Vault yang terisolasi secara logis - AWS Backup
Ikhtisar kubah yang memiliki celah udara secara logisKasus penggunaan untuk kubah yang memiliki celah udara secara logisBandingkan dan kontraskan dengan brankas cadangan standarBuat lemari besi yang memiliki celah udara secara logisLihat detail brankas dengan celah udara secara logisMembuat cadangan di brankas yang memiliki celah udara secara logisBagikan lemari besi yang memiliki celah udara secara logisKembalikan cadangan dari brankas yang memiliki lubang udara secara logisHapus brankas yang memiliki celah udara secara logisOpsi terprogram tambahan untuk kubah celah udara secara logisMemahami tipe kunci enkripsi untuk brankas yang berlubang udara secara logisMemecahkan masalah brankas yang memiliki celah udara secara logis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Vault yang terisolasi secara logis

Ikhtisar kubah yang memiliki celah udara secara logis

AWS Backup menawarkan jenis brankas sekunder yang dapat menyimpan cadangan dalam wadah dengan fitur keamanan tambahan. Vault yang memiliki celah udara secara logis adalah brankas khusus yang memberikan peningkatan keamanan di luar brankas cadangan standar, serta kemampuan untuk berbagi akses vault ke akun lain sehingga tujuan waktu pemulihan (RTOs) dapat lebih cepat dan lebih fleksibel jika terjadi insiden yang membutuhkan pemulihan sumber daya yang cepat.

Vault yang memiliki celah udara secara logis dilengkapi dengan fitur perlindungan tambahan; setiap brankas dienkripsi dengan kunci yang AWS dimiliki (default) atau opsional dengan kunci KMS yang dikelola pelanggan, dan setiap brankas dilengkapi dengan mode kepatuhan Vault Lock.AWS Backup Informasi jenis kunci enkripsi terlihat melalui AWS Backup APIs dan konsol untuk transparansi dan pelaporan kepatuhan.

Anda dapat mengintegrasikan brankas celah udara Anda secara logis dengan persetujuan Multi-pihak (MPA) untuk memungkinkan pemulihan cadangan di brankas bahkan jika akun pemilik brankas tidak dapat diakses, yang membantu menjaga kelangsungan bisnis. Lebih jauh lagi, Anda dapat memilih untuk berintegrasi dengan AWS Resource Access Manager(RAM) untuk berbagi brankas yang memiliki celah udara secara logis dengan AWS akun lain (termasuk akun di organisasi lain) sehingga cadangan yang disimpan di dalam lemari besi dapat dipulihkan dari akun yang digunakan bersama brankas, jika diperlukan untuk pemulihan kehilangan data atau memulihkan pengujian. Sebagai bagian dari keamanan tambahan ini, brankas dengan celah udara secara logis menyimpan cadangannya di akun milik AWS Backup layanan (yang menghasilkan pencadangan yang ditampilkan sebagai dibagikan di luar organisasi Anda dalam memodifikasi item atribut di log). AWS CloudTrail

Dalam skenario di mana akun pemilik brankas Anda yang memiliki celah udara secara logis ditutup (jahat atau sebaliknya), Anda masih dapat mengakses cadangan di brankas (memulihkan atau menyalinnya) melalui MPA hingga periode pasca-penutupan berakhir. Setelah periode pasca-penutupan berakhir, cadangan tidak lagi dapat diakses. Selama periode pasca-penutupan, Anda dapat mereferensikan dokumentasi Manajemen AWS Akun untuk mendapatkan kembali kendali atas akun Anda saat mengerjakan pemulihan.

Untuk ketahanan yang lebih besar, kami sarankan untuk membuat salinan Lintas wilayah di brankas dengan celah udara secara logis di akun yang sama atau terpisah. Namun, jika Anda ingin mengurangi biaya penyimpanan dengan hanya mempertahankan satu salinan, Anda dapat menggunakan cadangan Primer untuk brankas yang memiliki celah udara secara logis, setelah melakukan orientasi ke MPA. AWS

Anda dapat melihat harga penyimpanan untuk cadangan layanan yang didukung di brankas yang memiliki celah udara secara logis di halaman harga.AWS Backup

Lihat Ketersediaan fitur berdasarkan sumber daya jenis sumber daya yang dapat Anda salin ke brankas dengan celah udara secara logis.

