Primäre Backups zu logischen Air-Gapped Vaults - AWS Backup
ÜbersichtFunktionsweiseKostenüberlegungenKonfigurieren Sie das primäre Vault-Backup mit logischem Air-GappedÜberwachen Sie das primäre Vault-Backup mit logischem Air-GapOnboarding und MigrationFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Primäre Backups zu logischen Air-Gapped Vaults

Übersicht

Die primäre Backup-Funktion mit logischem Air-Gapped bietet Ihnen die Möglichkeit, einen Tresor mit logischem Air-Gapped als primäres Backup-Ziel innerhalb desselben Kontos anzugeben, und zwar sowohl für geplante als auch für On-Demand-Backup-Jobs. Dadurch entfällt die Notwendigkeit, separate Kopien sowohl in einem Standard-Backup-Tresor als auch in einem Tresor mit logischem Air-Gap zu verwalten, was die Kosten senkt und Arbeitsabläufe vereinfacht, während gleichzeitig die Sicherheitsvorteile des logischen Air-Gappings erhalten bleiben.

In Backup-Plänen, unternehmensweiten Richtlinien oder On-Demand-Backups können Sie einen Tresor mit logischem Air-Gapped als primäres Ziel festlegen. Bisher mussten Sie zur Sicherung in einem Tresor mit logischem Air-Gap zunächst ein Backup in einem Backup-Tresor erstellen und es dann in einen Tresor mit logischem Air-Gap kopieren. Mit dieser Funktion AWS Backup können Sie je nach Ressourcentyp Backups direkt in Ihrem Tresor mit logischem Air-Gap erstellen oder temporäre Backups automatisch verwalten, die in Ihren Tresor mit logischem Air-Gapped kopiert und dann gelöscht werden.

Das Verhalten hängt von zwei Faktoren ab:

Warnung

Wenn Sie diese Funktion nutzen, empfehlen wir Ihnen, Ihre Tresore mit logischem Air-Gapped mit Multi-Party Approval (MPA) zu integrieren. Dadurch können Backups im Tresor auch dann wiederhergestellt werden, wenn auf das Konto, dem der Tresor gehört, nicht zugegriffen werden kann.

Für diese Funktion gibt es keine neuen Preise. Ihnen werden nur Backups in Tresoren mit logischem Air-Gap und temporäre Snapshots (während der Aufbewahrungszeit im System) für entsprechende Ressourcen zu den jeweils geltenden Tarifen in Rechnung gestellt. Weitere Informationen finden Sie unter AWS Backup Preise.

Funktionsweise

Sie können diese Funktion nutzen, indem Sie Ihren bestehenden Backup-Plan aktualisieren oder einen neuen erstellen und einen Vault-ARN (Feldname:TargetLogicallyAirGappedBackupVaultArn) mit logischem Air-Gapped als primäres Backup-Ziel hinzufügen. Sie können diesen Vorgang entweder über die AWS Backup Konsole oder über AWS Backup CLI-Befehle ausführen.

"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",

Wenn Sie sowohl einen Backup-Tresor als auch einen Tresor mit logischem Air-Gap als Ziele für Ihre Backup-Jobs angeben, AWS Backup bestimmt der entsprechende Workflow auf der Grundlage des Ressourcentyps und der Verschlüsselungskonfiguration.

Unterstützte Ressourcen für primäres Backup in Tresoren mit logischem Air-Gap

Die vollständige Liste der unterstützten Ressourcen für Tresore mit logischem Air-Gap finden Sie unter Verfügbarkeit der Funktionen. AWS Backup Alle Ressourcen, die Tresore mit logischem Air-Gap unterstützen, folgen dem Prinzip, dass bei Verwendung dieser Funktion nur eine Kopie Ihres Backups gespeichert wird, anstatt zwei separate Kopien zu speichern.

Warnung

Für Ressourcen, die derzeit nicht für diese Funktion unterstützt werden, wird ihre Unterstützung möglicherweise in future aktiviert. In diesem Fall beginnt Ihre neu unterstützte Ressource automatisch mit der Sicherung im Tresor mit logischem Air-Gap. Dabei wird der oben dargestellte Arbeitsablauf verwendet.

Überlegungen und Einschränkungen:

  • Nur dasselbe Konto und dieselbe Region — Ihr logischer Air-Gap-Tresor muss sich in demselben AWS Konto und derselben Region wie Ihre Ressourcen befinden, um diese Funktion nutzen zu können. Sie können Backups nicht direkt konto- oder regionsübergreifend erstellen. Wir empfehlen, Backups in einem Tresor mit logischem Air-Gap in derselben Region zu speichern, um eine schnellere Wiederherstellung zu ermöglichen, ohne dass eine Kopie erforderlich ist. Wenn Sie eine Kopie Ihrer Daten in einer zweiten Region für Disaster Recovery (DR) benötigen, empfehlen wir entweder eine regionsübergreifende Replikation Ihrer primären Ressourcen für ein schnelles Failover oder regionsübergreifende Wiederherstellungspunktkopien in einen gesperrten Backup-Tresor.

  • Einschränkungen bei der Verwendung AWS verwalteter Schlüssel — Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen und mit AWS verwalteten Schlüsseln verschlüsselt sind (z. B.aws/rds)aws/ebs, können nicht in Tresore mit logischem Air-Gap kopiert werden. Diese Ressourcen müssen mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt oder unverschlüsselt sein. Für Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, gilt diese Einschränkung nicht.

