Restauración de una instancia de Amazon EC2
Al restaurar una instancia EC2, AWS Backup crea una imagen de máquina de Amazon (AMI), una instancia, el volumen raíz de Amazon EBS, los volúmenes de datos de Amazon EBS (si el recurso protegido tenía volúmenes de datos) y las instantáneas de Amazon EBS. Puede personalizar algunos ajustes de la instancia mediante la consola de AWS Backup o un mayor número de ajustes mediante el AWS CLI o un SDK de AWS.
Las siguientes consideraciones se aplican a la restauración de instancias de EC2:
-
AWS Backup configura la instancia restaurada para que use el mismo par de claves que el recurso protegido usó originalmente. No puede especificar un par de claves diferente para la instancia restaurada durante el proceso de restauración.
-
AWS Backup no realiza copias de seguridad ni restaura los datos de usuario que se utilizan al lanzar una instancia de Amazon EC2.
-
Al configurar la instancia restaurada, puede elegir entre usar el mismo perfil de instancia que el recurso protegido usó originalmente o lanzarla sin un perfil de instancia. Esto es para evitar la posibilidad de que se produzcan escalamientos de privilegios. Puede actualizar el perfil de instancia de la instancia restaurada mediante la consola de Amazon EC2.
Si usa el perfil de instancia original, debe conceder a AWS Backup los siguientes permisos, donde el ARN del recurso es el ARN del rol de IAM asociado al perfil de instancia.
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name" },Sustituya
role-namepor el nombre del rol del perfil de instancia de EC2 que se asociará a la instancia de EC2 restaurada. Este no es el rol de servicio de AWS Backup, sino el rol de IAM que proporciona permisos a las aplicaciones que se ejecutan en la instancia de EC2. -
Durante una restauración, se aplican todas las restricciones de configuración y cuotas de Amazon EC2.
-
Si el almacén que contiene los puntos de recuperación de Amazon EC2 tiene un candado, consulte Consideraciones adicionales de seguridad para obtener más información.
Uso de la consola de AWS Backup para restaurar los puntos de recuperación de Amazon EC2
Puede restaurar una instancia de Amazon EC2 completa desde un único punto de recuperación, incluidos el volumen raíz, los volúmenes de datos y algunos ajustes de configuración de la instancia, como el tipo de instancia y el par de claves.
Para restaurar los recursos de Amazon EC2 mediante la consola de AWS Backup
Abra la consola de AWS Backup en https://console.aws.amazon.com/backup
. -
En el panel de navegación, elija Recursos protegidos y, seguidamente, elija el ID del recurso de Amazon EC2 para abrir la página de detalles del recurso.
-
En el panel Puntos de recuperación, active el botón de opción situado junto al ID del punto de recuperación que va a restaurar. En la esquina superior derecha del panel, elija Restaurar.
-
En el panel Configuración de red, utilizamos la configuración de la instancia protegida para seleccionar los valores predeterminados del tipo de instancia, la VPC, la subred, el grupo de seguridad y el rol de IAM de la instancia. Puede utilizar estos valores predeterminados o cambiarlos como sea necesario.
-
En el panel Rol de restauración, utilice el Rol predeterminado o use Elegir un rol de IAM para especificar el rol de IAM que concede a AWS Backup permiso para restaurar la copia de seguridad.
-
En el panel Etiquetas de recursos protegidos, seleccionamos Copiar etiquetas del recurso protegido al recurso restaurado de forma predeterminada. Si no desea copiar estas etiquetas, desactive la casilla de verificación.
-
En el panel Configuración avanzada, acepte los valores predeterminados de la configuración de la instancia o cámbielos según sea necesario. Para obtener información sobre estos ajustes, seleccione Información para que el ajuste abra su panel de ayuda.
-
Cuando termine de configurar la instancia, seleccione Restaurar copia de seguridad.
Restauración de Amazon EC2 con AWS CLI
En la interfaz de línea de comandos, start-restore-job
La lista siguiente son los metadatos aceptados que puede transferir para restaurar un punto de recuperación de Amazon EC2.