Topik

Kasus penggunaan untuk kubah yang memiliki celah udara secara logis

Vault yang memiliki celah udara secara logis adalah brankas sekunder yang berfungsi sebagai bagian dari strategi perlindungan data. Vault ini dapat membantu meningkatkan strategi retensi dan pemulihan organisasi Anda saat Anda menginginkan brankas untuk pencadangan

  • Secara otomatis diatur dengan kunci brankas dalam mode kepatuhan

  • Secara default menawarkan enkripsi dengan kunci yang AWS dimiliki. Secara opsional Anda dapat memberikan kunci yang dikelola pelanggan

  • Berisi cadangan yang, melalui AWS RAM atau MPA, dapat dibagikan dan dipulihkan dari akun yang berbeda dari yang membuat cadangan

Pertimbangan dan keterbatasan

  • Salinan Lintas Wilayah ke atau dari brankas dengan celah udara secara logis saat ini tidak tersedia untuk cadangan yang berisi Amazon Aurora, Amazon DocumentDB, dan Amazon Neptunus.

  • Amazon Aurora, Amazon DocumentDB, dan Amazon Neptune yang tidak terenkripsi tidak didukung untuk vault yang memiliki celah udara secara logis, karena tidak mendukung enkripsi snapshot cluster DB yang tidak terenkripsi.

  • Amazon EC2 menawarkan EC2 Diizinkan AMIs. Jika pengaturan ini diaktifkan di akun Anda, tambahkan alias aws-backup-vault ke daftar izin Anda.

    Jika alias ini tidak disertakan, salin operasi dari brankas yang memiliki celah udara secara logis ke brankas cadangan dan memulihkan operasi EC2 instance dari brankas yang celah udara secara logis akan gagal dengan pesan kesalahan seperti “Sumber AMI ami-xxxxxx tidak ditemukan di Wilayah.”

  • ARN (Nama Sumber Daya Amazon) dari titik pemulihan yang disimpan dalam brankas dengan celah udara secara logis akan menggantikan jenis sumber daya yang backup mendasarinya. Misalnya, jika ARN asli dimulai denganarn:aws:ec2:region::image/ami-*, maka ARN dari titik pemulihan di brankas yang celah udara secara logis akan menjadi. arn:aws:backup:region:account-id:recovery-point:*

    Anda dapat menggunakan perintah CLI list-recovery-points-by-backup-vaultuntuk menentukan ARN.

Bandingkan dan kontraskan dengan brankas cadangan standar

Brankas cadangan adalah jenis brankas utama dan standar yang digunakan. AWS Backup Setiap cadangan disimpan dalam brankas cadangan saat cadangan dibuat. Anda dapat menetapkan kebijakan berbasis sumber daya untuk mengelola cadangan yang disimpan di vault, seperti siklus hidup pencadangan yang disimpan di dalam vault.

Vault yang memiliki celah udara secara logis adalah brankas khusus dengan keamanan tambahan dan berbagi fleksibel untuk waktu pemulihan yang lebih cepat (RTO). Vault ini menyimpan cadangan utama atau salinan cadangan yang awalnya dibuat dan disimpan dalam brankas cadangan standar.

Brankas cadangan dienkripsi dengan kunci, mekanisme keamanan yang membatasi akses ke pengguna yang dituju. Kunci-kunci ini dapat dikelola atau AWS dikelola oleh pelanggan. Lihat Menyalin enkripsi untuk perilaku enkripsi selama tugas penyalinan, termasuk menyalin ke brankas dengan celah udara secara logis.

Selain itu, brankas cadangan dapat memiliki keamanan tambahan melalui kunci brankas; brankas yang memiliki celah udara secara logis dilengkapi dengan kunci brankas dalam mode kepatuhan.

Mirip dengan brankas cadangan, brankas dengan celah udara secara logis juga mendukung tag terbatas untuk cadangan Amazon. EC2

Fitur Vault cadangan Vault yang terisolasi secara logis
AWS Backup Audit Manager Anda dapat menggunakan AWS Backup Audit Manager Kontrol dan remediasi untuk memantau brankas cadangan Anda. Pastikan cadangan sumber daya tertentu disimpan di setidaknya satu brankas dengan celah udara secara logis pada jadwal yang Anda tentukan, selain kontrol yang tersedia untuk brankas standar.

Penagihan

Biaya penyimpanan dan transfer data untuk sumber daya yang dikelola sepenuhnya oleh AWS Backup terjadi di bawah "AWS Backup”. Penyimpanan jenis sumber daya lainnya dan biaya transfer data akan terjadi di bawah layanan masing-masing.

Misalnya, cadangan Amazon EBS akan ditampilkan di bawah “Amazon EBS”; Cadangan Amazon S3 akan ditampilkan di bawah "”.AWS Backup

Semua biaya penagihan dari brankas ini (penyimpanan atau transfer data) terjadi di bawah "”.AWS Backup

Daerah

Tersedia di semua Wilayah di mana AWS Backup beroperasi

Tersedia di sebagian besar Wilayah yang didukung oleh AWS Backup. Saat ini tidak tersedia di Asia Pasifik (Malaysia), Kanada Barat (Calgary), Meksiko (Tengah), Asia Pasifik (Thailand), Asia Pasifik (Taipei), Asia Pasifik (Selandia Baru), Tiongkok (Beijing), Tiongkok ( AWS GovCloud Ningxia), (AS-Timur), atau (AS-Barat). AWS GovCloud

Sumber Daya

Dapat menyimpan salinan cadangan untuk sebagian besar jenis sumber daya yang mendukung salinan lintas akun.