  • Sicherungshäufigkeit und gleichzeitige Kopien — Stellen Sie bei Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen, sicher, dass Ihre Sicherungshäufigkeit ausreichend Zeit für die Fertigstellung der Kopien bietet. Wenn Backups häufiger geplant werden, als Kopien abgeschlossen werden können, werden Kopieraufträge in eine Warteschlange gestellt und können irgendwann fehlschlagen. Hinweise zu den Beschränkungen für gleichzeitige Kopien finden Sie unter Kontingente.

  • Lebenszykluskompatibilität — Der in Ihrem Backup-Plan angegebene Aufbewahrungszeitraum muss mit den Mindest- und Höchstaufbewahrungszeiträumen kompatibel sein, die für Ihren Logic Air-Gapped Vault konfiguriert sind.

  • Gesperrte Backup-Tresore — Wenn in Ihrem Ziel-Backup-Tresor eine Tresorsperre aktiviert ist, können temporäre Wiederherstellungspunkte nicht manuell gelöscht werden. Sie werden aufbewahrt, bis entweder der Kopiervorgang abgeschlossen ist oder die Aufbewahrungsfrist abgelaufen ist.

  • Testen, Indizieren und Scannen wiederherstellen — Bei Wiederherstellungstests, bei der Indizierung von Wiederherstellungspunkten und beim Scannen auf Schadsoftware werden temporäre Wiederherstellungspunkte mit einem Lebenszyklus ignoriert. DELETE_AFTER_COPY Die Indizierung von Wiederherstellungspunkten unterstützt keine Wiederherstellungspunkte in einem Tresor mit logischem Air-Gap. Das Scannen auf Schadsoftware unterstützt keine geplanten Scans kopierter Wiederherstellungspunkte. Dazu gehören automatische Kopien, die als Teil primärer Backups in den Tresor mit logischem Air-Gap erstellt wurden.

Ressourcen zur Unterstützung der vollständigen Verwaltung AWS Backup

Einige Ressourcentypen, wie Amazon EFS, Amazon S3, Amazon DynamoDB mit AWS Backup erweiterten Funktionen usw., die die vollständige AWS Backup Verwaltung unterstützen, können direkt in Ihrem Logical Air-Gapped Vault gesichert werden. In Ihrem Backup-Tresor wird kein Wiederherstellungspunkt erstellt, und es ist kein Kopiervorgang erforderlich. Für alle geplanten Kopieraktionen in Ihrem Backup-Plan wird der Recovery Point in Ihrem Tresor mit logischem Air-Gap als Quelle verwendet.

Ressourcen, die kontinuierliche Backups unterstützen, wie Amazon S3, können auch kontinuierliche Backups direkt in einem Tresor mit logischem Air-Gap durchführen.

Eine Liste der Ressourcentypen, die vollständige AWS Backup Verwaltung und Tresore mit logischem Air-Gap unterstützen, finden Sie unter Verfügbarkeit von Funktionen nach Ressourcen in den Spalten „Vollständige Verwaltung“ und „Tresore mit logischem Air-Gap“.

AWS Backup Ressource unterstützt keine vollständige Verwaltung

Ressourcen wie Amazon EBS/EC2, Amazon Aurora und Amazon FSx können keine direkten Backups in Tresoren mit logischem Air-Gap erstellen. AWS Backup Erstellt für diese Ressourcentypen einen temporären Wiederherstellungspunkt in Ihrem Backup-Tresor und kopiert ihn dann automatisch in Ihren Tresor mit logischem Air-Gap.

Für den temporären Erholungspunkt gibt es eine spezielle Lebenszykluseinstellung namens. DELETE_AFTER_COPY Sobald der Kopiervorgang in Ihren Tresor mit logischem Air-Gap erfolgreich abgeschlossen wurde, AWS Backup wird der temporäre Erholungspunkt automatisch gelöscht. Alle anderen geplanten Kopieraktionen in Ihrem Backup-Plan beginnen parallel mit der Kopie in Ihren Tresor mit logischem Air-Gap und wirken sich nicht auf Ihr derzeitiges Kopiererlebnis aus.

Wenn die Kopie in Ihren Tresor mit logischem Air-Gap fehlschlägt, wird der temporäre Wiederherstellungspunkt gemäß dem von Ihnen angegebenen Aufbewahrungszeitraum in Ihrem Backup-Tresor aufbewahrt. Auf diese Weise wird sichergestellt, dass Sie nach Abschluss eines Backup-Jobs immer über einen verwendbaren Erholungspunkt verfügen. Wenn der Wiederherstellungspunkt später manuell in den Tresor mit logischem Air-Gap kopiert wird, wird er gemäß der Regel automatisch bereinigt. DELETE_AFTER_COPY

Warnung

Ressourcen, die mit AWS verwalteten Schlüsseln verschlüsselt wurden (z. B.aws/ebs), werden für das Kopieren in Tresore mit logischem Air-Gap nicht unterstützt. Diese Ressourcen müssen mit einem vom AWS Key Management Service Kunden verwalteten Schlüssel verschlüsselt oder unverschlüsselt sein. Für Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, gilt diese Einschränkung nicht.

