26탄-13. AWS Backup Vault Lock
AWS Backup Vault Lock
부주의하거나 악의적인 삭제로부터 백업 볼트의 백업(복구시점)을 보호하는 추가 방어 계층
Audit Manager
비즈니스 및 규제 요구 사항을 충족하는데 도움이 되는 데이터 보호 정책의 준수를 감사하고 보고 할 수 있는 서비스
<1> AWS Backup Vault Lock 란?
<2> Vault Lock 모드 2가지
<3> AWS Backup Vault Lock 실습
<4> AWS Backup Audit Manager
<1> AWS Backup Vault Lock 란?
1
Vault Lock 확성화 되면 고객, 계정/데이터 소유자 또는 AWS가 볼트 구성 변경 또는 삭제 불가.
단, 유예기간 동안은 삭제 또는 변경 가능.
2
각 볼트에는 하나의 Vault Lock 설정만 가능
3
부주의하거나 악의적인 삭제로부터 백업 볼트의 백업(복구시점)을 보호하는 추가 방어 계층
4
권한 있는 사용자(AWS루트 사용자 포함)의 조기 삭제를 방비하고, 조직의 데이터 보호정책 및 절차를 충족하는 보존기간 시행
<2> Vault Lock 모드 2가지
1
거버넌스 모드?
충분한 IAM 권한이 있는 사용자만 볼트 관리 가능
직원만 백업 볼트 변경 가능
2
규정 준수 모드?
저장 소가 잠기면 변경 불가 (잠금 제거 불가)
사용자나 AWS가 변경하거나 삭제할 수 없음.
볼트가 잠기고 변경할 수 없게 되기 전에 사용자가 설정할 수 있는 유예기간은 존재한다.
데이터 보존 기간이 완료될 때까지 절대 삭제되거나 변경을 못한다. 데이터는 안전하다.
<3> AWS Backup Vault Lock 실습
미리 백업할 RDS 리소스 만들어놓는다.
1
AWS Backup Vault 생성부터 한다.
Create Backup Vault
2
리소스는 RDS로 선택한다.
3
Recovery point선택 - Edit 선택
현재는 리소스의 보유기간 수정이 가능하다.
4
Cli로 AWS Backup Vault의 Lock 상태를 확인한다.
aws backup describe-backup-vault --backup-vault-name
5
유예기간, 최소 보유 기간, 최대 보유기간을 설정한다.
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--changeable-for-days 3 \
--min-retention-days 7 \
--max-retention-days 30
https://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/vault-lock.html
6
삭제 테스티
Recovery point선택 - Delete 선택 - 삭제가 되지 않음을 확인
7
기존 설정으로 초기화
aws backup describe-backup-vault --backup-vault-name
<4> AWS Backup Audit Manager
1
비즈니스 및 규제 요구 사항을 충족하는데 도움이 되는 데이터 보호 정책의 준수를 감사하고 보고 할 수 있는 서비스
2
정의한 데이터 보호정책의 위반을 자동으로 감지하고 수정 조치를 취하라는 메시지를 표시하도록 함
3
백업 활동을 지속적으로 평가하고 규제 요구 사항 준수를 입증하는데 도움이 되는 감사 보고서 생성
4
AWS Backup Audit Manager Frameworks로 9가지를 평가한다.
5
AWS Backup Audit Manager Report는 작업 보고서와 규정 준수 보고서 2개를 제공한다.
6
작업 보고서?
24시간 동안 완료된 모든 작업과 모든 활성 작업에 대한 보고서
7
규정 준수 보고서?
리소스 수준 또는 적용되는 다양한 제어를 모니터링 보고서
다음 과정
https://brunch.co.kr/@topasvga/2996
감사합니다.