Lihat kolom vault yang memiliki celah udara secara logis Ketersediaan fitur berdasarkan sumber daya untuk sumber daya yang dapat disalin ke brankas ini.

Kembalikan

Cadangan dapat dipulihkan oleh akun yang sama dengan tempat brankas berada.

Cadangan dapat dipulihkan oleh akun yang berbeda dari yang dimiliki vault jika vault dibagikan dengan akun terpisah itu.

Keamanan

Secara opsional dapat dienkripsi dengan kunci (dikelola atau dikelola pelanggan) AWS

Secara opsional dapat menggunakan kunci brankas dalam mode kepatuhan atau tata kelola

Dapat dienkripsi dengan kunci yang AWS dimiliki atau kunci yang dikelola pelanggan

Selalu terkunci dengan kunci brankas dalam mode kepatuhan

Informasi tipe kunci enkripsi dipertahankan dan terlihat saat brankas dibagikan melalui AWS RAM atau MPA

Berbagi

Akses dapat dikelola melalui kebijakan dan AWS Organizations

Tidak kompatibel dengan AWS RAM

Secara opsional dapat dibagikan di seluruh akun menggunakan AWS RAM

Buat lemari besi yang memiliki celah udara secara logis

Anda dapat membuat brankas dengan celah udara secara logis baik melalui AWS Backup konsol atau melalui kombinasi perintah dan AWS Backup CLI. AWS RAM

Setiap celah udara secara logis dilengkapi dengan kunci lemari besi dalam mode kepatuhan. Lihat AWS Backup Kunci Brankas untuk membantu menentukan nilai periode retensi yang paling sesuai untuk operasi Anda

Console
Buat brankas yang memiliki celah udara secara logis dari konsol

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Vaults.

  3. Kedua jenis brankas akan ditampilkan. Pilih Buat brankas baru.

  4. Masukkan nama untuk brankas cadangan Anda. Anda dapat memberi nama brankas Anda untuk mencerminkan apa yang akan Anda simpan di dalamnya, atau untuk membuatnya lebih mudah untuk mencari cadangan yang Anda butuhkan. Misalnya, Anda bisa menamainyaFinancialBackups.

  5. Pilih tombol radio untuk brankas dengan celah udara secara logis.

  6. (Opsional) Pilih kunci enkripsi. Anda dapat memilih kunci KMS yang dikelola pelanggan untuk kontrol tambahan atas enkripsi, atau menggunakan kunci bawaan yang AWS dimiliki (disarankan).

  7. Tetapkan periode retensi minimum.

    Nilai ini (dalam hari, bulan, atau tahun) adalah jumlah waktu terpendek cadangan dapat disimpan di lemari besi ini. Pencadangan dengan periode retensi yang lebih pendek dari nilai ini tidak dapat disalin ke brankas ini.

    Nilai minimum yang diizinkan adalah 7 hari. Nilai selama berbulan-bulan dan bertahun-tahun memenuhi minimum ini.

  8. Atur periode retensi maksimum.

    Nilai ini (dalam hari, bulan, atau tahun) adalah jumlah waktu terlama cadangan dapat disimpan di lemari besi ini. Cadangan dengan periode retensi yang lebih besar dari nilai ini tidak dapat disalin ke brankas ini.

  9. (Opsional) Atur kunci Enkripsi.

    Tentukan kunci yang akan digunakan dengan brankas Anda. Anda dapat memilih kunci yang AWS dimiliki (dikelola oleh AWS Backup) atau memasukkan ARN untuk kunci yang dikelola Pelanggan yang sebaiknya milik akun lain yang dapat Anda akses. AWS Backup merekomendasikan menggunakan kunci yang AWS dimiliki.

  10. (Opsional) Tambahkan tag yang akan membantu Anda mencari dan mengidentifikasi brankas celah udara Anda secara logis. Misalnya, Anda bisa menambahkan BackupType:Financial tag.

  11. Pilih Buat lemari besi.

  12. Tinjau pengaturan. Jika semua pengaturan ditampilkan seperti yang Anda inginkan, pilih Buat brankas dengan celah udara secara logis.

