AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS Backup Vault Lock を設定するにはどうすればよいですか?

所要時間2分
0

バックアップボールト用に AWS Backup Vault Lock を設定したいと考えています。

解決方法

AWS Backup Vault Lock は AWS Backup Vault のオプション機能です。詳細については、「AWS Backup Vault Lock」を参照してください。

コンソールを使用してバックアップボールトをロックする

バックアップボールトにボールトロックを追加するには、以下の手順を実行してください。

  1. AWS Backup コンソールを開きます。
  2. ナビゲーションペインで、[バックアップボールト] を選択します。次に、[バックアップボールトロック] を選択します。
  3. [ボールトロックの仕組み] または「[ボールトロック] で、[+ Create vault lock] を選択します。
  4. [ボールトロックの詳細] で、ロックを適用するバックアップボールトを選択します。
  5. [ボールトロックモード] で、[ガバナンスモード] または [コンプライアンスモード] を選択します。モードの選択の詳細については、「Vault lock modes」を参照してください。
  6. [保持期間] で、最小保持期間と最大保持期間を選択します (最大保持期間はオプションです)。保持期間内のバックアップジョブのみが成功します。
    [コンプライアンスモード] を選択した場合、ボールトロックの開始日が表示されます。コンプライアンスモードのボールトロックには、ボールトロックの作成日時からカウントするクーリングオフ期間があり、この期間が終わると、ボールトとそのロックが変更できなくなります。クーリングオフ期間として猶予期間を選択してください。期間は少なくとも 3 日間 (72 時間) でなければなりません。
    重要: 猶予期間が切れた後は、ボールトとそのロックは変更できなくなります。ユーザーでも AWS でも変更や削除ができなくなります。
  7. [ボールトロックを作成] を選択します。
  8. テキストボックスに「confirm」と入力し、チェックボックスをオンにしてヴォールトロックを追加します。

手順が正常に完了した場合、コンソールの上部に 成功バナーが表示されます。

バックアップボールトをプログラムでロックする

AWS Backup Vault Lock をプログラムで設定するには、PutBackupVaultLockConfiguration API を使用します。

ガバナンスモードでボールトロックを作成するには、ChangeableForDays パラメーターを指定しないでください。ChangeableForDays パラメーターを指定すると、ボールトロックがコンプライアンスモードで作成されるためです。詳細については、「Lock a backup vault programmatically」を参照してください。

注: AWS CLI コマンドを実行するとエラーが発生する場合は、最新バージョンの AWS CLI を使用しているかどうかを確認してください

put-backup-vault-lock-configuration API の使用例を以下に示します。

次のコマンドは、ガバナンスモードでバックアップボールト my_vault_to_lock1 をロックします。

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock1 --min-retention-days 1 --region us-east

次のコマンドは、コンプライアンスモードで vault my_vault_to_lock2 をロックします。猶予期間を設定するためのパラメーター、--changeable-for-days が追加されました。

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock --min-retention-days 1 --changeable-for-days 3 --region us-east

コンソールを使用して、ボールトがコンプライアンスモードとガバナンスモードのどちらでロックされているかを確認します

コンソールを使用して AWS Backup Vault Lock の詳細を確認するには、以下を実行してください。

  1. AWS Backup コンソールを開きます。
  2. ナビゲーションペインで、[バックアップボールト] を選択します。次に、[バックアップボールトロック] を選択します。
  3. ボールトロックのステータスが表示されます。

ボールトがコンプライアンスモードとガバナンスモードのどちらでロックされているかをプログラムで確認します

ボールトの AWS Backup Vault Lock の詳細を確認するには、DescribeBackupVault API または ListBackupVaults API を使用してください。

DescribeBackupVault コマンドの例を以下に示します。

aws backup describe-backup-vault --backup-vault-name s3Backup
{
    "BackupVaultName": "s3Backup",
    "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXX5457:backup-vault:s3Backup",
    "EncryptionKeyArn":
    "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",

    "CreationDate": "2022-02-23T08:45:08.904000+00:00",
    "CreatorRequestId": "xxxxxxxxx-5903d602b45a",
    "NumberOfRecoveryPoints": 0,
    "Locked": true,

    "MinRetentionDays": 1,
    "LockDate": "2023-03-26T12:05:24.117000+01:00" }

ListBackupVaults コマンドの例を以下に示します。

aws backup list-backup-vaults --region us-east-1
{
    "BackupVaultList": \[
        {
            "BackupVaultName": "Vault100",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX15457:backup-vault:Vault100",
            "CreationDate": "2021-02-21T18:45:12.611000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxx-8f3d5b584447",
            "NumberOfRecoveryPoints": 6,
            "Locked": true
        },
        {
           "BackupVaultName": "destinationvault",
           "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXXX15457:backup-vault:destinationvault",
           "CreationDate": "2022-10-03T22:56:44.129000+01:00",
           "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX15457:key/xxxxxxxxx-aa4f-48834efceebe",
           "CreatorRequestId": "xxxxxxxxxx-ea7cb20a2a01",
           "NumberOfRecoveryPoints": 5,
           "Locked": false
       },
      {
            "BackupVaultName": "s3Backup",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX5457:backup-vault:s3Backup",
            "CreationDate": "2022-02-23T08:45:08.904000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxxxx-5903d602b45a",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 1,
            "LockDate": "2023-03-26T12:05:24.117000+01:00"
        }

前述の出力例には、次の情報が含まれています。

  • s3BackupVault100 のヴォールトでは、[ロック]true に設定されているので、ヴォールトロックがオンになっています。
  • destinationvault ボールトでは、[ロック]false に設定されているので、ボールトロックがオンになっていません。
  • s3Backup ボールトでは LockDate が入力されているため、コンプライアンスモードが使用されます。
  • Vault100 ボールトでは LockDate が含まれていないため、ガバナンスモードが使用されます。

関連情報

Enhance the security posture of your backups with AWS Backup Vault Lock

AWS account closure with a locked vault

トピック
ストレージ
タグ
AWS Backup
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