InstanceType KeyName SubnetId Architecture EnaSupport SecurityGroupIds IamInstanceProfileName CpuOptions InstanceInitiatedShutdownBehavior HibernationOptions DisableApiTermination CreditSpecification Placement RootDeviceType RamdiskId KernelId UserData Monitoring NetworkInterfaces ElasticGpuSpecification CapacityReservationSpecification InstanceMarketOptions LicenseSpecifications EbsOptimized VirtualizationType Platform RequireIMDSv2 BlockDeviceMappings aws:backup:request-id
AWS Backup acepta los siguientes atributos de carácter exclusivamente informativo. -Sin embargo, su inclusión no afectará a la restauración:
vpcId
BlockDeviceMappings es un parámetro opcional que puede incluir. AWS Backup admite los siguientes atributos BlockDeviceMappings.
nota
SnapshotId y OutpostArn no son compatibles.
{ "BlockDeviceMappings": [ { "DeviceName" : string, "NoDevice" : string, "VirtualName" : string, "Ebs": { "DeleteOnTermination": boolean, "Iops": number, "VolumeSize": number, "VolumeType": string, "Throughput": number, "Encrypted": boolean, "KmsKeyId": string } } }
Por ejemplo:
{ "BlockDeviceMappings": [ { "DeviceName": "/def/tuvw", "Ebs": { "DeleteOnTermination": true, "Iops": 3000, "VolumeSize": 16, "VolumeType": "gp3", "Throughput": 125, "Encrypted": true, "KmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/ab3cde45-67f8-9g01-hi2j-3456klmno7p8" } }, { "DeviceName": "/abc/xyz", "Ebs": { "DeleteOnTermination": false, "Iops": 3000, "VolumeSize": 16, "VolumeType": "gp3", "Throughput": 125, "Encrypted": false } } ] }
También puede restaurar instancias de Amazon EC2 sin incluir parámetros almacenados. Esta opción está disponible en la pestaña Recurso protegido de la consola de AWS Backup.
importante
Si no anula la clave de AWS KMS en BlockDeviceMappings al restaurar a partir de copias de seguridad entre cuentas o regiones, es posible que se produzca un error en la restauración. Para obtener más información, consulte Solución de problemas de restauración de instancias de Amazon EC2.
Solución de problemas de restauración de instancias de Amazon EC2
Solución de problemas de incidencias
Errores en la restauración entre cuentas
Descripción: se produce un error en la restauración de la instancia de Amazon EC2 al intentar restaurarla desde una copia de seguridad compartida con su cuenta.
Posibles problemas: es posible que su cuenta no tenga acceso a las claves de AWS KMS utilizadas para cifrar los volúmenes de origen de la cuenta compartida. Es posible que las claves de KMS no se compartan con su cuenta.
O bien, los volúmenes asociados a la instancia de origen no están cifrados.
Solución: para resolver este problema, establezca el atributo encrypted en true y siga uno de estos pasos:
-
Anule las claves de KMS en
BlockDeviceMappingsy especifique una clave de KMS que sea de su propiedad en su cuenta. -
Solicite a la cuenta propietaria que le conceda acceso a las claves de KMS utilizadas para cifrar los volúmenes mediante la actualización de la política de claves de KMS. Para obtener más información, consulte Permiso para que los usuarios de otras cuentas utilicen una clave de KMS.
Errores en la restauración entre regiones
Descripción: se produce un error en la restauración de la instancia de Amazon EC2 al intentar restaurarla desde una copia de seguridad entre regiones.
Problema: es posible que los volúmenes de la copia de seguridad estén cifrados con claves de AWS KMS de una sola región que no estén disponibles en la región de destino. O bien, los volúmenes asociados a la instancia de origen no están cifrados.
Solución: para resolver este problema, defina el atributo encrypted en true y sustituya la clave de KMS en BlockDeviceMappings por una clave de KMS en la región de destino.
