

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôles et mesures correctives
<a name="controls-and-remediation"></a>

Cette page répertorie les contrôles disponibles pour AWS Backup Audit Manager. Vous pouvez choisir le volet d'informations approprié pour afficher la liste des contrôles et accéder à un contrôle spécifique. Pour comparer rapidement les contrôles, consultez le tableau dans [Choix de vos contrôles](https://docs.aws.amazon.com/aws-backup/latest/devguide/choosing-controls.html). Pour définir des contrôles par programmation, consultez les extraits de code dans [Création de cadres à l'aide de l'API AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-frameworks-api.html). 

Vous pouvez utiliser jusqu'à 50 contrôles par compte et par région. L'utilisation du même contrôle dans deux frameworks différents compte comme l'utilisation de deux contrôles de la limite de 50.

Cette page répertorie chaque contrôle avec les informations suivantes :
+ Description. Les valeurs entre crochets (« [ ] ») sont les valeurs des paramètres par défaut.
+ La **ou les ressources** évaluées par le contrôle.
+ Les **paramètres** de la commande.
+ Occasion où il y a perte **de** contrôle.
+ L'**étendue** du contrôle, comme suit :
  + Vous pouvez spécifier **Ressources par type** en choisissant un ou plusieurs services pris en charge par AWS Backup.
  + Vous spécifiez une étendue des **Ressources balisées** avec une seule clé de balise et une valeur facultative.
  + Vous pouvez spécifier une ressource unique à l'aide de la liste déroulante **Ressource unique**.
+ Étapes de correction pour rendre les ressources applicables conformes.

Notez que seules les ressources actives seront incluses lorsque les contrôles évalueront la conformité des ressources. Par exemple, une instance Amazon EC2 en cours d'exécution sera évaluée par le contrôle [Le dernier point de récupération a été créé](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html#last-recovery-point-created-control). Une instance EC2 à l'état arrêté ne sera pas incluse dans l'évaluation de conformité.

## Les ressources de sauvegarde sont incluses dans au moins un plan de sauvegarde
<a name="backup-resources-protected-by-backup-plan"></a>

**Description** : Évalue si les ressources sont incluses dans au moins un plan de sauvegarde.

**Ressource :** `AWS Backup: backup selection`

**Paramètres :** Aucun

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources balisées
+ Ressources par type (par défaut)
+ Ressource unique

**Correction** : attribuez les ressources à un plan de sauvegarde. AWS Backup protège automatiquement vos ressources une fois que vous les avez attribuées à un plan de sauvegarde. Pour plus d'informations, consultez [Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html).

## Fréquence minimale du plan de sauvegarde et conservation minimale
<a name="backup-plan-minimum-frequency-and-minimum-retention"></a>

**Description** : évalue si les plans de sauvegarde contiennent au moins une règle de sauvegarde dont la fréquence de sauvegarde est d'au moins [1 jour] et la période de rétention est d'au moins [35 jours].

**Ressource :** `AWS Backup: backup plans`

**Paramètres :**
+ Fréquence de sauvegarde requise en nombre d'heures ou de jours.
+ Période de rétention requise en jours, semaines, mois ou années. Nous recommandons une période de conservation à chaud d'au moins une semaine afin de permettre AWS Backup d'effectuer des sauvegardes incrémentielles lorsque cela est possible, en évitant des frais supplémentaires.

**Se produit** : modifications de configuration

**Portée:**
+ Ressources balisées
+ Ressource unique

**Correction** : [mettez à jour un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html) pour modifier sa fréquence de sauvegarde, sa période de rétention ou les deux. La mise à jour de votre plan de sauvegarde modifie la période de rétention des points de récupération créés par le plan après votre mise à jour.

## Les coffres-forts empêchent la suppression manuelle des points de récupération
<a name="backup-prevent-recovery-point-manual-deletion"></a>

**Description** : évalue si les coffres-forts de sauvegarde n'autorisent pas la suppression manuelle des points de récupération, sauf pour certains rôles IAM.