  13. Konsol akan membawa Anda ke halaman detail brankas baru Anda. Verifikasi detail brankas seperti yang diharapkan.

  14. Pilih Vaults untuk melihat brankas di akun Anda. Lemari besi Anda yang memiliki lubang udara secara logis akan ditampilkan. Kunci KMS akan tersedia sekitar 1 hingga 3 menit setelah pembuatan brankas. Segarkan halaman untuk melihat kunci terkait. Setelah kunci terlihat, lemari besi dalam keadaan tersedia dan dapat digunakan.

AWS CLI

Buat brankas yang memiliki celah udara secara logis dari CLI

Anda dapat menggunakannya AWS CLI untuk melakukan operasi secara terprogram untuk kubah yang memiliki celah udara secara logis. Setiap CLI khusus untuk AWS layanan di mana ia berasal. Perintah yang terkait dengan berbagi ditambahkan denganaws ram; semua perintah lainnya harus ditambahkan dengan. aws backup

Gunakan perintah CLI create-logically-air-gapped-backup-vault, dimodifikasi dengan parameter berikut:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

--encryption-key-arnParameter opsional memungkinkan Anda menentukan kunci KMS yang dikelola pelanggan untuk enkripsi vault. Jika tidak disediakan, brankas akan menggunakan kunci yang AWS dimiliki.

Contoh perintah CLI untuk membuat brankas yang memiliki lubang udara secara logis:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Contoh perintah CLI untuk membuat brankas dengan celah udara secara logis dengan enkripsi yang dikelola pelanggan:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

Lihat elemen respons CreateLogicallyAirGappedBackupVault API untuk informasi setelah operasi pembuatan. Jika operasi berhasil, brankas baru yang memiliki celah udara secara logis akan memiliki. VaultState CREATING

Setelah pembuatan selesai dan kunci terenkripsi KMS telah ditetapkan, VaultState akan beralih ke. AVAILABLE Setelah tersedia, lemari besi dapat digunakan. VaultStatedapat diambil dengan menelepon DescribeBackupVaultatau ListBackupVaults.

Lihat detail brankas dengan celah udara secara logis

Anda dapat melihat detail vault seperti ringkasan, titik pemulihan, sumber daya yang dilindungi, berbagi akun, kebijakan akses, dan tag melalui AWS Backup konsol atau AWS Backup CLI.

Console

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Pilih Vaults dari navigasi sebelah kiri.

  3. Di bawah deskripsi brankas akan ada tiga daftar, Vault yang dibuat oleh akun ini, Vaults dibagikan melalui RAM, dan Vaults dapat diakses melalui persetujuan Multi-pihak. Pilih tab yang diinginkan untuk melihat brankas.

  4. Di bawah nama Vault, klik nama brankas untuk membuka halaman detail. Anda dapat melihat ringkasan, titik pemulihan, sumber daya yang dilindungi, berbagi akun, kebijakan akses, dan detail tag.

    Detail ditampilkan tergantung pada jenis akun: Akun yang memiliki brankas dapat melihat berbagi akun; akun yang tidak memiliki brankas tidak akan dapat melihat berbagi akun. Untuk brankas bersama, jenis kunci enkripsi (kunci KMS yang AWS dimiliki atau dikelola pelanggan) ditampilkan dalam ringkasan vault.

AWS CLI

Lihat detail brankas yang memiliki celah udara secara logis melalui CLI

Perintah CLI describe-backup-vaultdapat digunakan untuk mendapatkan detail tentang lemari besi. Parameter backup-vault-name diperlukan; region adalah opsional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Contoh respon:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Membuat cadangan di brankas yang memiliki celah udara secara logis

Logika air-gapped vaults dapat menjadi target tujuan pekerjaan salinan dalam rencana cadangan atau target untuk pekerjaan salinan sesuai permintaan. Ini juga dapat digunakan sebagai target cadangan utama. Lihat Pencadangan utama ke brankas yang memiliki celah udara secara logis.

Enkripsi yang kompatibel

Pekerjaan penyalinan yang berhasil dari brankas cadangan ke brankas dengan celah udara secara logis memerlukan kunci enkripsi yang ditentukan oleh jenis sumber daya yang disalin.

Saat Anda membuat atau menyalin cadangan dari jenis sumber daya yang dikelola sepenuhnya, sumber daya dapat dienkripsi oleh kunci yang dikelola pelanggan atau dengan kunci AWS terkelola.

Saat Anda membuat atau menyalin cadangan jenis sumber daya lain (yang tidak dikelola sepenuhnya), sumber harus dienkripsi dengan kunci yang dikelola pelanggan. AWS kunci terkelola untuk sumber daya yang tidak dikelola sepenuhnya tidak didukung.