Nach dem Kopierzyklus löschen

Temporäre Wiederherstellungspunkte verfügen über ein neues Lebenszyklusattribut DeleteAfterEvent mit dem WertDELETE_AFTER_COPY. Dieses Attribut gibt an, dass der Recovery Point automatisch gelöscht wird, wenn alle Kopieraufträge abgeschlossen sind oder nach Ablauf der von Ihnen angegebenen Aufbewahrungszeit, je nachdem, was zuerst eintritt.

Ein temporärer Erholungspunkt wird gelöscht, wenn alle der folgenden Bedingungen erfüllt sind:

  • Alle automatischen und geplanten Kopieraufträge wurden abgeschlossen.

  • Es wurde ein Kopierauftrag für Ihren Ziel-Tresor mit logischem Air-Gap abgeschlossen, dessen Aufbewahrungsdauer mindestens so lang ist wie der des Quell-Wiederherstellungspunkts.

Wenn Sie das manuelle Löschen des temporären Wiederherstellungspunkts während laufender Kopien verhindern möchten, sollten Sie einen gesperrten Backup-Tresor als Ziel-Backup-Tresor verwenden.

Kontinuierliches Backup für Resource unterstützt keine vollständige AWS Backup Verwaltung

Wenn Sie für Ressourcen wie Amazon Aurora Continuous Backup aktivieren, AWS Backup wird ein kontinuierlicher Wiederherstellungspunkt in Ihrem Backup-Tresor erstellt und ein temporärer Snapshot erstellt, der in Ihren Tresor mit logischem Air-Gap kopiert wird. Der temporäre Snapshot wird immer gelöscht, nachdem der Kopiervorgang abgeschlossen ist, unabhängig davon, ob der Kopiervorgang erfolgreich ist oder nicht, da Sie in Ihrem Backup-Tresor einen kontinuierlichen Wiederherstellungspunkt beibehalten.

Wenn Sie in Ihrem Backup-Tresor keinen Continuous Recovery Point für Amazon Aurora erstellen möchten, sondern einen Continuous Recovery Point für Amazon S3 in Ihrem Tresor mit logischem Air-Gap wünschen, können Sie die Einstellung Continuous Backup (EnableContinuousBackup) im aktuellen Plan deaktivieren und S3 Continuous von einem anderen Plan aus aktivieren.

Weitere Informationen zum Aurora-Backup-Speicher finden Sie unter Grundlegendes zur Nutzung des Amazon Aurora Aurora-Backup-Speichers.

Nicht unterstützte Ressourcen

Wenn ein Ressourcentyp von Tresoren mit logischem Air-Gap nicht unterstützt wird oder wenn eine nicht vollständig verwaltete Ressource mit einem AWS verwalteten Schlüssel verschlüsselt ist, wird das Backup nur in Ihrem Backup-Tresor AWS Backup erstellt. Es wird nicht versucht, eine Kopie in Ihren Tresor mit logischem Air-Gap zu kopieren. Der Backup-Job wurde erfolgreich abgeschlossen und es wird eine Meldung angezeigt, die angibt, warum das Backup nicht in Ihren Tresor mit logischem Air-Gap verschoben wurde.

Kostenüberlegungen

  • Für diese Funktion fallen keine neuen Gebühren an. Sie zahlen nur für den Speicher in Ihren Tresoren.

  • Bei Ressourcen, die eine vollständige AWS Backup Verwaltung unterstützen, kann die ausschließliche Aufbewahrung von Backups in Ihrem Tresor mit logischem Air-Gap zu erheblichen Kosteneinsparungen im Vergleich zur Aufbewahrung von zwei Sicherungskopien sowohl in einem Backup-Tresor als auch in einem Tresor mit logischem Air-Gapped führen.

  • Bei Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen, werden Ihnen sowohl der temporäre Wiederherstellungspunkt in Ihrem Backup-Tresor als auch die Wiederherstellungspunkte in Ihrem Tresor mit logischem Air-Gap in Rechnung gestellt.

    • Sie können immer noch erhebliche Kosteneinsparungen erzielen, wenn Sie nur eine einzige Sicherungskopie aufbewahren. Diese Einsparungen können jedoch je nach Backup-Häufigkeit und Änderungsrate variieren.

    • Niedrigere Backup-Frequenzen führen in der Regel zu größeren Einsparungen, da temporäre Wiederherstellungspunkte Speicherplatz für einen kürzeren Prozentsatz Ihres Abrechnungszeitraums belegen.

    • Einige Ressourcen haben eine Mindestabrechnungsdauer, wodurch die Kosten für temporäre Wiederherstellungspunkte steigen.

  • Deaktivieren Sie das Abrufen von Tags oder ACLs Metadaten in Ihrer Backup-Konfiguration, wenn Sie diese S3-Funktionen nicht verwenden. Dadurch werden API-Aufrufe und die damit verbundenen Gebühren für Metadatenprüfungen bei Kopiervorgängen reduziert.

Konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped

Sie können das primäre Vault-Backup mit logischem Air-Gapped über die AWS Backup Konsole, die, oder die Backup-Richtlinien konfigurieren. AWS CLI AWS CloudFormation AWS Organizations

Einen Backup-Plan konfigurieren

Console
So konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped für einen Backup-Plan

  1. Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com

  2. Wählen Sie im Navigationsbereich Backup-Pläne und dann Backup-Plan erstellen aus oder wählen Sie einen vorhandenen Backup-Plan zur Bearbeitung aus.

  3. Geben Sie im Abschnitt Konfiguration der Backup-Regel Ihre Backup-Regeleinstellungen an.

  4. Wählen Sie für Backup-Tresor den Backup-Tresor aus, in dem temporäre Wiederherstellungspunkte gespeichert werden (für nicht vollständig verwaltete Ressourcen) oder in dem Backups gespeichert werden, wenn sie nicht in Ihrem Tresor mit logischem Air-Gap platziert werden können.

  5. Wählen Sie für Tresor mit logischem Air-Gap (optional) den Tresor mit logischem Air-Gap aus, in dem Ihre Backups gespeichert werden sollen.

    Anmerkung

    Der Tresor mit logischem Air-Gap muss sich in demselben Konto und derselben Region wie Ihr Backup-Tresor befinden.

  6. Konfigurieren Sie die übrigen Einstellungen für die Backup-Regel, einschließlich Lebenszyklus- und Kopieroptionen.

  7. Wählen Sie Plan erstellen oder Änderungen speichern.

AWS CLI

Verwenden Sie den CLI-Befehl, create-backup-planum einen neuen Plan update-backup-planzu erstellen oder einen vorhandenen Plan zu aktualisieren und den TargetLogicallyAirGappedBackupVaultArn Parameter in Ihre Backup-Regel aufzunehmen.

Beispiel für einen CLI-Befehl zum Erstellen eines Backup-Plans mithilfe eines JSON-Dokuments:

aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json

Beispiel für einen CLI-Befehl zum Erstellen eines Backup-Plans direkt in CLI:

aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'

Konfigurieren Sie das Backup auf Abruf

Console
So konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped für ein On-Demand-Backup

  1. Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com

  2. Wählen Sie im Navigationsbereich Geschützte Ressourcen aus.

  3. Wählen Sie auf der Seite Geschützte Ressourcen die Option On-Demand-Backup erstellen aus.

  4. Wählen Sie den Ressourcentyp und den Ressourcen-ARN aus, die Sie sichern möchten.

  5. Wählen Sie für Backup-Tresor den Backup-Tresor aus.

  6. Wählen Sie für Logically Air-Gapped Tresor (optional) den Tresor mit logischem Air-Gapped aus, in dem das Backup gespeichert werden soll.

  7. Konfigurieren Sie die übrigen Einstellungen und wählen Sie Backup auf Abruf erstellen.

AWS CLI

Verwenden Sie den start-backup-job Befehl mit dem neuen --logically-air-gapped-backup-vault-arn Parameter:

aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35

Überwachen Sie das primäre Vault-Backup mit logischem Air-Gap

Sie können den Status Ihrer Backups und Kopieraufträge über die AWS Backup Konsole oder über Amazon EventBridge Events überwachen. AWS CLI

Auf Backup-Jobs achten

Überwachen Sie den Status der Backup-Jobs (DescribeBackupJob), um sicherzustellen, dass Ihre Ressourcen geschützt bleiben. Ein fehlgeschlagener Backup-Job weist darauf hin, dass kein Erholungspunkt erstellt wurde.

  • Überprüfen Sie den Speicherort für die Erstellung des Wiederherstellungspunkts — Wenn ein Backup-Job erfolgreich abgeschlossen wurde, haben Sie entweder in Ihrem Ziel-Backup-Tresor oder in Ihrem Ziel-Tresor mit logischem Air-Gap einen Wiederherstellungspunkt. Überprüfen Sie das BackupVaultArn Feld, um festzustellen, wo der Recovery Point erstellt wurde.

  • Auftragsstatus überprüfen — Wenn eine Ressource nicht von Tresoren mit logischem Air-Gap unterstützt wird, wird der Backup-Job mit der Meldung „Von“ LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED und einer Statusmeldung abgeschlossen, in MessageCategory der erklärt wird, warum das Backup stattdessen in Ihrem Backup-Tresor erstellt wurde.

  • Überprüfen Sie den Typ des temporären Wiederherstellungspunkts — Suchen Sie nach dem RecoveryPointLifecycle.DeleteAfterEvent Feld mit dem Wert von, um zu überprüfen, ob es sich um einen temporären Wiederherstellungspunkt handelt. DELETE_AFTER_COPY

Überwachen Sie die Anzahl der Kopieraufträge

Überwachen Sie Kopieraufträge (ListCopyJobs) in Ihren Tresor mit logischem Air-Gap auf Fehler. Ein fehlgeschlagener Kopierauftrag bedeutet, dass Ihr Recovery Point in Ihrem Standard-Backup-Tresor verbleibt, ohne dass ein logischer Air-Gap-Schutz erforderlich ist.

  • Status des Kopierauftrags überprüfen — Sie können den Status des Kopierauftrags anhand des vorhandenen Ereignisses überwachen. Copy Job State Change EventBridge Filtern Sie optional nach dem Zieldepot (destinationBackupVaultArn), um den Fokus auf Tresorkopien mit logischem Air-Gap zu legen.

