Información general de los almacenes aislados lógicamente Caso de uso para almacenes aislados lógicamente Comparación y contraste con un almacén de copias de seguridad estándar Crear un almacén aislado lógicamente Visualización de los detalles del almacén aislado lógicamente Crear copias de seguridad en un almacén cerrado de forma lógica Compartir un almacén aislado lógicamente Restauración de una copia de seguridad desde un almacén aislado lógicamente Eliminar un almacén aislado lógicamente Opciones de programación adicionales para almacenes aislados lógicamente Descripción de los tipos de claves de cifrado para bóvedas aisladas de forma lógica Solución de un problema de almacén aislado lógicamente

Tener un almacén aislado lógicamente

Información general de los almacenes aislados lógicamente

AWS Backup ofrece un tipo de almacén secundario que puede almacenar las copias de seguridad en un contenedor con funciones de seguridad adicionales. Una bóveda hermética lógica es una bóveda especializada que proporciona una seguridad superior a la de una bóveda de copias de seguridad estándar, además de la posibilidad de compartir el acceso a la bóveda con otras cuentas, de modo que los objetivos de tiempo de recuperación (RTOs) puedan ser más rápidos y flexibles en caso de que se produzca un incidente que requiera una restauración rápida de los recursos.

Lógicamente, las bóvedas herméticas vienen equipadas con funciones de protección adicionales; cada bóveda se cifra con una AWS clave propia (predeterminada) o, opcionalmente, con una clave KMS administrada por el cliente, y cada bóveda está equipada con el modo de cumplimiento de AWS Backup Vault Lock. La información sobre el tipo de clave de cifrado es visible a través de una consola para generar informes de transparencia AWS Backup APIs y conformidad.

Puede integrar sus bóvedas herméticas de forma lógica con la aprobación de varias partes (MPA) para poder recuperar las copias de seguridad que se encuentran en las bóvedas, incluso si no se puede acceder a la cuenta propietaria del almacén, lo que ayuda a mantener la continuidad empresarial. Además, puede optar por integrarse con AWS Resource Access Manager(RAM) para compartir una bóveda aislada de forma lógica con otras AWS cuentas (incluidas las cuentas de otras organizaciones), de modo que las copias de seguridad almacenadas en la bóveda se puedan restaurar desde una cuenta con la que se comparte la bóveda, si es necesario para realizar pruebas de recuperación ante pérdidas de datos o de restauración. Como parte de esta seguridad adicional, un almacén cerrado de forma lógica almacena sus copias de seguridad en una cuenta propiedad del AWS Backup servicio (lo que hace que las copias de seguridad se muestren como compartidas fuera de la organización en los elementos de atributos de modificación de los AWS CloudTrail registros).

Para aumentar la resiliencia, te recomendamos crear copias entre regiones en bóvedas agrupadas de forma lógica en cuentas iguales o independientes. Sin embargo, si quiere reducir los costes de almacenamiento manteniendo una sola copia, puede utilizar las copias de seguridad principales para almacenar de forma lógica espacios vacíos, tras incorporarlas a MPA. AWS

En la página de precios de AWS Backup, puede consultar los precios del almacenamiento de las copias de seguridad de los servicios compatibles en un almacén aislado lógicamente.

Consulte en Disponibilidad de características por recurso los tipos de recursos que puede copiar en un almacén aislado lógicamente.

Temas

Caso de uso para almacenes aislados lógicamente
Comparación y contraste con un almacén de copias de seguridad estándar
Crear un almacén aislado lógicamente
Visualización de los detalles del almacén aislado lógicamente
Crear copias de seguridad en un almacén cerrado de forma lógica
Compartir un almacén aislado lógicamente
Restauración de una copia de seguridad desde un almacén aislado lógicamente
Eliminar un almacén aislado lógicamente
Opciones de programación adicionales para almacenes aislados lógicamente
Descripción de los tipos de claves de cifrado para bóvedas aisladas de forma lógica
Solución de un problema de almacén aislado lógicamente
Copias de seguridad principales en almacenes aislados lógicamente
Aprobación de varias partes para almacenes aislados lógicamente

