如何設定 AWS Backup Vault Lock？

2 分的閱讀內容

我想為備份保管庫設定 AWS Backup Vault Lock。

解決方法

AWS Backup Vault Lock 是備份保管庫的選用功能。如需詳細資訊，請參閱 AWS Backup Vault Lock。

使用主控台將一個備份保管庫上鎖

若要將保管庫落鎖新增至備份保管庫，請完成以下步驟：

開啟 AWS Backup 主控台。
在導覽窗格中，選擇備份保管庫。然後，選擇備份保管庫落鎖。
在保管庫落鎖的運作方式或保管庫落鎖下，選擇**+ 建立保管庫落鎖**。
在保管庫落鎖詳細資訊下，選擇您要套用落鎖的備份保管庫。
在保管庫落鎖模式下，選擇治理模式或合規模式。若要取得有關選擇模式的更多資訊，請參閱保管庫落鎖模式。
對於保留期間，請選擇最短和最長的保留期間（可選最長保留期間）。只有保留期間內的備份工作才會成功。
如果您選擇合規模式，則會顯示保管庫落鎖開始日期。從建立保管庫落鎖，到保管庫及其落鎖變為不可變更為止，合規模式的保管庫落鎖有一段冷靜期。選擇冷靜期的寬限期。該期限必須至少為三天（72 小時）。
重要事項：****寬限期到期後，保管庫及其落鎖將不可改變。任何使用者或 AWS 都無法變更或刪除它。
選擇建立保管庫落鎖。
在文字方塊中輸入確認，然後勾選方塊以新增保管庫落鎖。

如果步驟已順利完成，則主控台頂端會顯示成功橫幅。

以程式設計方式鎖定備份保管庫

若要以程式設計方式設定 AWS Backup Vault Lock，請使用 PutBackupVaultLockConfiguration API。

若要在治理模式中建立保管庫落鎖，請勿包含 ChangeableForDays 參數。如果包括ChangeableForDays 參數，則會在合規模式下建立保管庫落鎖。如需詳細資訊，請參閱以程式設計方式鎖定備份保管庫。

**注意：**如果您在執行 AWS CLI 命令時收到錯誤訊息，請確認您使用的是最新版本的 AWS CLI。

以下是使用 put-backup-vault-lock-configuration API 的範例：

下列命令會以治理模式鎖定備份保管庫 my_vault_to_lock1：

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock1 --min-retention-days 1 --region us-east

下列命令會以合規模式將保管庫 my_vault_to_lock2 上鎖。添加了**--changeable-for-days參數來配置寬限時：**

aws backup put-backup-vault-lock-configuration --backup-vault-name my\_vault\_to\_lock --min-retention-days 1 --changeable-for-days 3 --region us-east

使用主控台判斷保管庫是否以合規模式或治理模式上鎖

若要使用主控台檢閱 AWS Backup Vault Lock 詳細資訊，請執行以下操作：

開啟 AWS Backup 主控台。
在導覽窗格中，選擇備份保管庫。然後，選擇備份保管庫落鎖。
顯示保管庫落鎖狀態。

判斷保管庫是否以程式設計方式上鎖在合規模式或治理模式

若要檢閱保管庫上的 AWS Backup Vault Lock 詳細資料，請使用 DescribeBackupVault 或 ListBackupVaults API。

以下是 DescribeBackupVault 命令的範例：

aws backup describe-backup-vault --backup-vault-name s3Backup
{
    "BackupVaultName": "s3Backup",
    "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXX5457:backup-vault:s3Backup",
    "EncryptionKeyArn":
    "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",

    "CreationDate": "2022-02-23T08:45:08.904000+00:00",
    "CreatorRequestId": "xxxxxxxxx-5903d602b45a",
    "NumberOfRecoveryPoints": 0,
    "Locked": true,

    "MinRetentionDays": 1,
    "LockDate": "2023-03-26T12:05:24.117000+01:00" }

以下是 ListBackupVaults 命令的範例：

aws backup list-backup-vaults --region us-east-1
{
    "BackupVaultList": \[
        {
            "BackupVaultName": "Vault100",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX15457:backup-vault:Vault100",
            "CreationDate": "2021-02-21T18:45:12.611000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXX5457:key/xxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxx-8f3d5b584447",
            "NumberOfRecoveryPoints": 6,
            "Locked": true
        },
        {
           "BackupVaultName": "destinationvault",
           "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXXX15457:backup-vault:destinationvault",
           "CreationDate": "2022-10-03T22:56:44.129000+01:00",
           "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX15457:key/xxxxxxxxx-aa4f-48834efceebe",
           "CreatorRequestId": "xxxxxxxxxx-ea7cb20a2a01",
           "NumberOfRecoveryPoints": 5,
           "Locked": false
       },
      {
            "BackupVaultName": "s3Backup",
            "BackupVaultArn": "arn:aws:backup:us-east-1:XXXXXX5457:backup-vault:s3Backup",
            "CreationDate": "2022-02-23T08:45:08.904000+00:00",
            "EncryptionKeyArn": "arn:aws:kms:us-east-1:XXXXXXX5457:key/xxxxxxxxx-e4e294b5e1ff",
            "CreatorRequestId": "xxxxxxxxxx-5903d602b45a",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 1,
            "LockDate": "2023-03-26T12:05:24.117000+01:00"
        }

上述範例輸出提供下列資訊：

因為 Locked 設定為真，s3Backup 與 Vault100 保管庫已啟用保管庫落鎖。
因為 Locked 設定為假，destinationvault 保管庫未啟用保管庫落鎖。
因為已填入 LockDate，**s3Backup ** 保管庫使用合規模式。
因為不包含 LockDate，**Vault100 ** 保管庫使用治理模式。