  • Kopien für einen Quellwiederherstellungspunkt verifizieren — Verwenden Sie die ListCopyJobsAPI mit dem neuen BySourceRecoveryPointArn Filter, um alle Kopieraufträge zu finden, die mit einem bestimmten Wiederherstellungspunkt verknüpft sind, einschließlich automatischer Kopien in Ihren Tresor mit logischem Air-Gap und geplanten Kopien an andere Ziele.

  • Überprüfen Sie das Löschen des temporären Wiederherstellungspunkts — Verfolgen Sie den Abschluss des Löschvorgangs des temporären Wiederherstellungspunkts. Wenn der Status des RUNNING Kopierauftrags lautet, wurde der Wiederherstellungspunkt noch nicht gelöscht. Wenn die Kopie in Ihrem Tresor mit logischem Air-Gap gespeichert wurdeFAILED, wird der Recovery Point für den von Ihnen angegebenen Aufbewahrungszeitraum aufbewahrt.

Anmerkung

Die Aufzeichnungen von Kopieraufträgen laufen ab und werden 30 Tage nach Abschluss gelöscht. Nach Ablauf dieses Zeitraums können Sie ListCopyJobs den Status historischer Kopien nicht mehr ermitteln.

Überwachen Sie den Erholungspunkt

Suchen Sie nach EXPIRED Wiederherstellungspunkten (ListRecoveryPointsByBackupVault), was darauf hindeutet, dass sie nicht gelöscht werden AWS Backup konnten (möglicherweise aufgrund fehlender Berechtigungen). EXPIREDWiederherstellungspunkte können sich auf Kosten auswirken.

  • Überprüfen Sie den Status des Wiederherstellungspunkts — Verwenden Sie das bestehende EventBridge Ereignis zur Änderung des Wiederherstellungspunkts, um die Ablaufzeiten zu überwachen.

  • Überprüfen Sie das Löschen des temporären Wiederherstellungspunkts — Falls ein Recovery Point, der noch nicht gelöscht wurde, ermitteln Sie mithilfe der ListCopyJobs API den Grund, wie oben beschrieben. DeleteAfterEvent: DELETE_AFTER_COPY

Onboarding und Migration

Wenn Sie derzeit Kopieraktionen verwenden, um Backups in einen Tresor mit logischem Air-Gap zu kopieren, können Sie zur Kostensenkung auf ein primäres Backup mit logischem Air-Gapped Tresor migrieren. Sie können auch Ihre bestehenden kontinuierlichen Amazon S3 S3-Backups von einem Backup-Tresor in einen Tresor mit logischem Air-Gap migrieren. In diesem Handbuch werden die Voraussetzungen und Schritte erläutert, die für die Migration zur primären Backup-Funktion des Tresors mit logischem Air-Gapped erforderlich sind.

Voraussetzungen und bewährte Methoden

Bevor Sie die primäre Backup-Funktion von Vault mit logischem Air-Gap effektiv nutzen können, müssen einige Voraussetzungen und empfohlene bewährte Methoden erfüllt sein.

Voraussetzungen

Derzeit unterstützt ein Tresor mit logischem Air-Gapped als primäres Backup-Ziel nur Backups innerhalb desselben AWS Kontos und AWS derselben Region wie Ihre Backup-Ressourcen. Tresor-Backups mit logischem Air-Gap werden grundsätzlich in separaten Dienstkonten gespeichert, wodurch eine kontoübergreifende und organisationsübergreifende Isolierung gewährleistet wird, ohne dass Kopien auf separate Konten erforderlich sind. Wenn Sie regionsübergreifende Backups benötigen, verwenden Sie weiterhin den Tresor mit logischem Air-Gapped als Kopierziel. Stellen Sie vor der Migration zu dieser Funktion sicher, dass Sie die folgenden Anforderungen erfüllen:

  • Regions- und Kontoanforderungen

    • Ihr Tresor mit logischem Air-Gap muss sich in demselben AWS Konto und derselben Region befinden wie Ihre Ressourcen

  • Kompatibilität mit Ressourcen

    • Vergewissern Sie sich unter Verfügbarkeit von Funktionen nach Ressourcen, dass Ihre Ressourcen durch Tresore mit logischem Air-Gap unterstützt werden.

    • Prüfen Sie, ob Ihre Ressourcen die vollständige AWS Backup Verwaltung unterstützen oder nicht. Die Erfahrung mit der Erstellung von Air-Gap-Backups unterscheidet sich zwischen diesen beiden Ressourcentypen, auch wenn das Ergebnis für beide ähnlich ist.

  • Anforderungen an die Verschlüsselung

    • Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen, müssen entweder unverschlüsselt oder mit vom Kunden verwalteten Schlüsseln (CMKs) verschlüsselt werden. AWS Mit Managed Key (AMK) verschlüsselte Ressourcen werden von einem Tresor mit logischem Air-Gap nicht unterstützt.

Bewährte Methoden

  • Beginnen Sie mit einer Pilotmigration unkritischer Ressourcen.

  • Überprüfen und passen Sie die Häufigkeit der Backups auf der Grundlage der Leistung von Kopieraufträgen an.

  • Implementieren Sie vor der vollständigen Migration eine umfassende Überwachung.

