AWS CLIでAWS Backup のボールトロックを試してみた。

2023.03.20

概要

AWS Backupボールトロックは、バックアップ ボールトのセキュリティと管理を強化する機能です。AWS Backup は、バックアップの削除またはロックされたボールトでのライフサイクル プロパティの変更を拒否します。

ボールトロックモード:

  • ガバナンスモード: ガバナンスモードでロックは、特定の IAM 許可を持つユーザーが管理または削除できます。
  • コンプライアンスモード: コンプライアンスモードでロックは、クーリング オフ期間の後、ルートユーザーや AWS を含め、いかなるユーザーも管理または削除できません。

この記事では、AWS CLIでAWS Backup のボールトロックを試してみました。ガバナンスモードとコンプライアンスモードの両方でボールトロックを作成してみました。

 

やってみた

ガバナンスモードでのボールトロックを作成する

  • 次のコマンドを使用して、ガバナンスモードでボールト ロックを作成しておきます。コマンドでボールト名と保持期間を指定しておきます。
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name test-vault \
        --min-retention-days 1 \
        --max-retention-days 1 --region ap-northeast-1

 

ガバナンスモードのボールトロック

 

コンプライアンスモードでのボールトロックを作成する

  • コンプライアンス モードでボールト ロックを作成するには、コマンドに「ChangeableForDays」パラメーターを含めます。
  • 「ChangeableForDays」: この値は日数で表されます。この値は 3 から 36,500 の間である必要があります。このパラメーターで指定された日付まで、ボールトロックを削除できます。このパラメーターで指定された日付を過ぎると、バックアップ コンテナーは不変になります。
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name test-vault \
        --changeable-for-days 3 \
        --min-retention-days 1 \
        --max-retention-days 3 --region ap-northeast-1

 

コンプライアンスモードのボールトロック

 

  • 次のコマンドを使用して、ボールト ロックを削除します。
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name test-vault --region ap-northeast-1

まとめ

AWS CLIでAWS Backup のボールトロックを試してみました。ボールト ロックは、バックアップに追加の保護レイヤーを提供します。

Reference:  AWS Backup Vault Lock