|
Vous pouvez désormais verrouiller des individus Magasin de blocs Amazon Elastic (Amazon EBS) instantanés afin de garantir une meilleure conformité à vos politiques de conservation des données. Les instantanés verrouillés ne peuvent pas être supprimés tant que le verrouillage n’est pas expiré ou libéré, ce qui vous permet de protéger les sauvegardes critiques contre toute suppression accidentelle ou malveillante, y compris les attaques de ransomware.
La nécessité du verrouillage
Les clients AWS utilisent des instantanés EBS pour les sauvegardes, la reprise après sinistre, la migration des données et la conformité. Les clients des services financiers et des soins de santé doivent souvent répondre à des exigences de conformité spécifiques, avec des délais de conservation prescrits, et doivent également s’assurer que les instantanés sont véritablement Write Once Read Many (WORM). Afin de répondre à ces exigences, les clients ont mis en œuvre des solutions qui utilisent plusieurs comptes AWS avec des « espaces d’air » unidirectionnels entre eux.
Verrouillage d’instantané EBS
La nouvelle fonctionnalité EBS Snapshot Lock vous aide à répondre à vos exigences de conservation et de conformité sans avoir besoin de solutions personnalisées. Vous pouvez verrouiller des instantanés EBS nouveaux et existants à l’aide d’une durée de verrouillage pouvant aller d’un jour à environ 100 ans. L’instantané est verrouillé pour la durée spécifiée et ne peut pas être supprimé.
Il existe deux modes de verrouillage :
Gouvernance – Ce mode protège les instantanés des suppressions par tous les utilisateurs. Cependant, avec les autorisations IAM appropriées, la durée du verrouillage peut être prolongée ou raccourcie, le verrou peut être supprimé et le mode peut passer du mode Gouvernance au mode Conformité.
Conformité – Ce mode protège les instantanés des actions de l’utilisateur root et de tous les utilisateurs IAM. Après une période de réflexion pouvant aller jusqu’à 72 heures, ni l’instantané ni le verrouillage ne peuvent être supprimés jusqu’à l’expiration de la durée du verrouillage, et le mode ne peut pas être modifié. Avec les autorisations IAM appropriées, la durée du verrouillage peut être prolongée, mais elle ne peut pas être raccourcie.
Les instantanés dans l’un ou l’autre mode peuvent toujours être partagés ou copiés. Ils peuvent être archivés dans le niveau d’archive d’instantanés Amazon EBS à faible coût, et des verrous peuvent être appliqués aux instantanés déjà archivés.
Utilisation du verrouillage d’instantané
Depuis la console EBS, je sélectionne un instantané (Snap-Monthly-2023-09) et je choisis Gérer le verrouillage des instantanés depuis Paramètres d’instantané dans le Actions menu:
Il s’agit d’un instantané mensuel et je souhaite le verrouiller pendant un an. je choisis Gouvernance mode et sélectionnez la durée, puis cliquez sur Enregistrer les paramètres de verrouillage:
J’essaie de le supprimer, et la suppression échoue, comme il se doit :
Maintenant, j’aimerais verrouiller l’un de mes instantanés annuels pendant 5 ans, en utilisant Conformité mode cette fois :
J’ai fixé mon délai de réflexion à 24 heures, au cas où je changerais d’avis. Peut-être dois-je effectuer une sorte d’audit ou de validation de la date finale sur l’instantané avant de m’engager à le conserver pendant cinq ans.
Par programme, je peux utiliser de nouvelles fonctions API pour établir et contrôler des verrous sur mes instantanés EBS :
LockSnapshot – Verrouillez un instantané en mode gouvernance ou conformité, ou modifiez les paramètres d’un instantané déjà verrouillé.
UnlockSnapshot – Débloquez un instantané qui est en mode gouvernance ou en mode conformité mais dans le délai de réflexion.
DescribeLockedSnapshots – Obtenir des informations sur l’état de verrouillage de mes instantanés, avec un filtrage optionnel basé sur l’état du verrouillage.
Les utilisateurs IAM doivent disposer des autorisations appropriées (ec2:lockSnapshot, ec2 : Déverrouiller l’instantanéet ec2 : DescribeLockedSnapshots) afin d’utiliser ces fonctions.
Choses à savoir
Voici quelques points à garder à l’esprit concernant cette nouvelle fonctionnalité :
Sauvegarde AWS – Sauvegarde AWS gère de manière indépendante la conservation des instantanés qu’il crée. Nous vous déconseillons de les verrouiller.
Tarifs – Il n’y a aucun frais supplémentaire pour l’utilisation de cette fonctionnalité. Vous payez les tarifs habituels pour le stockage des instantanés et des instantanés archivés.
Régions – Le verrouillage EBS Snapshot est disponible dans toutes les régions AWS commerciales.
Rétention des clés KMS – Si vous utilisez des services gérés par le client Service de gestion de clés AWS (AWS KMS) clés pour chiffrer vos volumes et instantanés EBS, vous devez vous assurer que la clé restera valide pendant toute la durée de vie de l’instantané.
— Jeff;