  • Überprüfen Sie regelmäßig, ob die Wiederherstellungspunkte in den dafür vorgesehenen Tresoren erstellt wurden.

Planen Sie Ihre Migration

  • Überprüfen Sie die bestehenden Backup-Pläne und -Richtlinien.

  • Identifizieren Sie, welche Ressourcen die vollständige AWS Backup Verwaltung unterstützen und welche nicht.

    • Ressourcen, die das vollständige AWS Backup Management unterstützen (z. B. EFS, S3) — können direkt in einen Tresor mit logischem Air-Gap gesichert werden

    • Ressourcen, die kein vollständiges AWS Backup Management unterstützen (z. B. EBS EC2, FSx) — erfordern eine temporäre Sicherung im Backup-Tresor, bevor sie in den Logical-Air-Gapped-Tresor kopiert werden

  • Überprüfen Sie Ihr aktuelles Backup-Volumen und die Häufigkeit Ihrer Backups und stellen Sie sicher, dass Ihre Konfiguration den Limits für gleichzeitige Kopien für alle Ressourcen entspricht, die kein vollständiges Management unterstützen. AWS Backup

    • Überspringen Sie diesen Schritt, wenn Sie bereits mit derselben Häufigkeit wie Ihre Standard-Tresor-Backups in einen Tresor mit logischem Air-Gap kopieren.

    • Erwägen Sie, die Häufigkeit der Backups bei Bedarf anzupassen, um zu verhindern, dass Kopieraufträge in die Warteschlange gestellt werden.

    • Wenn es zu einer Warteschlange für Kopieraufträge kommt, haben Sie in Ihrem Standard-Backup-Tresor immer noch einen verwendbaren Wiederherstellungspunkt, bis der Kopiervorgang in Ihren Tresor mit logischem Air-Gap abgeschlossen ist. Dieser Recovery Point bietet jedoch nicht das Schutzniveau, das Logically Air-Gapped Tresor bietet.

Ressourcen, die den Migrationspfad zur vollständigen Verwaltung AWS Backup unterstützen

Bei vollständig verwalteten Ressourcen können Sie Daten direkt in Ihrem Tresor mit logischem Air-Gap sichern, ohne dass Kopiervorgänge erforderlich sind.

Für Backups, die auf Snapshots basieren

Dieser Prozess gilt für alle Snapshot-Szenarien, unabhängig davon, ob Ihr Backup-Tresor gesperrt ist. Wenn Sie einen vorhandenen Backup-Plan migrieren oder einen vorhandenen Backup-Tresor (primär) und einen Logic-Air-Gap-Tresor (Kopie) in einem neuen Backup-Plan verwenden:

  1. Behalten Sie Ihren vorhandenen Backup-Tresor bei oder fügen Sie ihn als Backup-Ziel hinzu (). TargetBackupVaultName Dieser Tresor speichert keine Backups, muss aber aus Gründen der Abwärtskompatibilität bereitgestellt werden.

  2. Aktualisieren Sie Ihren Backup-Plan so, dass er den Tresor mit logischem Air-Gap (TargetLogicallyAirGappedBackupVaultArn), der sich in demselben Konto befindet, als primäres Ziel enthält.

  3. Prüfen Sie alle bestehenden Kopieraktionen in einen anderen Tresor mit logischem Air-Gap, um festzustellen, ob sie noch benötigt werden. Sie können diesen Tresor in Schritt 2 auch als primäres Ziel verschieben, wenn er sich in demselben Konto befindet.

Für kontinuierliche Amazon S3 S3-Backups

Logischerweise unterstützt Air-Gapped Vault als primäres Backup-Ziel kontinuierliche Backups für Amazon S3. Sie können jedoch nur einen aktiven kontinuierlichen Wiederherstellungspunkt pro Ressource in einem einzigen Tresor verwalten. Wenn Sie bereits über einen aktiven Amazon S3 Continuous Recovery Point verfügen, müssen Sie ihn trennen oder löschen, bevor Sie einen neuen in einem anderen Tresor erstellen können. Wenn Sie Ihrem Backup-Plan ein Vault-Ziel mit logischem Air-Gap (von demselben Konto) hinzufügen, das über einen aktiven kontinuierlichen Amazon S3 S3-Wiederherstellungspunkt verfügt, schlägt der kontinuierliche Backup-Job fehl.

So migrieren Sie Ihren Amazon S3 S3-Continuous-Recovery-Point von einem entsperrten Backup-Tresor zu Ihrem Logic Air-Gap-Speicher:

  1. Aktualisieren Sie Ihren Backup-Plan, um Ihrem Tresor mit logischem Air-Gap eine Kopieraktion hinzuzufügen. Dadurch sinken Ihre Kosten für die Erstellung des ersten Backups in Ihrem Tresor mit logischem Air-Gap. Überspringen Sie diesen Schritt, wenn Sie bereits Daten in Ihren lokalen Tresor mit logischem Air-Gap kopieren.

  2. Stellen Sie sicher, dass mindestens eine Snapshot-Kopie in Ihrem Tresor mit logischem Air-Gap erfolgreich abgeschlossen wurde, bevor Sie fortfahren.

