如何配置 AWS 备份保管库锁？

2 分钟阅读

我想为我的备份保管库配置 AWS 备份保管库锁。

解决方法

AWS 备份保管库锁是备份保管库的一项可选功能。有关详细信息，请参阅 AWS 备份保管库锁。

使用控制台锁定备份保管库

要向备份保管库添加保管库锁定，请完成以下步骤：

打开 AWS Backup 控制台。
在导航窗格中，选择备份保管库。接着，选择备份保管库锁定。
在保管库锁定的工作原理或保管库锁定下，选择 + 创建保管库锁定。
在保管库锁定详细信息下，选择要应用锁定的备份保管库。
在保管库锁定模式下，选择监管模式或合规模式。有关选择模式的详细信息，请参阅保管库锁定模式。
对于保留期，选择最短保留期和最长保留期（最长保留期为可选）。只有保留期内的备份作业才会成功。
如果您选择合规模式，则会显示保管库锁定开始日期。合规模式保管库锁定有冷却期，即从创建保管库锁定到保管库及其锁定变为不可更改的期间。为冷却期持续时间选择宽限期。期间必须至少为三天（72 小时）。
重要事项：****宽限期到期后，保管库及其锁定将不可变。任何用户或 AWS 都无法将其更改或删除。
选择创建保管库锁定。
在文本框中输入 confirm，然后选中该复选框以添加保管库锁定。

如果上述步骤都已成功完成，则控制台顶部会显示成功横幅。

以编程方式锁定备份保管库

要以编程方式配置 AWS 备份保管库锁，请使用 PutBackupVaultLockConfiguration API。

要在监管模式下创建保管库锁定，请勿包含参数 ChangeableForDays。如果包含 ChangeableForDays 参数，则会在合规模式下创建保管库锁定。有关详细信息，请参阅以编程方式锁定备份保管库。

**注意：**如果在运行 AWS CLI 命令时收到错误，确保您使用的是最新版本的 Amazon CLI。

以下是使用 put-backup-vault-lock-configuration API 的示例：

以下命令使用监管模式锁定备份保管库 my_vault_to_lock1：

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock1 --min-retention-days 1 --region us-east

以下命令使用合规模式锁定保管库 my_vault_to_lock2。添加了 --changeable-for-days 参数来配置宽限期：

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock --min-retention-days 1 --changeable-for-days 3 --region us-east

使用控制台确定是在合规模式还是监管模式下锁定保管库

要使用控制台审核 AWS 备份保管库锁详细信息，请执行以下操作：

打开 AWS Backup 控制台。
在导航窗格中，选择备份保管库。接着，选择备份保管库锁定。
将显示保管库锁定状态。

以编程方式确定是在合规模式还是监管模式下锁定保管库

要审核保管库上的 AWS 备份保管库锁详细信息，请使用 DescribeBackupVault 或 ListBackupVaults API。

以下是 DescribeBackupVault 命令的示例：

aws backup describe-backup-vault --backup-vault-name s3Backup
{
    "BackupVaultName": "s3Backup",
    "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXX5457:backup-vault:s3Backup",
    "EncryptionKeyArn":
    "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",

    "CreationDate": "2022-02-23T08:45:08.904000+00:00",
    "CreatorRequestId": "xxxxxxxxx-5903d602b45a",
    "NumberOfRecoveryPoints": 0,
    "Locked": true,

    "MinRetentionDays": 1,
    "LockDate": "2023-03-26T12:05:24.117000+01:00" }

以下是 ListBackupVaults 命令的示例：

aws backup list-backup-vaults --region us-east-1
{
    "BackupVaultList": \[
        {
            "BackupVaultName": "Vault100",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX15457:backup-vault:Vault100",
            "CreationDate": "2021-02-21T18:45:12.611000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxx-8f3d5b584447",
            "NumberOfRecoveryPoints": 6,
            "Locked": true
        },
        {
           "BackupVaultName": "destinationvault",
           "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXXX15457:backup-vault:destinationvault",
           "CreationDate": "2022-10-03T22:56:44.129000+01:00",
           "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX15457:key/xxxxxxxxx-aa4f-48834efceebe",
           "CreatorRequestId": "xxxxxxxxxx-ea7cb20a2a01",
           "NumberOfRecoveryPoints": 5,
           "Locked": false
       },
      {
            "BackupVaultName": "s3Backup",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX5457:backup-vault:s3Backup",
            "CreationDate": "2022-02-23T08:45:08.904000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxxxx-5903d602b45a",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 1,
            "LockDate": "2023-03-26T12:05:24.117000+01:00"
        }

前面的示例输出提供了以下信息：

s3Backup 保管库和 Vault100 保管库已启用保管库锁定，因为已锁定设置为 true。
destinationvault 保管库未启用保管库锁定，因为已锁定设置为 false。
s3Backup 保管库使用合规模式，因为已填充 LockDate。
Vault100 保管库使用监管模式，因为它不包含 LockDate。