**Ressource :** `AWS Backup: backup vaults`

**Paramètres** : Les Amazon Resource Names (ARNs) d'un maximum de cinq rôles IAM permettaient de supprimer manuellement des points de récupération.

**Se produit** : modifications de configuration

**Portée:**
+ Ressources balisées
+ Ressource unique

**Correction** : créez ou modifiez une stratégie d'accès basée sur les ressources pour un coffre-fort de sauvegarde. Pour un exemple de politique et des instructions sur la façon de définir une politique d'accès au coffre de sauvegarde, consultez[Rejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde](create-a-vault-access-policy.md#deny-access-to-delete-recovery-points).

## Les points de récupération sont chiffrés
<a name="backup-recovery-point-encrypted"></a>

**Description** : évalue si les points de récupération sont chiffrés.

**Ressource :** `AWS Backup: recovery points`

**Paramètres :** Aucun

**Se produit** : modifications de configuration

**Portée:**
+ Ressources balisées

**Correction** : configurez le chiffrement pour les points de récupération. La façon dont vous configurez le chiffrement pour les points de AWS Backup récupération varie en fonction du type de ressource.

Vous pouvez configurer le chiffrement pour les types de ressources qui prennent en charge AWS Backup la gestion complète lors de l'utilisation AWS Backup. Si le type de ressource ne prend pas en charge AWS Backup la gestion complète, vous devez configurer son chiffrement de sauvegarde en suivant les instructions de ce service, telles que le [chiffrement Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) dans le *guide de l'utilisateur d'Amazon Elastic Compute Cloud*. Pour consulter la liste des types de ressources qui prennent en charge la AWS Backup gestion complète, consultez la section «  AWS Backup  Gestion complète » du [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) tableau.

## Rétention minimale établie pour le point de récupération
<a name="backup-recovery-point-minimum-retention"></a>

**Description** : évalue si la période de rétention du point de récupération est d'au moins [35 jours].

**Ressource :** `AWS Backup: recovery points`

**Paramètres** : période de rétention du point de récupération requise en jours, semaines, mois ou années. Nous recommandons une période de conservation à chaud d'au moins une semaine afin de permettre AWS Backup d'effectuer des sauvegardes incrémentielles lorsque cela est possible, en évitant des frais supplémentaires.

**Se produit** : modifications de configuration

**Portée:**
+ Ressources balisées

**Correction** : modifiez les périodes de rétention de vos points de récupération. Pour plus d'informations, consultez [Modification d'une sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/editing-a-backup.html).

## Une copie de sauvegarde entre régions est planifiée
<a name="backup-cross-region-copy"></a>

**Description** : Évalue si une ressource est configurée pour créer des copies de ses sauvegardes AWS dans une autre région.

**Ressource :** `AWS Backup: backup selection`

**Paramètres :**
+ Sélectionnez le Région AWS ou les endroits où la copie de sauvegarde doit exister (facultatif)
+ Région

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources balisées
+ Ressources par type
+ Ressource unique

**Correction** : [mettez à jour un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html) pour modifier l' Région AWS emplacement de la copie de sauvegarde.

## Une copie de sauvegarde entre comptes est planifiée
<a name="backup-cross-account-copy"></a>

**Description** : évalue si une ressource est configurée pour créer des copies de ses sauvegardes vers un autre compte. Vous pouvez ajouter jusqu'à 5 comptes pour que le contrôle soit évalué. Le compte de destination doit se trouver dans la même organisation que le compte source dans AWS Organizations.

**Ressource :** `AWS Backup: backup selection`

**Paramètres :**
+ Sélectionnez le ou les ID de AWS compte sur lesquels la copie de sauvegarde doit exister (facultatif)
+ ID de compte

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources balisées
+ Ressources par type
+ Ressource unique

**Correction :** [mettez à jour un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html) pour modifier ou ajouter le ou les identifiants de AWS compte sur lesquels la copie doit se trouver.

## Les ressources se trouvent dans un plan de sauvegarde avec un AWS Backup coffre-fort verrouillé
<a name="backup-vault-lock-control"></a>

**Description** : évalue si une ressource possède des sauvegardes immuables stockées dans un coffre-fort de sauvegarde verrouillé.

