如何在 AWS Backup 中生成审计报告？

简短描述

您可以使用 AWS Backup Audit Manager 报告来查看有关备份、恢复和拷贝任务状态的信息。AWS Backup Audit Manager 有两种类型的审计报告：备份报告和合规报告。备份报告会监控您账户的备份活动，然后报告您必须解决的任何故障。合规报告提供有关您的备份活动和资源如何符合您在框架中设置的控制措施的信息。

要创建审计报告，请完成以下步骤：

1. 选择报告模板。
2. 创建报告计划。
3. 允许 AWS Backup Audit Manager 每日提供报告，或创建按需报告。

解决方法

**请注意：**如果在运行 AWS 命令行界面（AWS CLI）命令时收到错误，请确保您使用的是最新的 AWS CLI 版本。

选择报告模板

报告模板按报告计划说明报告中包含的信息。您可以选择使用备份报告模板或合规报告模板。

创建报告计划

要创建报告计划，请使用 AWS Backup 控制台或 CreateReportPlan API 调用。

报告计划与备份计划类似，因为您可以自动创建审计报告。为此，请在配置报告计划的 AWS 账户中分配一个 Amazon Simple Storage Service（Amazon S3）桶。然后，使用这个 Amazon S3 桶来交付您的报告。

要使用 AWS Backup 控制台创建报告计划，请完成以下步骤：

1. 打开 AWS Backup 控制台。
2. 在导航窗格中的 Backup Audit Manager 下，选择报告。
3. 选择创建报告计划。
4. 在报告模板下，从下拉列表中选择一个报告模板。
5. 输入报告计划名称和报告计划描述。（可选）选择向报告计划添加标签，以向计划添加标签。
6. 要仅为您当前登录的账户生成报告，请在账户下选择仅我的账户。如果您使用的是管理账户，则可以在报告计划中包含多个账户。为此，请选择我的组织中的一个或多个账户。此选项仅适用于管理账户。
   请注意：如果您选择了我的组织中的一个或多个账户，则 AWS Backup 会为指定账户中的所有现有框架创建报告。如果账户或区域中没有框架，则 AWS Backup 会生成一份空报告。
7. 从下拉列表中选择您的 AWS 区域和该区域的相应框架。然后，选择添加框架。如果您选择使用备份报告模板，或者选择了我的组织中的一个或多个账户选项，请跳过此步骤。有关添加框架的更多信息，请参阅使用审计框架。
   请注意：您可以选择在报告中包含多个区域。选择下拉列表以显示可用区域，或选择所有可用区域。
8. 为您的报告选择文件格式。您可以将所有报告导出为一个 .csv 文件。您也可以按 JSON 格式导出某个区域和某个账户的报告。
9. 在选择用于交付报告的 Amazon S3 桶下，选择要向其交付报告的 S3 桶名称。（可选）您也可以在这个 S3 桶中选择一个前缀。
10. 选择创建报告计划。

创建报告计划后，AWS Backup Audit Manager 会自动生成 S3 桶访问策略供您使用。请参阅以下 S3 桶访问策略示例：

{  "Version":"2012-10-17",  "Statement":[    {      "Effect":"Allow",      "Principal":{        "AWS":"arn:aws:iam::11111111:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"      },      "Action":"s3:PutObject",      "Resource":[        "arn:aws:s3:::BucketName/*"      ],      "Condition":{        "StringEquals":{          "s3:x-amz-acl":"bucket-owner-full-control"        }      }    }  ]}

您的 S3 桶可能会使用自定义 AWS Key Management Service（AWS KMS）密钥进行加密。在这种情况下，请确保密钥政策将 AWS Backup 作为用户包含在内。请参阅以下 CMK 策略示例，该策略允许 AWS Backup 以用户身份访问加密的 S3 桶：

{  "Version":"2012-10-17",  "Statement":[    {      "Effect":"Allow",      "Principal":{        "AWS":"arn:aws:iam::11111111:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"      },      "Action":[                "kms:GenerateDataKey",                "kms:Encrypt"            ],      "Resource":[        "*"      ]    }  ]}

允许 AWS Backup Audit Manager 每日提供报告，或创建按需报告

AWS Backup Audit Manager 会向您配置的 S3 桶每日提供一份报告。报告交付时间可能会有所不同，因为 AWS Backup Audit Manager 会随机分配交付过程以保持其性能。

要创建按需报告，请完成以下步骤：

1. 打开 AWS Backup 控制台。
2. 在导航窗格中的 Backup Audit Manager 下，选择报告。
3. 在报告计划名称下，选择一个报告计划。
4. 选择创建按需报告。

**请注意：**没有在特定日期之间生成备份报告的原始选项。您可以使用 AWS Backup 控制台查看过去 30 天的任务。但是，您不能将此数据导出为报告。作为替代方案，请运行以下 AWS CLI 命令以 .csv 文件的形式列出和收集备份任务：

aws backup list-backup-jobs --by-created-before 2023-02-02 --by-created-after 2023-03-01 --max-results 1000 --output text > sample-report.csv

要筛选数据，请添加其他参数，例如 —by-state。