Buat atau salin cadangan ke brankas yang memiliki celah udara secara logis melalui rencana cadangan

Anda dapat menyalin cadangan (titik pemulihan) dari brankas cadangan standar ke brankas dengan celah udara secara logis dengan membuat rencana cadangan baru atau memperbarui yang sudah ada di AWS Backup konsol atau melalui perintah dan. AWS CLI create-backup-planupdate-backup-plan Anda juga dapat membuat cadangan secara langsung di brankas yang memiliki celah udara secara logis dengan menggunakannya sebagai target utama. Lihat Pencadangan utama ke brankas dengan celah udara secara logis untuk detail selengkapnya.

Anda dapat menyalin cadangan dari satu brankas yang memiliki celah udara secara logis ke brankas lain yang memiliki celah udara sesuai permintaan (jenis cadangan ini tidak dapat dijadwalkan dalam rencana cadangan). Anda dapat menyalin cadangan dari brankas yang memiliki celah udara secara logis ke brankas cadangan standar selama salinannya dienkripsi dengan kunci yang dikelola pelanggan.

Salinan cadangan sesuai permintaan ke brankas yang memiliki celah udara secara logis

Untuk membuat salinan cadangan satu kali sesuai permintaan ke brankas yang memiliki celah udara secara logis, Anda dapat menyalin dari brankas cadangan standar. Salinan lintas wilayah atau lintas akun tersedia jika jenis sumber daya mendukung jenis salinan.

Ketersediaan salinan

Salinan cadangan dapat dibuat dari akun tempat brankas itu berada. Akun yang dengannya brankas telah dibagikan memiliki kemampuan untuk melihat atau memulihkan cadangan, tetapi tidak untuk membuat salinan.

Hanya jenis sumber daya yang mendukung salinan lintas wilayah atau lintas akun yang dapat disertakan.

Console

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Pilih Vaults dari navigasi sebelah kiri.

  3. Di halaman detail vault, semua titik pemulihan di dalam brankas itu ditampilkan. Tempatkan tanda centang di sebelah titik pemulihan yang ingin Anda salin.

  4. Pilih Tindakan, lalu pilih Salin dari menu tarik-turun.

  5. Pada layar berikutnya, masukkan detail tujuan.

    1. Tentukan wilayah tujuan.

    2. Menu drop-down vault cadangan tujuan menampilkan brankas tujuan yang memenuhi syarat. Pilih salah satu dengan tipe logically air-gapped vault

  6. Pilih Salin setelah semua detail diatur ke preferensi Anda.

Pada halaman Pekerjaan di konsol, Anda dapat memilih Salin pekerjaan untuk melihat pekerjaan salinan saat ini.

AWS CLI

Gunakan start-copy-jobuntuk menyalin cadangan yang ada di brankas cadangan ke brankas yang memiliki celah udara secara logis.

Contoh masukan CLI:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Untuk informasi selengkapnya, lihat Menyalin cadangan, Pencadangan lintas wilayah, dan Pencadangan lintas akun.

Bagikan lemari besi yang memiliki celah udara secara logis

Anda dapat menggunakan AWS Resource Access Manager (RAM) untuk berbagi brankas yang memiliki celah udara secara logis dengan akun lain yang Anda tunjuk. Saat berbagi brankas, informasi jenis kunci enkripsi (kunci KMS yang AWS dimiliki atau dikelola pelanggan) dipertahankan dan terlihat oleh akun yang digunakan untuk berbagi brankas.

Vault dapat dibagikan dengan akun di organisasinya atau dengan akun di organisasi lain. Vault tidak dapat dibagikan dengan seluruh organisasi, hanya dengan akun di dalam organisasi.

Hanya akun dengan hak istimewa IAM tertentu yang dapat berbagi dan mengelola berbagi brankas.

Untuk berbagi menggunakan AWS RAM, pastikan Anda memiliki yang berikut:

  • Dua atau lebih akun yang dapat diakses AWS Backup

  • Akun pemilik Vault yang bermaksud berbagi memiliki izin RAM yang diperlukan. Izin ram:CreateResourceShare diperlukan untuk prosedur ini. Kebijakan ini AWSResourceAccessManagerFullAccess berisi semua izin terkait RAM yang diperlukan:

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Setidaknya satu lemari besi yang memiliki celah udara secara logis

Console

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Pilih Vaults dari navigasi sebelah kiri.

  3. Di bawah deskripsi brankas akan ada dua daftar, Vault yang dimiliki oleh akun ini dan Vaults dibagikan dengan akun ini. Brankas yang dimiliki oleh akun memenuhi syarat untuk dibagikan.