Caso de uso para almacenes aislados lógicamente

Una almacén aislado lógicamente es un almacén secundario que sirve como parte de una estrategia de protección de datos. Este almacén puede ayudar a mejorar la estrategia de retención y la recuperación de su organización cuando quiera un almacén para sus copias de seguridad que

esté configurado automáticamente con un bloqueo de almacén en modo de cumplimiento;
De forma predeterminada, ofrece cifrado con una clave propia. AWS Si lo desea, puede proporcionar una clave gestionada por el cliente
Contiene copias de seguridad que, mediante AWS RAM MPA, se pueden compartir y restaurar desde una cuenta diferente a la que creó la copia de seguridad

Consideraciones y limitaciones

La copia entre regiones en un almacén aislado lógicamente o desde este no está disponible actualmente para las copias de seguridad que contienen Amazon Aurora, Amazon DocumentDB y Amazon Neptune.
Una copia de seguridad que contenga uno o más volúmenes de Amazon EBS y que se copie en un almacén aislado lógicamente debe tener un tamaño inferior a 16 TB; no se admiten copias de seguridad para este tipo de recurso que sean de mayor tamaño.
EC2 Se permiten EC2 ofertas de Amazon AMIs. Si esta configuración está habilitada en su cuenta, añada el alias aws-backup-vault a su lista de permitidos.

Si no se incluye este alias, las operaciones de copia de un almacén con espacios vacíos de forma lógica a un almacén de respaldo y las operaciones de restauración de EC2 instancias desde un almacén con espacios vacíos de forma lógica fallarán y aparecerá un mensaje de error como «La AMI de origen ami-xxxxxx no se encuentra en la región».
El ARN (nombre de recurso de Amazon) de un punto de recuperación almacenado en un almacén aislado lógicamente sustituirá al tipo de recurso subyacente por backup. Por ejemplo, si el ARN original comienza por arn:aws:ec2:region::image/ami-*, entonces el ARN del punto de recuperación en el almacén aislado lógicamente será arn:aws:backup:region:account-id:recovery-point:*.

Puede utilizar el comando CLI list-recovery-points-by-backup-vault para determinar el ARN.

Comparación y contraste con un almacén de copias de seguridad estándar

Un almacén de copias de seguridad es el tipo de almacén principal y estándar que se utiliza en AWS Backup. Cada copia de seguridad se almacena en un almacén de copias de seguridad cuando se crea la copia de seguridad. Puede asignar políticas basadas en recursos para administrar las copias de seguridad almacenadas en el almacén, como el ciclo de vida de las copias de seguridad almacenadas.

Un almacén aislado lógicamente es un almacén especializado con seguridad adicional y uso compartido flexible para acelerar el tiempo de recuperación (RTO). Este almacén almacena las copias de seguridad principales o copias de las copias de seguridad que se crearon inicialmente y se almacenaron en una bóveda de copias de seguridad estándar.

Los almacenes de copias de seguridad se cifran con una clave, que es un mecanismo de seguridad que limita el acceso a los usuarios previstos. Estas claves pueden gestionarse o AWS gestionarse por el cliente. Consulte Cifrado de copias para conocer el comportamiento de cifrado durante los trabajos de copia, incluida la copia en un almacén aislado lógicamente.

Además, un almacén de copias de seguridad tener más seguridad con un bloqueo de almacén; los almacenes aislados lógicamente vienen equipados con un bloqueo de almacén en modo de cumplimiento.

Al igual que las bóvedas de respaldo, las bóvedas con huecos lógicos también admiten etiquetas restringidas para las copias de seguridad de Amazon. EC2

