Como faço para gerar relatórios de auditoria no AWS Backup?

Breve descrição

Você pode usar os relatórios do AWS Backup Audit Manager para receber informações sobre o status das tarefas de backup, restauração e cópia. O AWS Backup Audit Manager tem dois tipos de relatórios de auditoria: backup e conformidade. Os relatórios de backup monitoram a atividade de backup da sua conta e, depois, relatam falhas que precisam ser resolvidas. Os relatórios de conformidade fornecem informações sobre como suas atividades e recursos de backup estão em conformidade com os controles definidos nas estruturas.

Para criar um relatório de auditoria, conclua as seguintes etapas:

1. Selecione um modelo de relatório.
2. Crie planos de relatório.
3. Permita que o AWS Backup Audit Manager entregue relatórios diários ou crie um relatório sob demanda.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está utilizando a versão mais recente da AWS CLI.

Escolha um modelo de relatório

Um modelo de relatório descreve as informações incluídas nos relatórios por planos de relatório. Você pode escolher entre usar um modelo de relatório de backup ou um modelo de relatório de conformidade.

Crie um plano de relatório

Para criar planos de relatório, use o console do AWS Backup ou a chamada da API CriePlanoDeRelatório.

Os planos de relatório são semelhantes aos planos de backup porque você pode automatizar a criação de relatórios de auditoria. Para fazer isso, aloque um bucket do Amazon Simple Storage Service (Amazon S3) na conta da AWS em que o plano de relatório está configurado. Em seguida, use o bucket do Amazon S3 para a entrega de seus relatórios.

Para usar o console do AWS Backup para criar um plano de relatório, conclua as seguintes etapas:

1. Abra o console do AWS Backup.
2. No painel de navegação, no Backup Audit Manager, selecione Relatórios.
3. Selecione Criar plano de relatório.
4. Em Modelo de relatório, selecione um dos modelos de relatório na lista suspensa.
5. Insira um Nome do plano de relatório e uma descrição do plano de relatório. (Opcional) Selecione Adicionar etiquetas ao plano de relatório para adicionar etiquetas ao seu plano.
6. Para gerar relatórios somente para a conta à qual você está conectado no momento, em Contas, selecione Somente minha conta. Se você estiver usando uma conta de gerenciamento, poderá incluir várias contas no plano de relatórios. Para fazer isso, selecione Uma ou mais contas na minha organização. Essa opção está disponível somente para contas de gerenciamento.
   Observação: se você escolher ** Uma ou mais contas na minha organização**, o AWS Backup criará relatórios para todos os frameworks existentes nas contas especificadas. Se não houver estruturas em uma conta ou região, o AWS Backup gerará um relatório vazio.
7. Na lista suspensa, escolha sua região da AWS e o framework correspondente dessa região. Em seguida, escolha Adicionar estrutura. Se você optou por usar um Modelo de relatório de backup ou se usou a opção Uma ou mais contas na minha organização, ignore esta etapa. Para obter mais informações sobre como adicionar estruturas, consulte Como trabalhar com frameworks de auditoria. 
   Observação: Você pode selecionar diversas regiões para incluir em seu relatório. Selecione a lista suspensa para mostrar as regiões disponíveis ou selecione Todas as regiões disponíveis.
8. Escolha o formato de arquivo para seu relatório. Você pode exportar todos os relatórios como um arquivo .csv. Você também pode exportar relatórios para uma região e uma conta no formato JSON.
9. Em Selecione um bucket do Amazon S3 para entrega de relatório, escolha o nome do bucket do S3 para o qual você deseja entregar os relatórios. (Opcional) Você também pode escolher um prefixo no bucket do S3.
10. Selecione Criar plano de relatório.

Depois de criar o plano de relatório, o AWS Backup Audit Manager gera automaticamente uma política de acesso ao bucket do S3 para você aplicar. Veja o seguinte exemplo de política de acesso ao bucket do S3:

{  "Version":"2012-10-17",  "Statement":[    {      "Effect":"Allow",      "Principal":{        "AWS":"arn:aws:iam::11111111:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"      },      "Action":"s3:PutObject",      "Resource":[        "arn:aws:s3:::BucketName/*"      ],      "Condition":{        "StringEquals":{          "s3:x-amz-acl":"bucket-owner-full-control"        }      }    }  ]}

Seu bucket do S3 pode ser criptografado usando uma chave personalizada do AWS Key Management Service (AWS KMS). Nesse caso, a política de chaves deve incluir o AWS Backup como usuário. Veja o seguinte exemplo de política de CMK que permite o AWS Backup como usuário em um bucket criptografado do S3:

{  "Version":"2012-10-17",  "Statement":[    {      "Effect":"Allow",      "Principal":{        "AWS":"arn:aws:iam::11111111:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"      },      "Action":[                "kms:GenerateDataKey",                "kms:Encrypt"            ],      "Resource":[        "*"      ]    }  ]}

Permita que o AWS Backup Audit Manager entregue relatórios diários ou crie um relatório sob demanda

O AWS Backup Audit Manager entrega um relatório diário para o bucket do S3 que você configurou. O tempo de entrega do relatório pode variar porque o AWS Backup Audit Manager randomiza o processo de entrega para manter seu desempenho.

Para criar um relatório sob demanda, conclua as seguintes etapas:

1. Abra o console do AWS Backup.
2. No painel de navegação, no Backup Audit Manager, selecione Relatórios.
3. Em Nome do plano de relatório, escolha um plano de relatório.
4. Escolha Criar relatório sob demanda.

Observação: não há uma opção nativa para gerar relatórios de backup entre datas específicas. Você pode usar o console do AWS Backup para ver os trabalhos dos últimos 30 dias. No entanto, você não pode exportar esses dados como um relatório. Em vez disso, execute o seguinte comando da AWS CLI para listar e reunir tarefas de backup como um arquivo .csv:

aws backup list-backup-jobs --by-created-before 2023-02-02 --by-created-after 2023-03-01 --max-results 1000 --output text > sample-report.csv

Para filtrar os dados, inclua parâmetros adicionais, como —by-state.