  4. Di bawah nama Vault, pilih nama brankas yang memiliki celah udara secara logis untuk membuka halaman detail.

  5. Panel berbagi akun menunjukkan dengan akun mana vault sedang dibagikan.

  6. Untuk mulai berbagi dengan akun lain atau mengedit akun yang sudah dibagikan, pilih Kelola berbagi.

  7. AWS RAM Konsol terbuka saat Kelola berbagi dipilih. Untuk langkah-langkah berbagi sumber daya menggunakan AWS RAM, lihat Membuat pembagian sumber daya dalam AWS RAM di Panduan Pengguna AWS RAM.

  8. Akun yang diundang untuk menerima undangan untuk menerima bagian memiliki 12 jam untuk menerima undangan. Lihat Menerima dan menolak undangan berbagi sumber daya di Panduan Pengguna RAM.AWS

  9. Jika langkah berbagi selesai dan diterima, halaman ringkasan vault akan ditampilkan di bawah Berbagi akun = “Dibagikan - lihat tabel berbagi akun di bawah”.

AWS CLI

AWS RAM menggunakan perintah CLI. create-resource-share Akses ke perintah ini hanya tersedia untuk akun dengan izin yang memadai. Lihat Membuat berbagi sumber daya AWS RAM untuk langkah-langkah CLI.

Langkah 1 hingga 4 dilakukan dengan akun yang memiliki brankas celah udara secara logis. Langkah 5 hingga 8 dilakukan dengan akun yang digunakan untuk berbagi brankas yang memiliki celah udara secara logis.

  1. Masuk ke akun pemilik ATAU minta pengguna di organisasi Anda dengan kredensyal yang cukup untuk mengakses akun sumber menyelesaikan langkah-langkah ini.

    1. Jika pembagian sumber daya sebelumnya dibuat dan Anda ingin menambahkan sumber daya tambahan ke dalamnya, gunakan CLI associate-resource-share sebagai gantinya dengan ARN dari brankas baru.

  2. Ambil kredensi peran dengan izin yang cukup untuk dibagikan melalui RAM. Masukkan ini ke dalam CLI.

    1. Izin ram:CreateResourceShare diperlukan untuk prosedur ini. Kebijakan ini AWSResourceAccessManagerFullAccessberisi semua izin terkait RAM.

  3. Gunakan create-resource-share.

    1. Sertakan ARN dari brankas yang berlubang udara secara logis.

    2. Contoh masukan:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Contoh output:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Salin ARN berbagi sumber daya dalam output (yang diperlukan untuk langkah selanjutnya). Berikan ARN kepada operator akun yang Anda undang untuk menerima bagian.

  5. Dapatkan pembagian sumber daya ARN

    1. Jika Anda tidak melakukan langkah 1 sampai 4, dapatkan resourceShareArn dari siapa pun yang melakukannya.

    2. Contoh: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. Dalam CLI, asumsikan kredensil akun penerima.

  7. Dapatkan undangan berbagi sumber daya dengan get-resource-share-invitations. Untuk informasi selengkapnya, lihat Menerima dan menolak undangan di Panduan Pengguna.AWS RAM

  8. Terima undangan di akun tujuan (pemulihan).

    1. Gunakan accept-resource-share-invitation(bisa juga reject-resource-share-invitation).

Anda dapat menggunakan perintah AWS RAM CLI untuk melihat item bersama:

  • Sumber daya yang telah Anda bagikan:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Tunjukkan kepala sekolah:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Sumber daya yang dibagikan oleh akun lain:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Kembalikan cadangan dari brankas yang memiliki lubang udara secara logis

Anda dapat memulihkan cadangan yang disimpan dalam brankas yang memiliki celah udara secara logis baik dari akun yang memiliki brankas atau dari akun mana pun yang digunakan untuk berbagi brankas.

Lihat Memulihkan cadangan untuk informasi tentang cara memulihkan titik pemulihan melalui AWS Backup konsol.

Setelah cadangan dibagikan dari brankas yang memiliki celah udara secara logis ke akun Anda, Anda dapat menggunakannya start-restore-jobuntuk memulihkan cadangan.

Contoh input CLI dapat mencakup perintah dan parameter berikut:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Hapus brankas yang memiliki celah udara secara logis

Lihat menghapus brankas. Vault tidak dapat dihapus jika masih berisi cadangan (titik pemulihan). Pastikan vault kosong dari cadangan sebelum Anda memulai operasi penghapusan.

Penghapusan vault juga menghapus kunci yang terkait dengan vault tujuh hari setelah vault dihapus sesuai dengan kebijakan penghapusan kunci.

