Wie konfiguriere ich einen AWS Backup Vault Lock?

Lesedauer: 4 Minute

Ich möchte eine AWS Backup Vault Lock für meinen Backup-Tresor konfigurieren.

Lösung

AWS Backup Vault Lock ist eine optionale Funktion eines Backup-Tresors. Weitere Informationen finden Sie unter AWS Backup Vault Lock.

Sperren Sie einen Backup-Tresor mithilfe der Konsole

Gehen Sie wie folgt vor, um Ihrem Backup-Tresor eine Tresorsperre hinzuzufügen:

Öffnen Sie die AWS-Backup-Konsole.
Wählen Sie im Navigationsbereich Backup-Tresore aus. Wählen Sie dann Backup Vault Lock.
Wählen Sie unter So funktionieren Tresorsperren oder Tresorsperren die Option**+ Tresorsperre erstellen** aus.
Wählen Sie unter Details zur Tresorsperre den Backup-Tresor aus, auf den Ihre Sperre angewendet werden soll.
Wählen Sie unter Modus Tresorsperre den Governance-Modus oder den Compliance-Modus. Weitere Informationen zur Auswahl Ihrer Modi finden Sie unter Modi Tresorsperre.
Wählen Sie für den Aufbewahrungszeitraum die minimale und maximale Aufbewahrungsdauer aus (die maximale Aufbewahrungsdauer ist optional). Nur Backup-Jobs innerhalb der Aufbewahrungsfristen sind erfolgreich.
Wenn Sie den Compliance-Modus gewählt haben, wird das Startdatum der Tresorsperre angezeigt. Eine Tresorsperre im Compliance-Modus hat eine Wartezeit von der Erstellung der Tresorsperre bis zur Unveränderlichkeit des Tresors und seiner Sperre. Wählen Sie eine Nachfrist für die Dauer der Bedenkzeit. Der Zeitraum muss mindestens drei Tage (72 Stunden) betragen.
Wichtig: Nach Ablauf der Nachfrist sind der Tresor und seine Sperre unveränderbar. Er kann weder von einem Benutzer noch von AWS geändert oder gelöscht werden.
Wählen Sie Tresorsperre erstellen aus.
Geben Sie in das Textfeld Bestätigen ein und aktivieren Sie das Kontrollkästchen, um die Tresorsperre hinzuzufügen.

Wenn die Schritte erfolgreich abgeschlossen wurden, wird oben in der Konsole ein Erfolgsbanner angezeigt.

Programmgesteuertes Sperren eines Backup-Tresors

Um eine AWS Backup Vault Lock programmgesteuert zu konfigurieren, verwenden Sie die PutBackupVaultLockConfiguration-API.

Um eine Tresorsperre im Governance-Modus zu erstellen, geben Sie den Parameter ChangeableForDays nicht an. Wenn der Parameter ChangeableForDays enthalten ist, wird die Tresorsperre im Compliance-Modus erstellt. Weitere Informationen finden Sie unter Programmgesteuertes Sperren eines Backup-Tresors.

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS-CLI verwenden.

Im Folgenden finden Sie Beispiele für die Verwendung der put-backup-vault-lock-configuration-API:

Der folgende Befehl sperrt den Backup-Tresor** my\ _vault\ _to\ _lock1** im Governance-Modus:

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock1 --min-retention-days 1 --region us-east

Der folgende Befehl sperrt den my\ _vault\ _to\ _lock2 im Compliance-Modus. Der Parameter**--changeable-for-days** wurde hinzugefügt, um die Nachfrist zu konfigurieren:

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock --min-retention-days 1 --changeable-for-days 3 --region us-east

Ermitteln Sie mithilfe der Konsole, ob ein Tresor im Compliance- oder Governance-Modus gesperrt ist

Gehen Sie wie folgt vor, um die Details einer AWS Backup Vault Lock mithilfe der Konsole zu überprüfen:

Öffnen Sie die AWS-Backup-Konsole.
Wählen Sie im Navigationsbereich Backup-Tresore aus. Wählen Sie dann Backup Vault Lock.
Der Status der Tresorsperre wird angezeigt.

Ermitteln Sie programmgesteuert, ob ein Tresor im Compliance- oder Governance-Modus gesperrt ist

Um die Details von AWS Backup Vault Lock für einen Tresor zu überprüfen, verwenden Sie die APIs DescribeBackupVault oder ListBackupVaults.

Im Folgenden finden Sie ein Beispiel für den Befehl DescribeBackupVault:

aws backup describe-backup-vault --backup-vault-name s3Backup
{
    "BackupVaultName": "s3Backup",
    "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXX5457:backup-vault:s3Backup",
    "EncryptionKeyArn":
    "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",

    "CreationDate": "2022-02-23T08:45:08.904000+00:00",
    "CreatorRequestId": "xxxxxxxxx-5903d602b45a",
    "NumberOfRecoveryPoints": 0,
    "Locked": true,

    "MinRetentionDays": 1,
    "LockDate": "2023-03-26T12:05:24.117000+01:00" }

Im Folgenden finden Sie ein Beispiel für den Befehl ListBackupVaults:

aws backup list-backup-vaults --region us-east-1
{
    "BackupVaultList": \[
        {
            "BackupVaultName": "Vault100",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX15457:backup-vault:Vault100",
            "CreationDate": "2021-02-21T18:45:12.611000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxx-8f3d5b584447",
            "NumberOfRecoveryPoints": 6,
            "Locked": true
        },
        {
           "BackupVaultName": "destinationvault",
           "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXXX15457:backup-vault:destinationvault",
           "CreationDate": "2022-10-03T22:56:44.129000+01:00",
           "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX15457:key/xxxxxxxxx-aa4f-48834efceebe",
           "CreatorRequestId": "xxxxxxxxxx-ea7cb20a2a01",
           "NumberOfRecoveryPoints": 5,
           "Locked": false
       },
      {
            "BackupVaultName": "s3Backup",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX5457:backup-vault:s3Backup",
            "CreationDate": "2022-02-23T08:45:08.904000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxxxx-5903d602b45a",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 1,
            "LockDate": "2023-03-26T12:05:24.117000+01:00"
        }

Die obige Beispielausgabe enthält die folgenden Informationen:

In den Tresoren S3Backup und Vault100-Tresoren ist eine Tresorsperre aktiviert, da Locked auf True gesetzt ist.
Für den Tresor destinationvault ist keine Tresorsperre aktiviert, da Locked auf False gesetzt ist.
Der Tresor S3Backup verwendet den Compliance-Modus, da ein LockDate gefüllt ist.
Der Tresor Vault100 verwendet den Governance-Modus, da er kein LockDate enthält.

Relevanter Inhalt

Wie lösche ich einen Wiederherstellungspunkt aus einem Backup-Tresor in AWS Backup?
AWS OFFICIALAktualisiert vor einem Jahr
Warum schlägt mein AWS Backup-Job fehl?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich ein kontinuierliches Amazon RDS-Backup in AWS Backup beenden?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie behebe ich den Fehler „Dieses Image wird von AWS Backup verwaltet und kann nicht über EC2-APIs gelöscht werden. Um dieses Image zu löschen, verwenden Sie bitte die AWS Backup-APIs, die CLI oder die Konsole.“ wenn ich versuche, ein Amazon EC2-Backup zu löschen?
AWS OFFICIALAktualisiert vor 10 Monaten