  3. Trennen Sie den bestehenden Amazon S3 Continuous Recovery Point. Rufen Sie die DisassociateRecoveryPointAPI auf, um den Status des Wiederherstellungspunkts von VERFÜGBAR auf GESTOPPT zu ändern. Durch diese Aktion werden Ihre vorhandenen Backup-Daten beibehalten und gleichzeitig verhindert, dass neue Daten hinzugefügt werden.

  4. Aktualisieren Sie den Backup-Plan, um den Tresor (TargetLogicallyAirGappedBackupVaultArn) mit logischem Air-Gapped als Backup-Ziel hinzuzufügen.

  5. Entfernen Sie alle vorherigen Kopieraktionen aus dem Plan.

  6. Bei der nächsten Ausführung des Backup-Plans wird ein neuer kontinuierlicher Wiederherstellungspunkt in Ihrem Tresor mit logischem Air-Gap erstellt. Dieser Wiederherstellungspunkt wird inkrementell und basiert auf dem kopierten Snapshot aus Schritt 1.

So migrieren Sie Ihren Amazon S3 S3-Continuous-Recovery-Point von einem gesperrten Backup-Tresor zu Ihrem Logic Air-Gap-Speicher:

  1. Aktualisieren Sie Ihren Backup-Plan, um Ihrem Tresor mit logischem Air-Gap eine Kopieraktion hinzuzufügen. Dadurch sinken Ihre Kosten für die Erstellung des ersten Backups in Ihrem Tresor mit logischem Air-Gap. Überspringen Sie diesen Schritt, wenn Sie bereits Daten in Ihren lokalen Tresor mit logischem Air-Gap kopieren.

  2. Stellen Sie sicher, dass mindestens eine Snapshot-Kopie in Ihrem Tresor mit logischem Air-Gap erfolgreich abgeschlossen wurde, bevor Sie fortfahren. Stellen Sie sicher, dass der kopierte Snapshot über einen ausreichend langen Aufbewahrungszeitraum verfügt, um verfügbar zu bleiben, bis Sie alle Schritte abgeschlossen haben.

  3. Fügen Sie den Tresor mit logischem Air-Gap als primäres Ziel hinzu und entfernen Sie alle Kopieraktionen.

    1. Dieser Schritt ist erforderlich, da gesperrte Tresore die Trennung von kontinuierlichen Wiederherstellungspunkten nicht unterstützen.

    2. Ihr vorhandener Continuous Recovery Point im gesperrten Backup-Tresor sammelt weiterhin Daten an, bis er entsprechend seinem Lebenszyklus abläuft.

    3. Neue kontinuierliche Backup-Jobs schlagen fehl, da pro Ressource nur ein aktiver kontinuierlicher Wiederherstellungspunkt existieren kann. Da diese Jobs fehlschlagen, werden keine Kopieraktionen ausgeführt.

  4. Warten Sie, bis der bestehende Continuous Recovery Point abläuft. Nach Ablauf wird im Tresor mit logischem Air-Gap ein neuer Continuous Recovery Point erstellt. Dieser Wiederherstellungspunkt wird auf der Grundlage des kopierten Snapshots aus Schritt 1 inkrementell berechnet, sofern der Snapshot noch in Ihrem Tresor mit logischem Air-Gap vorhanden ist.

  5. Alle in Ihrem Standardspeicher gesammelten Daten gehen nach Ablauf verloren. Nur Daten, die nach der Erstellung des neuen Wiederherstellungspunkts im Tresor mit Logical-Air-Gaps gesichert wurden, werden beibehalten.

Ressourcen, die den Migrationspfad für die vollständige AWS Backup Verwaltung nicht unterstützen

Nicht vollständig verwaltete Ressourcen erfordern einen Kopiervorgang in den Tresor mit logischem Air-Gap. Bei diesem Vorgang wird in Ihrem Standard-Backup-Tresor ein temporärer (kostenpflichtiger) Recovery Point erstellt, der automatisch in Ihren Tresor mit logischem Air-Gap kopiert und nach Abschluss des Kopiervorgangs gelöscht wird. Wenn Sie Ihren Backup-Plan so aktualisieren, dass er ein Tresor-Ziel mit logischem Air-Gap enthält, gehen Sie wie folgt vor:

  • Backup-Jobs erstellen einen Wiederherstellungspunkt in Ihrem Backup-Tresor. Dieser Lebenszyklus ist vom DELETE_AFTER_COPY Ereignis abhängig.

  • Ein Kopierauftrag leitet automatisch die Übertragung des Wiederherstellungspunkts in Ihren Tresor mit logischem Air-Gap ein.

  • Nachdem der Kopiervorgang erfolgreich abgeschlossen wurde, wird der temporäre Erholungspunkt in Ihrem Tresor gelöscht.

  • Wenn der Kopiervorgang fehlschlägt, wird der temporäre Recovery Point für eine maximale Dauer gemäß dem von Ihnen angegebenen Aufbewahrungszeitraum aufbewahrt, sodass sichergestellt ist, dass Sie über einen verwendbaren Recovery Point verfügen.

Fehlerbehebung

Der Backup- oder Kopierauftrag schlägt mit einem Lebenszyklus-Inkompatibilitätsfehler fehl

Fehler bei Backup-Jobs: Backup job failed because the lifecycle is outside the valid range for backup vault.

Fehler bei Kopierjobs: Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.