**Ressource :** `AWS Backup: backup selection`

**Paramètres :**
+ Entrez les jours de rétention minimum et maximum pour AWS Backup Vault Lock (facultatif)
+ Nombre minimum de jours de rétention
+ Nombre maximum de jours de rétention

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources balisées
+ Ressources par type
+ Ressource unique

**Correction :** [verrouillez un coffre-fort de sauvegarde](https://docs.aws.amazon.com//aws-backup/latest/devguide/vault-lock.html#lock-backup-vault-cli) pour définir son nom, modifiez ses jours de rétention minimum ou maximum, ou les deux. Peut également inclure `ChangeableForDays` pour un verrouillage de coffre-fort en mode conformité.

## Le dernier point de récupération a été créé
<a name="last-recovery-point-created-control"></a>

**Description** : ce contrôle évalue si un point de récupération a été créé dans le délai spécifié (en jours ou en heures).

Le contrôle est conforme si un point de récupération de la ressource a été créé dans le délai spécifié. Le contrôle n'est pas conforme si aucun point de récupération n'a été créé dans le nombre de jours ou d'heures spécifié.

**Ressource :** `AWS Backup: recovery points`

**Paramètres :**
+ Entrez le délai spécifié en nombres entiers, en heures ou en jours.
+ Les valeurs `hours` peuvent être comprises entre `1` et `744`.
+ Les valeurs `days` peuvent être comprises entre `1` et `31`.

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources balisées
+ Ressources par type
+ Ressource unique

**Correction**:
+ [Mettez à jour un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html) pour modifier le délai spécifié pour la création du point de récupération.
+ En outre, vous pouvez créer une sauvegarde à la demande.

## Temps de restauration des ressources pour atteindre l’objectif
<a name="restore-time-meets-target-control"></a>

**Description** : évalue si la restauration des ressources protégées est terminée dans le délai de restauration cible.

Ce contrôle vérifie si le temps de restauration d’une ressource donnée correspond à la durée cible. La règle est NON\$1COMPLIANT si la `LatestRestoreExecutionTimeMinutes` du type de ressource est supérieure à `maxRestoreTime` exprimée en minutes.

**Paramètres :**
+ `maxRestoreTime` (en minutes)

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources balisées
+ Ressources par type
+ Ressource unique

**Note**  
AWS Backup ne fournit aucun accord de niveau de service (SLAs) pour une durée de restauration. Les temps de restauration peuvent varier en fonction de la charge et de la capacité du système, même pour les restaurations contenant les mêmes ressources.

## Des ressources dans un coffre hermétique
<a name="resources-in-lag-vault-control"></a>

**Description** : Ce contrôle évalue si les ressources ont au moins un point de récupération copié dans un coffre-fort logiquement espacé dans les limites de la valeur et du délai spécifiés. Ce contrôle est NON\$1COMPLIED si aucun point de récupération n'a été copié dans un coffre-fort logiquement espacé dans le délai configuré pour le contrôle.

**Ressource :** `AWS Backup: recovery points`

**Paramètres :**
+ `recoveryPointAgeValue`
+ `recoveryPointAgeUnit`

Entrez la période. Spécifiez l'unité dans `days` ou`hours`. Spécifiez une valeur pour cette unité. Les valeurs des heures peuvent être comprises entre `24` et `2184` inclusivement. Les valeurs des jours peuvent être comprises entre `1` et `91` inclusivement.

Une valeur minimale de `7` jours ou `168` d'heures est recommandée. La valeur de contrôle ne doit pas être plus fréquente que la fréquence de création de copies de votre plan de sauvegarde ; dans le cas contraire, vous risquez de voir un `NON_COMPLIANT` état inattendu jusqu'à ce que votre prochaine sauvegarde soit copiée dans un coffre-fort logiquement espacé et que ce contrôle soit exécuté.

**Se produit** : automatiquement toutes les 24 heures

**Portée:**
+ Ressources par type
+ Ressource unique