Como configuro uma Trava de Segurança do AWS Backup?

4 minuto de leitura

Quero configurar uma Trava de Segurança do AWS Backup do meu cofre de backup.

Resolução

A Trava de Segurança do AWS Backup é um recurso opcional de um cofre de backup. Para obter mais informações, consulte Trava de Segurança do AWS Backup.

Bloquear um cofre de backup usando o console

Para adicionar um bloqueio de cofre ao seu cofre de backup, conclua as seguintes etapas:

Abra o console do AWS Backup.
No painel de navegação, escolha Cofres de backup. Em seguida, escolha Bloqueio de cofre de backup.
Em Como funcionam os bloqueios de cofre ou Bloqueios de cofre, escolha + Criar bloqueio de cofre.
Em Detalhes do bloqueio de cofre, escolha o cofre de backup ao qual você deseja aplicar o bloqueio.
No Modo de bloqueio de cofre, escolha o modo Governança ou o modo Conformidade. Para obter mais informações sobre como escolher seus modos, consulte Modos de bloqueio de cofre.
Em Período de retenção, escolha os períodos mínimo e máximo de retenção (o período máximo de retenção é opcional). Somente trabalhos de backup dentro dos períodos de retenção são bem-sucedidos.
Se você escolher o modo de conformidade, a Data de início do bloqueio de cofre será exibida. Um bloqueio de cofre em modo de conformidade tem um período de resfriamento desde a criação do bloqueio até que o cofre e seu bloqueio se tornem imutáveis. Escolha um período de carência para a duração do período de resfriamento. O período deve ser de pelo menos três dias (72 horas).
Importante: Depois que o tempo de carência expirar, o cofre e sua trava se tornarão imutáveis. Isso não pode ser alterado ou excluído por nenhum usuário ou pela AWS.
Escolha Criar bloqueio de cofre.
Digite confirmar na caixa de texto e marque a caixa para adicionar o bloqueio de cofre.

Se as etapas forem concluídas com êxito, um banner Bem-sucedida aparecerá na parte superior do console.

Bloquear um cofre de backup programaticamente

Para configurar programaticamente uma Trava de Segurança do AWS Backup, use a API PutBackupVaultLockConfiguration.

Para criar um bloqueio de cofre no modo de governança, não inclua o parâmetro ChangeableForDays. Se o parâmetro ChangeableForDays for incluído, o bloqueio do cofre será criada no modo de conformidade. Para obter mais informações, consulte Bloquear um cofre de backup programaticamente.

Observação: se receber erros ao executar comandos da AWS CLI, verifique se você está usando a versão mais recente da AWS CLI.

Veja a seguir exemplos de uso da API put-backup-vault-lock-configuration:

O comando a seguir bloqueia o cofre de backup my_vault_to_lock1 com o modo de governança:

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock1 --min-retention-days 1 --region us-east

O comando a seguir bloqueia o vault my_vault_to_lock2 com o modo de conformidade. O parâmetro --changeable-for-days é adicionado para configurar o tempo de carência:

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock --min-retention-days 1 --changeable-for-days 3 --region us-east

Determinar se um cofre está bloqueado no modo de conformidade ou governança usando o console

Para revisar os detalhes de uma Trava de Segurança do AWS Backup usando o console, faça o seguinte:

Abra o console do AWS Backup.
No painel de navegação, escolha Cofres de backup. Em seguida, escolha Bloqueio de cofre de backup.
O status do bloqueio do cofre é exibido.

Determinar se um cofre está bloqueado programaticamente no modo de conformidade ou governança

Para revisar os detalhes da Trava de Segurança do AWS Backup em um cofre, use as APIs DescribeBackupVault ou ListBackupVaults.

Veja a seguir um exemplo do comando DescribeBackupVault:

aws backup describe-backup-vault --backup-vault-name s3Backup
{
    "BackupVaultName": "s3Backup",
    "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXX5457:backup-vault:s3Backup",
    "EncryptionKeyArn":
    "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",

    "CreationDate": "2022-02-23T08:45:08.904000+00:00",
    "CreatorRequestId": "xxxxxxxxx-5903d602b45a",
    "NumberOfRecoveryPoints": 0,
    "Locked": true,

    "MinRetentionDays": 1,
    "LockDate": "2023-03-26T12:05:24.117000+01:00" }

Veja a seguir um exemplo do comando ListBackupVaults:

aws backup list-backup-vaults --region us-east-1
{
    "BackupVaultList": \[
        {
            "BackupVaultName": "Vault100",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX15457:backup-vault:Vault100",
            "CreationDate": "2021-02-21T18:45:12.611000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxx-8f3d5b584447",
            "NumberOfRecoveryPoints": 6,
            "Locked": true
        },
        {
           "BackupVaultName": "destinationvault",
           "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXXX15457:backup-vault:destinationvault",
           "CreationDate": "2022-10-03T22:56:44.129000+01:00",
           "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX15457:key/xxxxxxxxx-aa4f-48834efceebe",
           "CreatorRequestId": "xxxxxxxxxx-ea7cb20a2a01",
           "NumberOfRecoveryPoints": 5,
           "Locked": false
       },
      {
            "BackupVaultName": "s3Backup",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX5457:backup-vault:s3Backup",
            "CreationDate": "2022-02-23T08:45:08.904000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxxxx-5903d602b45a",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 1,
            "LockDate": "2023-03-26T12:05:24.117000+01:00"
        }

O exemplo de saída anterior fornece as seguintes informações:

Os cofres s3Backup e Vault100 têm um bloqueio de cofre ativada porque Travado está definido como true.
O cofre destinationvault não tem um bloqueio de cofre ativada porque Travado está definido como false.
O cofre s3Backup usa o modo de conformidade porque LockDate está preenchido.
O cofre Vault100 usa o modo de governança porque não contém LockDate.

Informações relacionadas

Melhorar a postura de segurança de seus backups com a Trava de Segurança do AWS Backup

Encerramento da conta da AWS com um cofre bloqueado

Tópicos

Armazenamento

Conteúdo relevante

Por que recebo um erro de acesso negado ao tentar criar um cofre do AWS Backup?
AWS OFICIALAtualizada há 9 meses
Como posso interromper um backup contínuo do Amazon RDS no AWS Backup?
AWS OFICIALAtualizada há um ano
Como excluir um ponto de recuperação a partir de um cofre de backup no AWS Backup?
AWS OFICIALAtualizada há um ano
Como faço para criar um backup contínuo ou periódico do Amazon S3 no AWS Backup?
AWS OFICIALAtualizada há um ano