Contoh perintah CLI berikut delete-backup-vaultdapat digunakan untuk menghapus vault.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opsi terprogram tambahan untuk kubah celah udara secara logis

Perintah CLI list-backup-vaultsdapat dimodifikasi untuk mencantumkan semua brankas yang dimiliki oleh dan hadir di akun:

aws backup list-backup-vaults
--region us-east-1

Untuk membuat daftar hanya brankas yang memiliki celah udara secara logis, tambahkan parameternya

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Sertakan parameter by-shared untuk memfilter daftar brankas yang dikembalikan untuk hanya menampilkan brankas celah udara yang dibagikan secara logis. Respons akan mencakup informasi tipe kunci enkripsi untuk setiap brankas bersama.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Contoh respons yang menunjukkan informasi tipe kunci enkripsi:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

Memahami tipe kunci enkripsi untuk brankas yang berlubang udara secara logis

Logika air-gapped vaults mendukung berbagai jenis kunci enkripsi, dan informasi ini terlihat melalui dan konsol. AWS Backup APIs Ketika vault dibagikan melalui AWS RAM atau MPA, informasi jenis kunci enkripsi disimpan dan dibuat terlihat oleh akun yang digunakan untuk berbagi brankas. Transparansi ini membantu Anda memahami konfigurasi enkripsi brankas dan membuat keputusan berdasarkan informasi tentang operasi pencadangan dan pemulihan.

Nilai tipe kunci enkripsi

EncryptionKeyTypeBidang dapat memiliki nilai-nilai berikut:

  • AWS_OWNED_KMS_KEY- Brankas dienkripsi dengan kunci yang AWS dimiliki. Ini adalah metode enkripsi default untuk brankas dengan celah udara secara logis ketika tidak ada kunci yang dikelola pelanggan yang ditentukan.

  • CUSTOMER_MANAGED_KMS_KEY- Brankas dienkripsi dengan kunci KMS yang dikelola pelanggan yang Anda kontrol. Opsi ini memberikan kontrol tambahan atas kunci enkripsi dan kebijakan akses.

catatan

  • AWS Backup merekomendasikan penggunaan kunci AWS yang dimiliki dengan brankas yang berlubang udara secara logis.

  • Jika kebijakan organisasi Anda mengharuskan menggunakan kunci yang dikelola pelanggan, AWS tidak merekomendasikan penggunaan kunci dari akun yang sama, kecuali untuk pengujian. Untuk beban kerja produksi, gunakan kunci yang dikelola pelanggan dari akun lain di organisasi sekunder yang didedikasikan untuk pemulihan sebagai praktik terbaik. Anda dapat mereferensikan blog Encrypt AWS Backup logika air-gapped vaults dengan kunci yang dikelola pelanggan untuk mengumpulkan lebih banyak wawasan tentang pengaturan brankas celah udara berbasis CMK secara logis.

  • Anda hanya dapat memilih kunci enkripsi AWS KMS selama pembuatan vault. Setelah dibuat, semua cadangan yang terdapat di brankas akan dienkripsi dengan kunci itu. Anda tidak dapat mengubah atau memigrasikan vault Anda untuk menggunakan kunci enkripsi yang berbeda.

Kebijakan utama untuk pembuatan brankas celah udara terenkripsi CMK secara logis

Saat membuat brankas dengan celah udara secara logis dengan kunci yang dikelola pelanggan, Anda harus menerapkan kebijakan AWSAWSBackupFullAccess -managed ke peran akun Anda. Kebijakan ini mencakup Allow tindakan yang memungkinkan AWS Backup untuk berinteraksi dengan AWS KMS pembuatan hibah pada kunci KMS selama operasi pencadangan, penyalinan, dan penyimpanan. Selain itu, Anda harus memastikan kebijakan kunci terkelola pelanggan Anda (jika digunakan) mencakup izin khusus yang diperlukan.

  • CMK harus dibagikan dengan akun tempat brankas celah udara secara logis berada

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

Kebijakan utama untuk menyalin/memulihkan

Untuk mencegah kegagalan pekerjaan, tinjau kebijakan AWS KMS kunci Anda untuk memastikannya mencakup semua izin yang diperlukan dan tidak berisi pernyataan penolakan yang dapat memblokir operasi. Ketentuan berikut berlaku:

  • Untuk semua skenario penyalinan, CMKs harus dibagikan dengan peran penyalinan sumber

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • Saat menyalin dari brankas CMK yang dienkripsi secara logis dengan celah udara ke brankas cadangan, CMK juga harus dibagikan dengan akun tujuan SLR

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • Saat menyalin atau memulihkan dari akun pemulihan menggunakan brankas dengan celah udara yang RAM/MPA dibagikan secara logis

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

Peran IAM

Saat melakukan operasi penyalinan brankas dengan celah udara secara logis, pelanggan dapat memanfaatkan yang mencakup kebijakan AWSBackupDefaultServiceRole yang dikelola. AWSAWSBackupServiceRolePolicyForBackup Namun, jika pelanggan lebih memilih untuk menerapkan pendekatan kebijakan hak istimewa terkecil, kebijakan IAM mereka harus mencakup persyaratan khusus:

  • Peran salinan akun sumber harus memiliki izin akses ke sumber dan tujuan CMKs.

