开启云盘自动快照策略 - 云服务器 ECS

创建实例时云盘应开启自动快照策略定期备份重要数据。

安全风险

云盘中存储的业务数据面临着多种威胁，可能导致数据损坏或永久丢失：

人为误操作：意外删除文件、格式化磁盘或错误配置。
恶意攻击：勒索软件加密数据，或黑客入侵后恶意删除、篡改数据。
软件与应用故障：应用程序Bug或系统崩溃可能导致数据写入不一致或损坏。
硬件故障：尽管概率极低，但任何物理设备都存在失效的可能。

最佳实践

通过自动快照策略，系统将周期性地为指定的云盘创建快照，避免因人为疏忽忘记创建快照，降低数据丢失风险，提高系统的可靠性和稳定性。

控制台

通过实例购买页创建实例时，快照服务为系统盘和数据盘选择自动快照策略。

如默认策略不满足需求，可单击创建自动快照策略，完成后再进行选择。

API

使用CreateAutoSnapshotPolicy创建自动快照策略，通过timePoints参数指定自动快照备份时间，repeatWeekdays参数指定自动备份快照周期，retentionDays参数指定自动备份快照保留时间，请求成功会返回自动快照策略ID AutoSnapshotPolicyId。
使用RunInstances或者CreateInstance接口创建实例时，通过SystemDisk.AutoSnapshotPolicyId参数指定系统盘自动快照策略，DataDisk.X.AutoSnapshotPolicyId参数指定数据盘自动快照策略。

快照策略生效后，系统会自动创建备份数据，以便从快照节点恢复历史数据。操作步骤，请参见使用快照回滚云盘。

合规能力

检查：检查磁盘是否开启自动快照策略

ECS使用成熟度评估与洞察

前往ECS使用成熟度评估与洞察。
选择可靠性能力页签，单击检查项最近 7 天有创建快照进行数据备份，可以查看最近7天是否为磁盘创建过快照。

云安全中心

前往云安全中心控制台。
在左侧菜单栏选择风险治理 > 云安全态势管理，选择云产品配置风险页签，查找名为开启自动快照策略的检查项，单击操作列的扫描按钮。
若状态显示为未通过，表示存在未开启自动快照策略的实例，可单击详情进行查看。

拦截：禁止创建无自动快照策略的ECS实例

重要

当前策略在邀测中，目前支持成都、乌兰察布、呼和浩特地域。

为满足企业的安全、合规要求对重要业务数据定期备份，以应对勒索攻击威胁。ECS支持配置RAM Policy权限策略限制子账号、角色，在创建实例时，系统盘、数据盘必须绑定自动快照策略。为新购实例以及新购云盘时，判断当前新购系统盘、数据盘是否绑定自动快照策略，并把判断结果返回RAM进行鉴权，RAM定制Policy策略判断，不满足创建盘必须绑定自动快照策略要求的请求，鉴权失败则拒绝创建云盘。

针对企业用户：

使用阿里云主账号登录资源目录控制台，单击左侧菜单栏的管控策略，创建自定义权限策略，粘贴以下JSON内容。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskAutoSnapshotPolicyEnabled": "*false*"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:IsSystemDiskAutoSnapshotPolicyEnabled": "false"
        }
      },
      "Effect": "Deny"
    }
  ]
}

在资源目录中选择合适的节点绑定策略，策略将对目录下的账号产生拦截效果。

针对非企业用户：
1. 使用阿里云主账号登录RAM控制台，单击左侧菜单栏的权限策略，创建一条与上述内容相同的自定义策略。
2. 通过管理权限策略授权将该条权限策略授权给RAM用户、RAM用户组或RAM角色。

修复：为云盘设置自动快照策略

如果检查发现有实例未开启自动快照策略，可为云盘设置自动快照策略。