Característica	Almacén de copias de seguridad	Tener un almacén aislado lógicamente
AWS Backup Audit Manager	Puede utilizar AWS Backup Audit Manager Controles y corrección para supervisar sus almacenes de backup.	Asegúrese de que la copia de seguridad de un recurso específico se almacene en al menos una bóveda aislada de forma lógica según un cronograma que usted determine, además de los controles disponibles para las bóvedas estándar.
Facturación	Los cargos por almacenamiento y transferencia de datos de los recursos totalmente administrados por AWS Backup figuran en "AWS Backup". Los cargos de almacenamiento y transferencia de datos de otros tipos de recursos se aplicarán en sus respectivos servicios. Por ejemplo, las copias de seguridad de Amazon EBS se mostrarán en "Amazon EBS"; las copias de seguridad de Amazon S3 se mostrarán en "AWS Backup".	Todos los cargos de facturación de estos almacenes (almacenamiento o transferencia de datos) se incluyen en "AWS Backup".
Regiones	Disponible en todas las regiones en las que opera AWS Backup	Disponible en la mayoría de las regiones compatibles con AWS Backup. Actualmente no está disponible en Asia Pacífico (Malasia), Canadá Oeste (Calgary), México (Central), Asia Pacífico (Tailandia), Asia Pacífico (Taipéi), Asia Pacífico (Nueva Zelanda), China (Pekín), China (Ningxia), (EE. UU. Este) o (EE. UU. Oeste) AWS GovCloud . AWS GovCloud
Recursos	Puede almacenar copias de copias de seguridad para la mayoría de los tipos de recursos que admiten las copias entre cuentas.	Consulte la columna del almacén aislado lógicamente en Disponibilidad de características por recurso para ver los recursos que se pueden copiar a este almacén.
Restaurar	Las copias de seguridad se pueden restaurar por medio de la misma cuenta a la que pertenece el almacén.	Las copias de seguridad se pueden restaurar con una cuenta distinta de la que es propietaria del almacén si el almacén se comparte con esa cuenta independiente.
Seguridad	Opcionalmente, se puede cifrar con una clave (administrada por AWS o por el cliente) Puede utilizar opcionalmente un bloqueo de almacén en modo de cumplimiento o gobernanza	Se puede cifrar con una clave propia o AWS gestionada por el cliente Siempre se bloquea con un bloqueo de almacén en modo de cumplimiento La información sobre el tipo de clave de cifrado se conserva y es visible cuando los almacenes se comparten a través AWS RAM de un MPA
Uso compartido	El acceso se puede administrar mediante políticas y AWS Organizations No es compatible con AWS RAM	Opcionalmente, se puede compartir entre cuentas mediante AWS RAM

Crear un almacén aislado lógicamente

Puede crear una bóveda aislada de forma lógica a través de la AWS Backup consola o mediante una combinación de AWS Backup comandos CLI AWS RAM .

Cada almacén aislado lógicamente viene equipado con un bloqueo de almacén en modo de cumplimiento. Consulte AWS Backup Vault Lock para determinar los valores del período de retención más adecuados para su operación

Console

Creación de un almacén aislado lógicamente desde la consola

Abra la AWS Backup consola en /backup. https://console.aws.amazon.com
En el panel de navegación, seleccione Almacenes.
Se mostrarán ambos tipos de almacén. Seleccione Crear nuevo almacén.
Escriba un nombre para su almacén de copias de seguridad. Puede asignar un nombre a su almacén para reflejar lo que almacenará en él o para facilitar la búsqueda de las copias de seguridad que necesite. Por ejemplo, podría denominarlo FinancialBackups.
Seleccione el botón de opción de Almacén aislado lógicamente.
(Opcional) Elija una clave de cifrado. Puede seleccionar una clave KMS administrada por el cliente para tener un control adicional sobre el cifrado o usar la clave de AWS propiedad predeterminada (se recomienda).
Establezca el Periodo de retención mínimo.

Este valor (en días, meses o años) es el tiempo mínimo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención inferiores a este valor no se podrán copiar a este almacén.

El valor mínimo permitido es 7 días. Los valores de meses y años cumplen con este mínimo.
Establezca el Periodo de retención máximo.

Este valor (en días, meses o años) es el tiempo máximo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención superiores a este valor no se podrán copiar a este almacén.
(Opcional) Defina la clave de cifrado.

Especifique la clave que se va a utilizar con la bóveda. Puede elegir una AWS clave propia (gestionada por AWS Backup) o introducir el ARN de una clave gestionada por el cliente que, preferiblemente, pertenezca a una cuenta diferente a la que tenga acceso. AWS Backup recomienda utilizar una clave AWS propia.
(Opcional) Agregue etiquetas que le ayuden a buscar e identificar su almacén aislado lógicamente. Por ejemplo, podría añadir una etiqueta BackupType:Financial.
Seleccione Crear almacén.
Revise la configuración. Si todos los ajustes se muestran como esperaba, seleccione Crear almacén aislado lógicamente.
La consola le llevará a la página de detalles del nuevo almacén. Compruebe que los detalles del almacén son los esperados.
Seleccione Almacenes para ver los almacenes de su cuenta. Aparecerá su almacén aislado lógicamente. La clave de KMS estará disponible aproximadamente entre 1 y 3 minutos después de la creación del almacén. Actualice la página para ver la clave asociada. Una vez que la clave esté visible, el almacén estará disponible y se podrá utilizar.

