额外的防御层可保护备份库中的备份(恢复点)免遭无意或恶意删除。

  • 强制执行保留期,防止特权用户(包括Amazon Web Services 账户根用户)提前删除,并符合贵组织的数据保护政策和程序。

使用控制台锁定备份保管库

您可以使用Backup 控制台向您的Amazon Backup保管库添加保管库锁。

要向备份保管库添加保管库锁,请执行以下操作:

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开Amazon Backup控制台:https://console.aws.amazon.com/backup

  2. 在导航窗格中,找到 Backup 文件库。单击嵌套在Backup 保管库下的名为保管库锁的链接。

  3. 在 “保管库锁的工作原理” 或 “保管库锁定” 下,单击 + 创建保管库锁

  4. 在 “保管库锁定详细信息” 窗格中,选择要对哪个保管库应用锁定。

  5. 保管库锁定模式下,选择要锁定保管库的模式。有关选择模式的更多信息,请参阅本页前面的保管库锁定模式

  6. 对于保留期,选择最小和最大保留期(最大保留期是可选的)。只有保留期内的备份作业才能成功。

  7. 如果您选择合规模式,则会显示一个名为 Vault 锁定开始日期的部分。如果您选择治理模式,则不会显示该模式,并且可以跳过此步骤。

    在合规模式下,保管库锁有一段冷静期,从创建文件库锁开始,直到文件库及其锁变为不可变和不可更改。您可以选择此时段的持续时间(称为宽限期),但必须至少为 3 天(72 小时)。

    重要

    宽限期到期后,保管库及其锁是不可变的。任何用户或任何人都不能对其进行更改或删除Amazon。

  8. 当您对配置选择感到满意时,请单击 “创建保管库锁”。

  9. 要确认您希望在所选模式下创建此锁,请在文本框confirm中键入,然后选中确认配置符合预期的复选框。

如果这些步骤已成功完成,控制台顶部将出现 “成功” 横幅。

以编程方式锁定备份文件库

要配置Amazon Backup文件库锁定,请使用 APIPutBackupVaultLockConfiguration。要包含的参数将取决于您打算采用哪种保管库锁定模式。如果您希望在管理模式下创建文件库锁,请不要包括ChangeableForDays。如果包含此参数,则将在合规模式下创建文件库锁。

以下是创建合规模式文件库锁定的 CLI 示例:

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --changeable-for-days 3 \ --min-retention-days 7 \ --max-retention-days 30

以下是创建治理模式文件库锁的 CLI 示例:

aws backup put-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock \ --min-retention-days 7 \ --max-retention-days 30

您可以配置四个选项。

  1. BackupVaultName

    要锁定的文件库的名称。

  2. ChangeableForDays适用于合规模式)

    此参数指示Amazon Backup在合规模式下创建文件库锁。如果您打算在治理模式下创建锁,请省略此参数。

    该值以天为单位表示。它必须是一个不小于 3 且不大于 36,500 的数字;否则,将返回错误。

    从创建此文件库锁到指定日期到期,可以使用以下方法将文件库锁定从文件库中删除DeleteBackupVaultLockConfiguration。或者,在此期间,您可以使用更改配置PutBackupVaultLockConfiguration

    在此参数确定的指定日期及之后,Backup 文件库将不可变且无法更改或删除。

  3. MaxRetentionDays(可选)

    这是一个以天为单位的数值。这是文件库保留其恢复点的最长保留期。

    您选择的最大保留时间范围应与贵组织的数据保留政策保持一致。如果您的组织指示将数据保留一段时间,则可以将此值设置为该期限(以天为单位)。例如,财务或银行数据可能需要保存 7 年(大约 2,557 天,取决于闰年)。

    如果未指定,Amazon Backup文件库锁定将不会强制规定最长保留期。如果指定,则生命周期保留期长于最大保留期限的备份和复制到此文件库的任务将失败。文件库锁定创建之前已保存在文件库中的恢复点不受影响。您可以指定的最长最大保留期为 36500 天(大约 100 年)。

  4. MinRetentionDays可选;为必填项 CloudFormation)

    这是一个以天为单位的数值。这是文件库保留其恢复点的最短保留期。此设置应设置为您的组织维护数据所需的时间。例如,如果法规或法律要求将数据保留至少七年,则以天为单位的值约为 2,557,具体取决于闰年。

    如果未指定,Amazon Backup文件库锁定将不会强制规定最短保留期。如果指定,则生命周期保留期短于最小保留期限的备份和复制到此文件库的任务将失败。文件库锁定之前已保存在文件Amazon Backup库中的恢复点不受影响。您可以指定的最短保留期为 1 天。

查看备份保管库的保Amazon Backup管库锁定配置

您可以随时通过调用DescribeBackupVaultListBackupVaults API 查看Amazon Backup保管库上的保管库锁定详细信息。

要确定您是否对备份保管库应用了保管库锁定,请致电DescribeBackupVault并检查该Locked属性。如果"Locked": true像以下示例一样,您对备份Amazon Backup保管库应用了保管库锁定。

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }

上述输出确认了以下选项:

  1. Locked是一个布尔值,表示您是否已将Amazon Backup文件库锁定应用于此备份保管库。 True意味着Amazon Backup Vault Lock 会导致对存储在文件库中的恢复点的删除或更新操作失败(无论您是否仍处于冷静宽限期)。

  2. LockDate是您的冷静宽限期结束时的 UTC 日期和时间。在此之后,您将无法删除或更改此保管库的锁定。使用任何公开可用的时间转换器将此字符串转换为您的本地时间。

如果"Locked":false像以下示例一样,您尚未应用文件库锁定(或之前的保管库锁定已被删除)。

{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }

在宽限期内移除文件库锁(合规模式)

要在宽限期(锁定保管库之后但在锁定保管库之前LockDate)删除保管库锁定,DeleteBackupVaultLockConfiguration请使用以下命令行界面示例:

aws backup delete-backup-vault-lock-configuration \ --backup-vault-name my_vault_to_lock

Amazon Web Services 账户用锁定的保管库关闭

当您关闭Amazon Web Services 账户包含备份保管库的帐户,Amazon并在备份完好无损的情况下Amazon Backup暂停您的帐户 90 天时。如果您在这 90 天内没有重新打开账户,即使保管库已锁定,也会Amazon删除备份Amazon Backup保管库中的内容。

其它安全注意事项

Amazon BackupVault Lock 为您的数据保护防御深度增加了一层额外的安全保护。保管库锁定可以与其他安全功能结合使用:

注意

Amazon Backup文件库锁定功能与 S3 Glacier 灵活检索文件库锁定功能不同,后者仅与 Amazon S3 兼容。