AWS CLIでAWS Backup のボールトロックを試してみた。
概要
AWS Backupボールトロックは、バックアップ ボールトのセキュリティと管理を強化する機能です。AWS Backup は、バックアップの削除またはロックされたボールトでのライフサイクル プロパティの変更を拒否します。
ボールトロックモード:
- ガバナンスモード: ガバナンスモードでロックは、特定の IAM 許可を持つユーザーが管理または削除できます。
- コンプライアンスモード: コンプライアンスモードでロックは、クーリング オフ期間の後、ルートユーザーや AWS を含め、いかなるユーザーも管理または削除できません。
この記事では、AWS CLIでAWS Backup のボールトロックを試してみました。ガバナンスモードとコンプライアンスモードの両方でボールトロックを作成してみました。
やってみた
ガバナンスモードでのボールトロックを作成する
- 次のコマンドを使用して、ガバナンスモードでボールト ロックを作成しておきます。コマンドでボールト名と保持期間を指定しておきます。
aws backup put-backup-vault-lock-configuration \
--backup-vault-name test-vault \
--min-retention-days 1 \
--max-retention-days 1 --region ap-northeast-1
ガバナンスモードのボールトロック
コンプライアンスモードでのボールトロックを作成する
- コンプライアンス モードでボールト ロックを作成するには、コマンドに「ChangeableForDays」パラメーターを含めます。
- 「ChangeableForDays」: この値は日数で表されます。この値は 3 から 36,500 の間である必要があります。このパラメーターで指定された日付まで、ボールトロックを削除できます。このパラメーターで指定された日付を過ぎると、バックアップ コンテナーは不変になります。
aws backup put-backup-vault-lock-configuration \
--backup-vault-name test-vault \
--changeable-for-days 3 \
--min-retention-days 1 \
--max-retention-days 3 --region ap-northeast-1
コンプライアンスモードのボールトロック
- 次のコマンドを使用して、ボールト ロックを削除します。
aws backup delete-backup-vault-lock-configuration \
--backup-vault-name test-vault --region ap-northeast-1
まとめ
AWS CLIでAWS Backup のボールトロックを試してみました。ボールト ロックは、バックアップに追加の保護レイヤーを提供します。
Reference: AWS Backup Vault Lock