AWS CLI

Crear un almacén aislado lógicamente desde CLI

Se puede utilizar AWS CLI para realizar operaciones mediante programación en bóvedas con huecos de forma lógica. Cada CLI es específica del AWS servicio en el que se origina. Los comandos relacionados con el uso compartido llevan el prefijo aws ram; todos los demás comandos deben llevar el prefijo aws backup.

Utilice el comando de CLI create-logically-air-gapped-backup-vault modificado con los parámetros siguientes:


aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

El --encryption-key-arn parámetro opcional le permite especificar una clave KMS administrada por el cliente para el cifrado del almacén. Si no se proporciona, el almacén utilizará una clave propia AWS.

Ejemplo de comando de CLI para crear un almacén aislado lógicamente:


aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Ejemplo de comando CLI para crear una bóveda aislada de forma lógica con cifrado administrado por el cliente:


aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

Consulte los elementos de respuesta CreateLogicallyAirGappedBackupVault de la API para obtener información después de la operación de creación. Si la operación se realizó correctamente, la nueva bóveda con huecos lógicos tendrá el de. VaultState CREATING

Una vez que se complete la creación y se haya asignado la clave cifrada KMS, VaultState pasará a. AVAILABLE Cuando esté disponible, se podrá utilizar el almacén. VaultState se puede recuperar llamando a DescribeBackupVault o ListBackupVaults.

Visualización de los detalles del almacén aislado lógicamente

Puede ver los detalles del almacén, como el resumen, los puntos de recuperación, los recursos protegidos, el uso compartido de cuentas, la política de acceso y las etiquetas, a través de la AWS Backup consola o la AWS Backup CLI.

Console

Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
En el panel de navegación izquierdo, seleccione Almacenes.
Debajo de las descripciones de las bóvedas hay tres listas: las bóvedas creadas por esta cuenta, las bóvedas compartidas mediante la RAM y las bóvedas a las que se puede acceder mediante la aprobación de varias partes. Seleccione la pestaña que desee para ver los almacenes.
En Nombre del almacén , haga clic en el nombre del almacén para abrir la página de detalles. Puede ver el resumen, los puntos de recuperación, los recursos protegidos, las cuentas compartidas, la política de acceso y los detalles de las etiquetas.

Los detalles mostrados dependen del tipo de cuenta: las cuentas que poseen un almacén pueden ver las cuentas compartidas; las cuentas que no poseen un almacén no podrán ver las cuentas compartidas. En el caso de los almacenes compartidos, el tipo de clave de cifrado (clave KMS AWS propiedad o gestionada por el cliente) se muestra en el resumen del almacén.

AWS CLI

Visualización de detalles de un almacén aislado lógicamente mediante la CLI

El comando de CLI describe-backup-vault se puede utilizar para obtener detalles sobre un almacén. El parámetro backup-vault-name es obligatorio; region es opcional.


aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Ejemplo de respuesta:


{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Crear copias de seguridad en un almacén cerrado de forma lógica

Lógicamente, las bóvedas con espacios vacíos pueden ser el destino de un trabajo de copia en un plan de respaldo o un objetivo para un trabajo de copia bajo demanda. También se puede utilizar como destino principal de la copia de seguridad. Consulte Copias de seguridad principales en bóvedas aisladas de forma lógica.

Cifrado compatible

Para completar un trabajo de copia correctamente desde un almacén de copias de seguridad a un almacén aislado lógicamente, es necesaria una clave de cifrado determinada por el tipo de recurso que se va a copiar.

Al crear o copiar una copia de seguridad de un tipo de recurso totalmente gestionado, el recurso de origen se puede cifrar mediante una clave gestionada por el cliente o mediante una clave gestionada. AWS

Al crear o copiar una copia de seguridad de otros tipos de recursos (los que no estén totalmente gestionados), la fuente debe cifrarse con una clave gestionada por el cliente. AWS no se admiten las claves administradas para los recursos que no están completamente administrados.

