AWS Backup Vault Lock を設定するにはどうすればよいですか?
バックアップボールト用に AWS Backup Vault Lock を設定したいと考えています。
解決方法
AWS Backup Vault Lock は AWS Backup Vault のオプション機能です。詳細については、「AWS Backup Vault Lock」を参照してください。
コンソールを使用してバックアップボールトをロックする
バックアップボールトにボールトロックを追加するには、以下の手順を実行してください。
- AWS Backup コンソールを開きます。
- ナビゲーションペインで、[バックアップボールト] を選択します。次に、[バックアップボールトロック] を選択します。
- [ボールトロックの仕組み] または「[ボールトロック] で、[+ Create vault lock] を選択します。
- [ボールトロックの詳細] で、ロックを適用するバックアップボールトを選択します。
- [ボールトロックモード] で、[ガバナンスモード] または [コンプライアンスモード] を選択します。モードの選択の詳細については、「Vault lock modes」を参照してください。
- [保持期間] で、最小保持期間と最大保持期間を選択します (最大保持期間はオプションです)。保持期間内のバックアップジョブのみが成功します。
[コンプライアンスモード] を選択した場合、ボールトロックの開始日が表示されます。コンプライアンスモードのボールトロックには、ボールトロックの作成日時からカウントするクーリングオフ期間があり、この期間が終わると、ボールトとそのロックが変更できなくなります。クーリングオフ期間として猶予期間を選択してください。期間は少なくとも 3 日間 (72 時間) でなければなりません。
重要: 猶予期間が切れた後は、ボールトとそのロックは変更できなくなります。ユーザーでも AWS でも変更や削除ができなくなります。 - [ボールトロックを作成] を選択します。
- テキストボックスに「confirm」と入力し、チェックボックスをオンにしてヴォールトロックを追加します。
手順が正常に完了した場合、コンソールの上部に 成功バナーが表示されます。
バックアップボールトをプログラムでロックする
AWS Backup Vault Lock をプログラムで設定するには、PutBackupVaultLockConfiguration API を使用します。
ガバナンスモードでボールトロックを作成するには、ChangeableForDays パラメーターを指定しないでください。ChangeableForDays パラメーターを指定すると、ボールトロックがコンプライアンスモードで作成されるためです。詳細については、「Lock a backup vault programmatically」を参照してください。
注: AWS CLI コマンドを実行するとエラーが発生する場合は、最新バージョンの AWS CLI を使用しているかどうかを確認してください。
put-backup-vault-lock-configuration API の使用例を以下に示します。
次のコマンドは、ガバナンスモードでバックアップボールト my_vault_to_lock1 をロックします。
aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock1 --min-retention-days 1 --region us-east
次のコマンドは、コンプライアンスモードで vault my_vault_to_lock2 をロックします。猶予期間を設定するためのパラメーター、--changeable-for-days が追加されました。
aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock --min-retention-days 1 --changeable-for-days 3 --region us-east
コンソールを使用して、ボールトがコンプライアンスモードとガバナンスモードのどちらでロックされているかを確認します
コンソールを使用して AWS Backup Vault Lock の詳細を確認するには、以下を実行してください。
- AWS Backup コンソールを開きます。
- ナビゲーションペインで、[バックアップボールト] を選択します。次に、[バックアップボールトロック] を選択します。
- ボールトロックのステータスが表示されます。
ボールトがコンプライアンスモードとガバナンスモードのどちらでロックされているかをプログラムで確認します
ボールトの AWS Backup Vault Lock の詳細を確認するには、DescribeBackupVault API または ListBackupVaults API を使用してください。
DescribeBackupVault コマンドの例を以下に示します。
aws backup describe-backup-vault --backup-vault-name s3Backup { "BackupVaultName": "s3Backup", "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXX5457:backup-vault:s3Backup", "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxxx-e4e294b5e1ff", "CreationDate": "2022-02-23T08:45:08.904000+00:00", "CreatorRequestId": "xxxxxxxxx-5903d602b45a", "NumberOfRecoveryPoints": 0, "Locked": true, "MinRetentionDays": 1, "LockDate": "2023-03-26T12:05:24.117000+01:00" }
ListBackupVaults コマンドの例を以下に示します。
aws backup list-backup-vaults --region us-east-1 { "BackupVaultList": \[ { "BackupVaultName": "Vault100", "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX15457:backup-vault:Vault100", "CreationDate": "2021-02-21T18:45:12.611000+00:00", "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxx-e4e294b5e1ff", "CreatorRequestId": "xxxxxxxx-8f3d5b584447", "NumberOfRecoveryPoints": 6, "Locked": true }, { "BackupVaultName": "destinationvault", "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXXX15457:backup-vault:destinationvault", "CreationDate": "2022-10-03T22:56:44.129000+01:00", "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX15457:key/xxxxxxxxx-aa4f-48834efceebe", "CreatorRequestId": "xxxxxxxxxx-ea7cb20a2a01", "NumberOfRecoveryPoints": 5, "Locked": false }, { "BackupVaultName": "s3Backup", "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX5457:backup-vault:s3Backup", "CreationDate": "2022-02-23T08:45:08.904000+00:00", "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX5457:key/xxxxxxxxx-e4e294b5e1ff", "CreatorRequestId": "xxxxxxxxxx-5903d602b45a", "NumberOfRecoveryPoints": 0, "Locked": true, "MinRetentionDays": 1, "LockDate": "2023-03-26T12:05:24.117000+01:00" }
前述の出力例には、次の情報が含まれています。
- s3Backup と Vault100 のヴォールトでは、[ロック] が true に設定されているので、ヴォールトロックがオンになっています。
- destinationvault ボールトでは、[ロック] が false に設定されているので、ボールトロックがオンになっていません。
- s3Backup ボールトでは LockDate が入力されているため、コンプライアンスモードが使用されます。
- Vault100 ボールトでは LockDate が含まれていないため、ガバナンスモードが使用されます。
関連情報
Enhance the security posture of your backups with AWS Backup Vault Lock
関連するコンテンツ
- 質問済み 7年前lg...
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
- AWS公式更新しました 8ヶ月前