本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制與補救
<a name="controls-and-remediation"></a>

此頁面列出 AWS Backup Audit Manager 的可用控制項。您可以選擇正確的資訊窗格查看控制項清單，並跳至特定的控制項。若要快速比較控制項，請參閱[選擇您的控制項](https://docs.aws.amazon.com/aws-backup/latest/devguide/choosing-controls.html)中的資料表。若要以程式設計方式定義控制項，請參閱[使用 AWS Backup API 建立架構](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html)中的程式碼片段。

每個區域每個帳戶最多可以使用 50 個控制項。在兩個不同的架構中使用相同的控制項，在 50 個控制項的限制中會計為使用了兩個控制項。

本頁面會列出每個控制項，並包含下列資訊：
+ 描述。方括號 ("[ ]") 中的值是預設參數值。
+ 控制項評估**的資源 (s)**。
+ 控制項的**參數**。
+ 執行控制時發生的次數****。
+ 控制項**的範圍**，如下所示：
  + 您可以選擇一或多項 AWS Backup支援的服務，指定 **依類型分類的資源**。
  + 您可以使用單一標籤索引鍵和選用值來指定 **標記的資源** 範圍。
  + 您可以使用 **單一資源** 下拉式清單指定單一資源。
+ 將適用資源納入合規性的修補步驟。

請注意，當控制項評估資源是否合規時，只會包含作用中的資源。例如，處於執行中狀態的 Amazon EC2 執行個體將由 [已建立最後復原點](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html#last-recovery-point-created-control) 控制項進行評估。但停止狀態下的 EC2 執行個體則不會包含在合規評估中。

## 備份資源包含於至少一個備份計畫中
<a name="backup-resources-protected-by-backup-plan"></a>

**描述**：評估資源是否包含在至少一個備份計畫中。

**資源：**`AWS Backup: backup selection`

**參數：**無

**發生次數**：每 24 小時自動一次

**範圍：**
+ 標記的資源
+ 依類型分類的資源 (預設值)
+ 單一資源

**修補**：將資源指派給備份計畫。 AWS Backup 在您將資源指派給備份計畫後，會自動保護資源。如需詳細資訊，請參閱[將資源指派到備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## 備份計畫最低頻率和最短保留期間
<a name="backup-plan-minimum-frequency-and-minimum-retention"></a>

**描述**：評估備份計畫是否包含至少一項備份規則，其備份頻率至少為 [1 天] 且保留期間至少為 [35 天]。

**資源：**`AWS Backup: backup plans`

**參數：**
+ 所需的備份頻率按小時或天數計算。
+ 所需備份頻率的數值。小時不可超過 24 個小時，天數不可超過 31 天。
+ 所需的保留期間按天數、週數、月數或年數計算。我們建議暖儲存保留至少一週， AWS Backup 以便 盡可能進行增量備份，避免產生額外費用。

**發生**：組態變更

**範圍：**
+ 標記的資源
+ 單一資源

**修補**：[更新備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html) 以變更其備份頻率、保留期間或兩者皆變更。更新備份計畫會在您更新後，變更計畫建立的復原點保留期間。

## 保存庫可防止手動刪除復原點
<a name="backup-prevent-recovery-point-manual-deletion"></a>

**描述**：評估備份文件庫是否不允許手動刪除復原點，但特定 IAM 角色不在此限。

**資源：**`AWS Backup: backup vaults`

**參數**：最多允許五個 IAM 角色的 Amazon Resource Name (ARN) 手動刪除復原點。

**發生**：組態變更

**範圍：**
+ 標記的資源
+ 單一資源

**修補**：建立或修改備份文件庫的資源型存取政策。如需如何設定備份保存庫存取政策的範例政策和指示，請參閱 [拒絕對刪除備份文件庫中復原點的存取](create-a-vault-access-policy.md#deny-access-to-delete-recovery-points)。

## 復原點已加密
<a name="backup-recovery-point-encrypted"></a>

**描述**：評估復原點是否已加密。

**資源：**`AWS Backup: recovery points`

**參數：**無

**發生**：組態變更

**範圍：**
+ 標記的資源

**修補**：設定復原點加密。您設定 AWS Backup 復原點加密的方式會因資源類型而有所不同。

您可以為支援使用 中完整 AWS Backup 管理的資源類型設定加密 AWS Backup。如果資源類型不支援完整 AWS Backup 管理，您必須遵循 [Amazon Elastic Compute Cloud 使用者指南中的 Amazon EBS 加密等服務指示來設定其備份加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **若要查看支援完整 AWS Backup 管理的資源類型清單，請參閱[各資源的功能可用性](backup-feature-availability.md#features-by-resource)資料表的「完整 AWS Backup 管理」一節。