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

Akibatnya, salah satu kesalahan pelanggan yang paling umum terjadi selama penyalinan ketika pelanggan gagal memberikan izin yang cukup pada peran mereka CMKs dan menyalin.

Melihat jenis kunci enkripsi

Anda dapat melihat informasi jenis kunci enkripsi melalui AWS Backup konsol dan secara terprogram menggunakan or. AWS CLI SDKs

Konsol: Saat melihat brankas dengan celah udara secara logis di AWS Backup konsol, jenis kunci enkripsi ditampilkan di halaman detail vault di bawah bagian informasi keamanan.

AWS CLI/API: Jenis kunci enkripsi dikembalikan sebagai respons operasi berikut saat menanyakan brankas dengan celah udara secara logis:

  • list-backup-vaults(termasuk --by-shared untuk brankas bersama)

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

Pertimbangan untuk enkripsi vault

Saat bekerja dengan brankas yang memiliki celah udara dan tipe kunci enkripsi secara logis, pertimbangkan hal berikut:

  • Pemilihan kunci selama pembuatan: Anda dapat secara opsional menentukan kunci KMS yang dikelola pelanggan saat membuat brankas dengan celah udara secara logis. Jika tidak ditentukan, kunci AWS-owned akan digunakan.

  • Visibilitas vault bersama: Akun yang digunakan untuk berbagi vault dapat melihat jenis kunci enkripsi tetapi tidak dapat mengubah konfigurasi enkripsi.

  • Informasi titik pemulihan: Jenis kunci enkripsi juga tersedia saat melihat titik pemulihan dalam brankas yang celah udara secara logis.

  • Mengembalikan operasi: Memahami jenis kunci enkripsi membantu Anda merencanakan operasi pemulihan dan memahami persyaratan akses potensial.

  • Kepatuhan: Informasi jenis kunci enkripsi mendukung pelaporan kepatuhan dan persyaratan audit dengan memberikan transparansi ke dalam metode enkripsi yang digunakan untuk data cadangan.

Memecahkan masalah brankas yang memiliki celah udara secara logis

Jika Anda menemukan kesalahan selama alur kerja Anda, lihat contoh kesalahan berikut dan resolusi yang disarankan:

AccessDeniedException

Kesalahan: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Kemungkinan penyebabnya: Parameter --backup-vault-account-id tidak disertakan saat salah satu permintaan berikut dijalankan di brankas yang dibagikan oleh RAM:

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Resolusi: Coba lagi perintah yang mengembalikan kesalahan, tetapi sertakan parameter --backup-vault-account-id yang menentukan akun yang memiliki brankas.

OperationNotPermittedException

Kesalahan: OperationNotPermittedException dikembalikan setelah CreateResourceShare panggilan.

Kemungkinan penyebabnya: Jika Anda mencoba berbagi sumber daya, seperti brankas yang memiliki celah udara secara logis, dengan organisasi lain, Anda mungkin mendapatkan pengecualian ini. Vault dapat dibagikan dengan akun di organisasi lain, tetapi tidak dapat dibagikan dengan organisasi lain itu sendiri.

Resolusi: Coba lagi operasi, tetapi tentukan akun sebagai nilai untuk principals alih-alih organisasi atau OU.

Jenis kunci enkripsi tidak ditampilkan

Masalah: Jenis kunci enkripsi tidak terlihat saat melihat brankas yang memiliki celah udara secara logis atau titik pemulihannya.

Kemungkinan penyebabnya:

  • Anda melihat brankas lama yang dibuat sebelum dukungan tipe kunci enkripsi ditambahkan

  • Anda menggunakan versi AWS CLI atau SDK yang lebih lama

  • Respons API tidak menyertakan bidang tipe kunci enkripsi

Resolusi:

  • Perbarui versi Anda AWS CLI ke versi terbaru

  • Untuk vault yang lebih lama, tipe kunci enkripsi akan diisi secara otomatis dan akan muncul dalam panggilan API berikutnya

  • Verifikasi bahwa Anda menggunakan operasi API yang benar yang mengembalikan informasi tipe kunci enkripsi

  • Untuk brankas bersama, verifikasi bahwa vault dibagikan dengan benar AWS Resource Access Manager

“GAGAL” VaultState AccessDeniedException dengan CloudTrail log

Kesalahan dalam CloudTrail: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

Kemungkinan penyebabnya:

  • Vault dibuat menggunakan kunci terkelola pelanggan, tetapi peran yang diasumsikan tidak memiliki CreateGrant izin pada kebijakan kunci yang diperlukan untuk menggunakan kunci untuk pembuatan vault

Resolusi: