Nowość – Amazon EBS Snapshot Lock

27 lutego 2024

Możesz teraz blokować poszczególne migawki Amazon Elastic Block Store (Amazon EBS), aby zapewnić lepszą zgodność z zasadami przechowywania danych. Zablokowanych migawek nie można usunąć do czasu wygaśnięcia lub zwolnienia blokady, co pozwala chronić krytyczne kopie zapasowe przed przypadkowym lub złośliwym usunięciem, w tym atakami oprogramowania ransomware.

Potrzeba blokowania

Klienci AWS używają snapshotów EBS do tworzenia kopii zapasowych, odzyskiwania po awarii, migracji danych i zapewniania zgodności. Klienci z branży usług finansowych i opieki zdrowotnej często muszą spełniać określone wymagania dotyczące zgodności, mieć określone ramy czasowe przechowywania, a także muszą mieć pewność, że migawki rzeczywiście mają funkcję zapisu jednokrotnego i wielokrotnego odczytu (WORM). Aby sprostać tym wymaganiom, klienci wdrożyli rozwiązania wykorzystujące wiele kont AWS z jednokierunkowymi „przerwami powietrznymi” pomiędzy nimi.

EBS Snapshot Lock

Nowa funkcja EBS Snapshot Lock pomaga spełnić wymagania dotyczące przechowywania i zgodności bez potrzeby stosowania niestandardowych rozwiązań. Można blokować nowe i istniejące migawki EBS, korzystając z czasu trwania blokady, który może wynosić od jednego dnia do około 100 lat. Zrzut ekranu jest zablokowany na określony czas i nie można go usunąć.

Istnieją dwa tryby blokady:

  • Governance – ten tryb chroni migawki przed usunięciem przez wszystkich użytkowników. Jednakże przy odpowiednich uprawnieniach IAM można wydłużyć lub skrócić czas trwania blokady, usunąć blokadę i zmienić tryb z trybu zarządzania na tryb zgodności.
  • Compliance – ten tryb chroni migawki przed działaniami użytkownika root i wszystkich użytkowników IAM. Po okresie karencji trwającym do 72 godzin nie można usunąć ani migawki, ani blokady, dopóki nie upłynie czas trwania blokady i nie będzie można zmienić trybu. Przy odpowiednich uprawnieniach IAM czas trwania blokady można wydłużyć, ale nie można go skrócić.
  • Migawki w obu trybach można nadal udostępniać i kopiować. Można je archiwizować na niedrogiej warstwie archiwum migawek Amazon EBS, a do migawek, które zostały już zarchiwizowane, można zastosować blokady.

Korzystanie ze Snapshot Lock

W konsoli EBS wybierz migawkę (Snap-Monthly-2023-09), a następnie Manage snapshot lock z Snapshot Settings w menu Actions:

Korzystanie ze Snapshot Lock

To jest migawka miesięczna i chcesz ją zablokować na rok. Wybierz Governance i czas trwania, a następnie kliknij Save lock settings

To jest migawka miesięczna i chcesz ją zablokować na rok. Wybierz Governance i czas trwania, a następnie kliknij Save lock settings

Jak widać, próba usunięcia kończy się niepowodzeniem, tak jak powinna:

Jak widać, próba usunięcia kończy się niepowodzeniem, tak jak powinna:

Teraz autor w przykładzie chce zablokować jedną z jego rocznych migawek na 5 lat, tym razem używając trybu Compliance:

Teraz autor w przykładzie chce zablokować jedną z jego rocznych migawek na 5 lat, tym razem używając trybu Compliance:

Ustawiono okres odstąpienia od umowy na 24 godziny, na wypadek gdybym zmieniono zdanie. Być może trzeba będzie przeprowadzić jakiś audyt lub weryfikację ostatecznej daty migawki, zanim zobowiążesz się do przechowywania jej przez pięć lat.

Programowo można używać nowych funkcji API do ustanawiania i kontrolowania blokad na migawkach EBS:

  • LockSnapshot – Zablokuj migawkę w trybie zarządzania lub zgodności albo zmodyfikuj ustawienia migawki, która jest już zablokowana.
  • UnlockSnapshot – odblokuj migawkę znajdującą się w trybie zarządzania lub w trybie zgodności, ale w okresie odstąpienia od umowy.
  • DescribeLockedSnapshots – Uzyskaj informacje o stanie blokady migawek z opcjonalnym filtrowaniem na podstawie stanu blokady.

Użytkownicy IAM muszą mieć odpowiednie uprawnienia (ec2:lockSnapshot, ec2:UnlockSnapshot i ec2:DescribeLockedSnapshots), aby móc korzystać z tych funkcji.

Warto wiedzieć

Oto kilka informacji, o których warto pamiętać w przypadku tej funkcji:

  • AWS Backup – AWS Backup niezależnie zarządza przechowywaniem tworzonych migawek. Nie zaleca się ich zamykania.
  • Koszty – za korzystanie z tej funkcji nie są pobierane żadne dodatkowe opłaty. Płacisz standardowe stawki za przechowywanie migawek i zarchiwizowanych migawek.
  • Regiony – EBS Snapshot Locking jest dostępne we wszystkich komercyjnych regionach AWS.
  • KMS Key Retention – jeśli używasz zarządzanych przez klienta kluczy usługi AWS Key Management Service (AWS KMS) do szyfrowania woluminów i migawek EBS, musisz upewnić się, że klucz pozostanie ważny przez cały okres istnienia migawki.

 źródło: AWS

Case Studies
Referencje

Hostersi wsparli nas na każdym etapie projektowania i budowy infrastruktury. Finansowanie, które pomogli pozyskać nam od AWS, pozwoliło przetestować szereg różnych rozwiązań i wybrać konfigurację, która najlepiej odpowiada potrzebom naszej aplikacji. Hostersi stworzyli dla nas infrastrukturę „szytą na miarę”, którą dzięki programowi wsparcia startupów, pozyskaliśmy niemal bezkosztowo.

Wojciech Mróz
CEO & Co-founder Pagaspot
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.