## 為復原點建立的最短保留期
<a name="backup-recovery-point-minimum-retention"></a>

**描述**：評估復原點保留期間是否至少為 [35 天]。

**資源：**`AWS Backup: recovery points`

**參數**：所需的復原點保留期間按天數、週數、月數或年數計算。我們建議暖儲存保留期間至少為一週， AWS Backup 以便 盡可能進行增量備份，避免產生額外費用。

**發生**：組態變更

**範圍：**
+ 標記的資源

**修補**：變更復原點的保留期間。如需詳細資訊，請參閱[編輯備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/editing-a-backup.html)。

## 已排程跨區域備份副本
<a name="backup-cross-region-copy"></a>

**描述**：評估資源是否設定為建立其備份到另一個 AWS 區域的複本。

**資源：**`AWS Backup: backup selection`

**參數：**
+ 選取備份複本應存在的 AWS 區域（選用）
+ 區域

**發生次數**：每 24 小時自動一次

**範圍：**
+ 標記的資源
+ 依類型分類資源
+ 單一資源

**修復**：[更新備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以變更備份複本應存在 AWS 區域 的 。

## 已排程跨帳戶備份副本
<a name="backup-cross-account-copy"></a>

**描述**：評估是否將資源設定為在其他帳戶下建立備份副本。供控制項評估的帳戶最多可新增 5 個。目的地帳戶必須與 AWS Organizations中的來源帳戶位於同一組織。

**資源：**`AWS Backup: backup selection`

**參數：**
+ 選取備份複本應存在 AWS 的帳戶 ID （選用）
+ 帳戶 ID

**發生：**每 24 小時自動一次

**範圍：**
+ 標記的資源
+ 依類型分類資源
+ 單一資源

**修復**：[更新備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以變更或新增複本應存在 AWS 的帳戶 ID （帳戶 ID)。

## 資源正在具有保存 AWS Backup 庫鎖定的備份計畫中
<a name="backup-vault-lock-control"></a>

**描述**：評估資源是否將不可變的備份儲存在鎖定的備份文件庫中。

**資源：**`AWS Backup: backup selection`

**參數：**
+ 輸入保存庫鎖定的最短和最長保留天數 AWS Backup （選用）
+ 最短保留天數
+ 最長保留天數

**發生：**每 24 小時自動一次

**範圍：**
+ 標記的資源
+ 依類型分類資源
+ 單一資源

**修補**：[鎖定備份文件庫](https://docs.aws.amazon.com//aws-backup/latest/devguide/vault-lock.html#lock-backup-vault-cli) 以設定其名稱、變更其最短保留天數、最長保留天數或兩者皆變更。也可以包含 `ChangeableForDays` 以在合規模式下鎖定保存庫。

## 已建立最後復原點
<a name="last-recovery-point-created-control"></a>

**描述**：此控制項會評估是否已在指定的時間範圍內建立復原點 (按天數或小時計算)。

如果資源已在指定的時間範圍內建立復原點，則控制項即符合規範。如果資源未在指定的天數或小時數內建立復原點，控制項即不符合規範。

**注意**  
此控制項只會評估在相同帳戶和區域中建立的復原點。此控制項不會評估從另一個帳戶複製的復原點。

**資源：**`AWS Backup: recovery points`

**參數：**
+ 以整數輸入指定的時間範圍，以小時或天數為單位。
+ `hours` 值可以從 `1` 到 `744`。
+ `days` 值可以從 `1` 到 `31`。

**發生次數**：每 24 小時自動一次

**範圍：**
+ 標記的資源
+ 依類型分類資源
+ 單一資源

**修補**：
+ [更新備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html) 以變更建立復原點的指定時間範圍。
+ 此外，您可以建立隨需備份。

## 資源的還原時間符合目標
<a name="restore-time-meets-target-control"></a>

**描述**：評估受保護資源的還原是否在目標還原時間內完成。

此控制項會檢查特定資源的還原時間是否符合目標持續時間。如果資源類型的 `LatestRestoreExecutionTimeMinutes` 大於 `maxRestoreTime` (以分鐘為單位)，則該規則為「NON\_COMPLIANT」。

**參數：**
+ `maxRestoreTime` (以分鐘為單位)

**發生次數**：每 24 小時自動一次

**範圍：**
+ 標記的資源
+ 依類型分類資源
+ 單一資源

**注意**  
AWS Backup 在還原時間內不提供任何服務層級協議 (SLAs)。還原時間可能會根據系統負載和容量而有所不同，即使是包含相同資源的還原也是如此。

## 邏輯氣隙隔離保存庫中的資源
<a name="resources-in-lag-vault-control"></a>

**描述**：此控制項會評估資源是否至少有一個復原點複製到指定值和時間範圍內的邏輯氣隙隔離保存庫。如果在為控制項設定的時間範圍中，復原點尚未複製到邏輯氣隙隔離保存庫，則此控制項為「NON\_COMPLIANT」。

**資源：**`AWS Backup: recovery points`

**參數：**
+ `recoveryPointAgeValue`
+ `recoveryPointAgeUnit`

輸入時段。在 `days`或 中指定單位`hours`。指定該單位的值。小時的值可以介於 `2184` `24`到 內。天的值可以介於 `91` `1`到 內。

建議最小值為 `7` 天或 `168` 小時。控制值不應比備份計劃的複製建立頻率更頻繁；否則，您可能會看到非預期`NON_COMPLIANT`的狀態，直到下一個備份複製到邏輯氣隙隔離保存庫，並執行此控制。

**發生**：每 24 小時自動一次

**範圍：**
+ 依類型分類資源
+ 單一資源