Mögliche Ursache: Backup- oder Kopieraufträge schlagen fehl, weil der Aufbewahrungszeitraum nicht mit den Mindest- oder Höchstaufbewahrungseinstellungen des Logic Air-Gapped Tresors vereinbar ist.

Lösung: Aktualisieren Sie Ihren Backup-Plan und geben Sie einen Aufbewahrungszeitraum an, der innerhalb der für Ihren Logic Air-Gap-Speicher konfigurierten Mindest- und Höchstaufbewahrungszeiträume liegt.

Kontinuierliche Backup-Jobs schlagen mit der Meldung „Kontinuierliches Backup ist bereits aktiviert“ fehl

Fehler: Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.

Mögliche Ursache: Kontinuierliche Backup-Jobs schlagen fehl, weil es in einem anderen Tresor bereits einen kontinuierlichen Wiederherstellungspunkt für die Ressource gibt.

Lösung: Jede Ressource kann nur über einen kontinuierlichen Wiederherstellungspunkt verfügen. Wenn Ihr Backup-Tresor entsperrt ist, trennen Sie den vorhandenen Continuous Recovery Point mit dem disassociate-recovery-pointfolgenden Befehl. Wenn Ihr Backup-Tresor gesperrt ist, warten Sie, bis der bestehende Continuous Recovery Point entsprechend seinem Lebenszyklus abläuft.

Der Backup-Job wird mit „Mit Problemen abgeschlossen“ abgeschlossen — Ressourcentyp wird nicht unterstützt

Meldung: Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.

Mögliche Ursache: Bei Sicherungsaufträgen für nicht unterstützte, nicht vollständig verwaltete Ressourcen wird die Meldung „Mit Problemen abgeschlossen“ angezeigt. Die Meldung weist darauf hin, dass die Ressource nicht unterstützt wird.

Lösung: Ressourcentypen, die nicht unterstützt werden, werden nur im Backup-Tresor gesichert. Wenn Sie diese Backups in Ihrem Backup-Tresor behalten möchten, sind keine Maßnahmen erforderlich. Wenn Sie es vorziehen, nicht unterstützte Ressourcen mit Ihrem Logic-Air-Gap-Tresor zu kombinieren, haben Sie folgende Möglichkeiten:

  • Entfernen Sie die Ressource oder das Ziel des Tresors mit logischem Air-Gap aus Ihrem Backup-Plan für diese Ressourcen und setzen Sie die Sicherung ausschließlich in Ihrem Backup-Tresor fort. Sie können die Ressource anschließend als Teil eines anderen Plans hinzufügen.

Der Backup-Job wird mit „Mit Problemen abgeschlossen“ abgeschlossen — Verschlüsselungsschlüssel wird nicht unterstützt

Meldung: Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.

Mögliche Ursache: Bei Sicherungsaufträgen für nicht unterstützte, nicht vollständig verwaltete Ressourcen wird die Meldung „Mit Problemen abgeschlossen“ angezeigt. Außerdem wird eine Meldung angezeigt, dass die Ressource mit einem AWS verwalteten Schlüssel verschlüsselt ist.

Lösung: Nicht vollständig verwaltete Ressourcen, die mit verwalteten Schlüsseln verschlüsselt wurden, können nicht in Tresore mit AWS logischem Air-Gap kopiert werden. Wenn Sie diese Backups in Ihrem Backup-Tresor behalten möchten, sind keine Maßnahmen erforderlich. Wenn Sie es vorziehen, nicht unterstützte Ressourcen mit Ihrem Logic-Air-Gap-Tresor zu kombinieren, haben Sie folgende Möglichkeiten:

  • Verschlüsseln Sie Ihre Ressourcen erneut mit einem vom Kunden verwalteten KMS-Schlüssel, oder

  • Entfernen Sie die Ressource oder das Vault-Ziel mit logischem Air-Gap aus Ihrem Backup-Plan für diese Ressourcen und setzen Sie die Sicherung ausschließlich in Ihrem Backup-Tresor fort. Sie können die Ressource anschließend als Teil eines anderen Plans hinzufügen.

Die Wiederherstellungspunkte bleiben im EXPIRED Status

Mögliche Ursache: Temporäre Wiederherstellungspunkte wechseln in den EXPIRED Status, werden aber nicht gelöscht.

Lösung: AWS Backup Möglicherweise fehlen die Berechtigungen zum Löschen der Wiederherstellungspunkte. Stellen Sie sicher, dass Ihre Backup-Rolle über die erforderlichen IAM-Berechtigungen verfügt. Möglicherweise müssen Sie expired Wiederherstellungspunkte manuell löschen.

Kopieraufträge befinden sich in der Warteschlange oder schlagen aufgrund der hohen Sicherungshäufigkeit fehl

Mögliche Ursache: Kopieraufträge in Tresore mit logischem Air-Gap befinden sich in Warteschlangen oder schlagen fehl, weil Backups häufiger geplant werden, als Kopien abgeschlossen werden können.

Lösung: Reduzieren Sie die Häufigkeit Ihrer Backups oder passen Sie Ihren Backup-Zeitplan an, um mehr Zeit zwischen den Backups zu haben. Informationen zu den Beschränkungen für gleichzeitige Kopien finden Sie in der Dokumentation zu den AWS Backup Kontingenten.