Cree o copie copias de seguridad en una bóveda aislada de forma lógica mediante un plan de copias de seguridad

Puede copiar una copia de seguridad (punto de recuperación) de una bóveda de copias de seguridad estándar a una bóveda vacía de forma lógica creando un nuevo plan de copias de seguridad o actualizando uno existente en la AWS Backup consola o mediante los comandos y. AWS CLI create-backup-planupdate-backup-plan También puede crear copias de seguridad directamente en una bóveda aislada de forma lógica utilizándola como destino principal. Consulte Copias de seguridad principales en bóvedas con espacios vacíos de forma lógica para obtener más información.

Puede copiar bajo demanda una copia de seguridad de un almacén aislado lógicamente a otro (este tipo de copia de seguridad no se puede programar en un plan de copias de seguridad). Puede copiar una copia de seguridad de un almacén aislado lógicamente a un almacén de copias de seguridad estándar siempre que la copia esté cifrada con una clave administrada por el cliente.

Copia de seguridad bajo demanda a un almacén aislado lógicamente

Para crear una copia única y bajo demanda de una copia de seguridad en un almacén aislado lógicamente, puede copiarla desde un almacén de copias de seguridad estándar. Las copias entre regiones o entre cuentas están disponibles si el tipo de recurso es compatible con el tipo de copia.

Disponibilidad de copias

Se puede crear una copia de seguridad desde la cuenta a la que pertenece el almacén. Las cuentas con las que se ha compartido el almacén tienen la capacidad de ver o restaurar una copia de seguridad, pero no de crear una copia.

Solo se pueden incluir los tipos de recursos que admitan la copia entre regiones o entre cuentas.

Para obtener más información, consulte Copia de una copia de seguridad, Copia de seguridad entre regiones y Copia de seguridad entre cuentas.

Puede usar AWS Resource Access Manager (RAM) para compartir una bóveda aislada de forma lógica con otras cuentas que designe. Al compartir depósitos, la información sobre el tipo de clave de cifrado (clave KMS propia o AWS gestionada por el cliente) se conserva y es visible para las cuentas con las que se comparte el depósito.

Un almacén se puede compartir con una cuenta de su organización o con una cuenta de otra organización. El almacén no se puede compartir con toda la organización, solo con las cuentas de la organización.

Solo las cuentas con determinados privilegios de IAM pueden compartir y administrar el uso compartido de almacenes.

Para compartir el uso AWS RAM, asegúrese de tener lo siguiente:

Dos o más cuentas a las que puedan acceder AWS Backup
Una cuenta propietaria de almacenes que quiera compartir tiene los permisos de RAM necesarios. El permiso ram:CreateResourceShare es necesario para realizar este procedimiento. La política AWSResourceAccessManagerFullAccess contiene todos los permisos relacionados con RAM necesarios:
- backup:DescribeBackupVault
- backup:DescribeRecoveryPoint
- backup:GetRecoveryPointRestoreMetadata
- backup:ListProtectedResourcesByBackupVault
- backup:ListRecoveryPointsByBackupVault
- backup:ListTags
- backup:StartRestoreJob
Al menos un almacén aislado lógicamente

Console

Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
En el panel de navegación izquierdo, seleccione Almacenes.
Debajo de las descripciones de los almacenes hay dos listas: Almacenes propiedad de esta cuenta y Almacenes compartidos con esta cuenta. Los almacenes propiedad de la cuenta son aptos para compartirse.
En Nombre del almacén , seleccione el nombre del almacén aislado lógicamente para abrir la página de detalles.
El panel de Uso compartido de cuentas muestra con qué cuentas se comparte el almacén.
Para empezar a compartir con otra cuenta o editar las cuentas que ya se comparten, seleccione Administrar el uso compartido.
La AWS RAM consola se abre cuando se selecciona Administrar el uso compartido. Para ver los pasos para compartir un recurso mediante la AWS RAM, consulte Crear un recurso compartido en la AWS RAM en la Guía del usuario de AWS RAM.
La cuenta invitada a aceptar una invitación para recibir un recurso compartido tiene 12 horas para aceptarla. Consulte Accepting and rejecting resource share invitations en la Guía del usuario de AWS RAM.
Si ha completado y aceptado los pasos para compartir, la página de resumen del almacén aparecerá en la sección Uso compartido de cuentas = “Compartido; consulte la tabla de cuentas compartidas que aparece a continuación”.

AWS CLI

AWS RAM usa el comando CLIcreate-resource-share. El acceso a este comando solo está disponible para cuentas con suficientes permisos. Consulte Creating a resource share in AWS RAM para ver los pasos de la CLI.

Los pasos 1 a 4 se llevan a cabo con la cuenta propietaria del almacén aislado lógicamente. Los pasos 5 a 8 se llevan a cabo con la cuenta con la que se compartirá el almacén aislado lógicamente.

Inicie sesión en la cuenta propietaria O solicite que complete estos pasos un usuario de su organización con suficientes credenciales para acceder a la cuenta de origen.
1. Si antes se había creado un recurso compartido y desea agregarle un recurso adicional, utilice, en cambio, la CLI associate-resource-share con el ARN del nuevo almacén.
Obtenga las credenciales de un rol con permisos suficientes para compartir a través de RAM. Introdúzcalos en la CLI.
1. El permiso ram:CreateResourceShare es necesario para realizar este procedimiento. La política AWSResourceAccessManagerFullAccesscontiene todos los permisos relacionados con la RAM.

Utilice create-resource-share.

Incluya el ARN del almacén aislado lógicamente.

Ejemplo de entrada:


aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

Ejemplo de salida:


{
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

Copie el ARN del recurso compartido en el resultado (lo que es necesario para los pasos siguientes). Entregue el ARN al operador de la cuenta a la que invita a recibir el uso compartido.
Obtenga el ARN del recurso compartido.
1. Si no ha realizado los pasos 1 a 4, obtenga el permiso resourceShareArn de quien lo haya hecho.
2. Ejemplo: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543
En la CLI, asuma las credenciales de la cuenta del destinatario.
Obtenga una invitación para compartir recursos con get-resource-share-invitations. Para obtener más información, consulte Accepting and rejecting invitations en la Guía del usuario de AWS RAM .
Acepte la invitación en la cuenta de destino (recuperación).
1. Use accept-resource-share-invitation (también puede reject-resource-share-invitation).

Puede usar los comandos AWS RAM CLI para ver los elementos compartidos:

Recursos que ha compartido:

aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1
Mostrar la entidad principal:

aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1
Recursos compartidos por otras cuentas:

aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Restauración de una copia de seguridad desde un almacén aislado lógicamente

Puede restaurar una copia de seguridad almacenada en un almacén aislado lógicamente desde la cuenta propietaria del almacén o desde cualquier cuenta con la que se comparta el almacén.

Consulte Restauración de una copia de seguridad para obtener información sobre cómo restaurar un punto de recuperación mediante la consola AWS Backup .

Una vez que se haya compartido una copia de seguridad desde un almacén aislado lógicamente con su cuenta, podrá utilizar start-restore-job para restaurarla.

Un ejemplo de entrada de la CLI puede incluir el comando y los parámetros siguientes:


aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Eliminar un almacén aislado lógicamente

Consulte Eliminación de un almacén. Los almacenes no se pueden eliminar si aún contienen copias de seguridad (puntos de recuperación). Asegúrese de que el almacén esté vacío antes de iniciar una operación de eliminación.

Al eliminar un almacén, también se elimina la clave asociada al almacén siete días después de su eliminación, de acuerdo con la política de eliminación de claves.

El siguiente comando de la CLI de ejemplo, delete-backup-vault, se puede utilizar para eliminar un almacén.


aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opciones de programación adicionales para almacenes aislados lógicamente

El comando de la CLI list-backup-vaults se puede modificar para enumerar todos los almacenes que pertenecen a la cuenta y están presentes en ella:


aws backup list-backup-vaults
--region us-east-1

Para enumerar solo los almacenes aislados lógicamente, agregue el parámetro


--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Incluya el parámetro by-shared para filtrar la lista de almacenes devuelta para mostrar solo los almacenes aislados lógicamente compartidos. La respuesta incluirá información sobre el tipo de clave de cifrado de cada almacén compartido.


aws backup list-backup-vaults
--region us-east-1
--by-shared

Ejemplo de respuesta que muestra información sobre el tipo de clave de cifrado:


{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

Descripción de los tipos de claves de cifrado para bóvedas aisladas de forma lógica

Lógicamente, las bóvedas con huecos vacíos admiten diferentes tipos de claves de cifrado, y esta información es visible a través de una consola. AWS Backup APIs Cuando las bóvedas se comparten a través AWS RAM de una MPA, la información del tipo de clave de cifrado se conserva y se hace visible para las cuentas con las que se comparte la bóveda. Esta transparencia le ayuda a comprender la configuración de cifrado de los almacenes y a tomar decisiones informadas sobre las operaciones de copia de seguridad y restauración.

Valores de los tipos de clave de cifrado

El EncryptionKeyType campo puede tener los siguientes valores:

AWS_OWNED_KMS_KEY- La bóveda está cifrada con una clave AWS propia. Este es el método de cifrado predeterminado para las bóvedas aisladas de forma lógica cuando no se especifica ninguna clave gestionada por el cliente.
CUSTOMER_MANAGED_KMS_KEY- El almacén se cifra con una clave KMS gestionada por el cliente que usted controla. Esta opción proporciona un control adicional sobre las claves de cifrado y las políticas de acceso.

nota

AWS Backup recomienda utilizar las llaves AWS propias con bóvedas cerradas de forma lógica. Sin embargo, si la política de su organización exige el uso de una clave administrada por el cliente, utilice las claves de otra cuenta de una organización secundaria dedicada a la recuperación como práctica recomendada. Puede consultar el blog Encrypt AWS Backup: bóvedas aisladas de forma lógica con claves gestionadas por el cliente para obtener más información sobre la configuración de bóvedas aisladas lógicas basadas en CMK.
Solo puede AWS seleccionar una clave de cifrado KMS durante la creación de la bóveda. Una vez creadas, todas las copias de seguridad contenidas en el almacén se cifrarán con esa clave. No puede cambiar ni migrar sus almacenes para utilizar una clave de cifrado diferente.

Política de claves para la creación de bóvedas cifradas por CMK de forma lógica

Al crear un depósito cerrado de forma lógica con una clave gestionada por el cliente, debe aplicar la política gestionada a la AWS función de su cuenta. AWSBackupFullAccess Esta política incluye Allow acciones que permiten interactuar con AWS Backup las claves de KMS AWS KMS para crear concesiones durante las operaciones de respaldo, copia y almacenamiento. Además, debe asegurarse de que su política de claves administradas por el cliente (si se utiliza) incluya los permisos específicos necesarios.

La CMK debe compartirse con la cuenta en la que se encuentra la bóveda cerrada de forma lógica


{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

Política clave de copia/restauración

Para evitar errores en las tareas, revisa tu política AWS KMS clave para asegurarte de que incluye todos los permisos necesarios y no contiene ninguna declaración de denegación que pueda bloquear las operaciones. Se aplican las siguientes condiciones:

En todos los escenarios de copia, se CMKs debe compartir con la función de copia de origen


{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

Al copiar desde una bóveda comprimida de forma lógica cifrada mediante CMK a una bóveda de respaldo, la CMK también debe compartirse con la cuenta de destino SLR


{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

Al copiar o restaurar desde una cuenta de recuperación mediante una bóveda compartida con huecos lógicos RAM/MPA


{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

IAM Role

Al realizar operaciones de copia de bóvedas ocultas de forma lógica, los clientes pueden utilizar la política gestionada, que incluye la AWSBackupDefaultServiceRole política gestionada. AWSAWSBackupServiceRolePolicyForBackup Sin embargo, si los clientes prefieren implementar un enfoque de política de privilegios mínimos, su política de IAM debe incluir un requisito específico:

La función de copia de la cuenta de origen debe tener permisos de acceso tanto al origen como al destino. CMKs


{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

Por lo tanto, uno de los errores más comunes de los clientes se produce durante la copia, cuando los clientes no proporcionan los permisos suficientes para sus funciones de CMKs copiado y las de copia.

Visualización de los tipos de claves de cifrado

Puede ver la información del tipo de clave de cifrado tanto en la AWS Backup consola como mediante programación mediante la AWS CLI tecla o. SDKs

Consola: al ver las bóvedas ocultas de forma lógica en la AWS Backup consola, el tipo de clave de cifrado se muestra en la página de detalles de la bóveda, en la sección de información de seguridad.

AWS CLI/API: el tipo de clave de cifrado se devuelve en respuesta a las siguientes operaciones cuando se consultan bóvedas aisladas de forma lógica:

list-backup-vaults(incluso para bóvedas compartidas) --by-shared
describe-backup-vault
describe-recovery-point
list-recovery-points-by-backup-vault
list-recovery-points-by-resource

Consideraciones sobre el cifrado de bóvedas

Al trabajar con bóvedas aisladas de forma lógica y tipos de claves de cifrado, tenga en cuenta lo siguiente:

Selección de la clave durante la creación: si lo desea, puede especificar una clave KMS administrada por el cliente al crear un almacén aislado de forma lógica. Si no se especifica, se utilizará una clave propia AWS.
Visibilidad del almacén compartido: las cuentas con las que se comparte un almacén pueden ver el tipo de clave de cifrado, pero no pueden modificar la configuración de cifrado.
Información sobre el punto de recuperación: el tipo de clave de cifrado también está disponible al ver los puntos de recuperación dentro de bóvedas aisladas de forma lógica.
Operaciones de restauración: conocer el tipo de clave de cifrado le ayuda a planificar las operaciones de restauración y a comprender los posibles requisitos de acceso.
Conformidad: la información sobre el tipo de clave de cifrado respalda los requisitos de auditoría y presentación de informes de conformidad, ya que proporciona transparencia sobre los métodos de cifrado utilizados para las copias de seguridad de los datos.

Solución de un problema de almacén aislado lógicamente

Si encuentra errores durante su flujo de trabajo, consulte los siguientes ejemplos de errores y soluciones sugeridas:

`AccessDeniedException`

Error: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Causa posible: el parámetro --backup-vault-account-id no se incluyó cuando se ejecutó una de las siguientes solicitudes en un almacén compartido por la RAM:

describe-backup-vault
describe-recovery-point
get-recovery-point-restore-metadata
list-protected-resources-by-backup-vault
list-recovery-points-by-backup-vault

Solución: vuelva a probar el comando que devolvió el error, pero incluya el parámetro --backup-vault-account-id que especifica la cuenta propietaria del almacén.

`OperationNotPermittedException`

Error: OperationNotPermittedException se devuelve tras una llamada de CreateResourceShare.

Causa posible: si ha intentado compartir un recurso, como un almacén aislado lógicamente, con otra organización, es posible que reciba esta excepción. Un almacén se puede compartir con una cuenta de otra organización, pero no se puede compartir con la otra organización en sí.

Solución: vuelva a probar la operación, pero especifique una cuenta como valor principals en lugar de una organización o unidad organizativa.

No se muestra el tipo de clave de cifrado

Problema: el tipo de clave de cifrado no está visible al ver una bóveda con huecos lógicos o sus puntos de recuperación.

Causas posibles:

Está viendo una bóveda antigua que se creó antes de que se añadiera la compatibilidad con el tipo de clave de cifrado
Está utilizando una versión anterior del AWS CLI o del SDK
La respuesta de la API no incluye el campo de tipo de clave de cifrado

Solución:

Actualice su versión AWS CLI a la última
En el caso de los almacenes más antiguos, el tipo de clave de cifrado se rellenará automáticamente y debería aparecer en las siguientes llamadas a la API
Compruebe que está utilizando las operaciones de API correctas que devuelven información sobre el tipo de clave de cifrado
En el caso de las bóvedas compartidas, compruebe que la bóveda se comparte correctamente mediante AWS Resource Access Manager

«FALLÓ» VaultState con AccessDeniedException los registros CloudTrail

Error en CloudTrail: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

Causas posibles:

El almacén se creó con una clave gestionada por el cliente, pero el rol asumido no tiene CreateGrant permiso sobre la política de claves necesaria para utilizar la clave en la creación del almacén

Solución:

Conceda los permisos especificados en la Política de claves para la creación de bóvedas cifradas por CMK de forma lógica sección y, a continuación, vuelva a intentar el flujo de trabajo de creación del almacén.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación y eliminación de almacenes de copias de seguridad

Copias de seguridad principales en almacenes aislados lógicamente