論理エアギャップボールト - AWS Backup
論理エアギャップボールトの概要論理エアギャップボールトのユースケース標準のバックアップボールトとの比較対照論理エアギャップボールトの作成論理エアギャップボールトの詳細の表示論理エアギャップボールトへのコピー論理エアギャップボールトの共有論理エアギャップボールトからのバックアップの復元論理エアギャップボールトの削除論理エアギャップボールトのその他のプログラムオプション論理エアギャップボールトの問題のトラブルシューティング

論理エアギャップボールト

論理エアギャップボールトの概要

AWS Backup には、追加のセキュリティ機能を備えたコンテナにバックアップのコピーを保存できる、セカンダリタイプのボールトがあります。論理エアギャップボールトは、特別なボールトとして、標準バックアップボールトを超えた追加のセキュリティを提供するほか、他のアカウントとボールトへのアクセスを共有できるため、リソースの迅速な復旧が必要なインシデントが発生した場合に、目標復旧時間 (RTO) を速くし、柔軟性を高めることができます。

論理エアギャップボールトには、追加の保護機能が備わっています。各ボールトは AWS 所有キーで暗号化され、AWS Backup ボールトロックのコンプライアンスモードが備わっています。

論理エアギャップボールトをマルチパーティー承認と統合して、ボールト所有アカウントにアクセスできない場合でもボールト内のバックアップの復旧を有効にすることができるため、ビジネス継続性の維持に役立ちます。さらに、AWS Resource Access Manager (RAM) と統合して論理エアギャップボールトを他の AWS アカウント (他の組織内のアカウントを含む) と共有することで、ボールト内に保存されたバックアップを、データ損失の復旧または復元テストに必要な場合にボールトが共有されているアカウントから復元できます。このセキュリティ強化の一環として、論理エアギャップボールトはバックアップを AWS Backup サービス所有のアカウントに保存します (その結果、バックアップは AWS CloudTrail ログの属性項目の変更で組織外の共有として表示されます)。

論理エアギャップボールトでサポートされているサービスのバックアップのストレージ料金は、[AWS Backup の料金] ページで確認できます。

論理エアギャップボールトにコピーできるリソースタイプについては、「リソース別の機能の可用性」を参照してください。

重要

Amazon EC2 バックアップを論理エアギャップボールトにコピーする場合、AWS Backup は Amazon EC2 自体よりも厳格なタグ文字制限を適用します。Amazon EC2 ではタグに任意の文字を使用できますが、AWS Backup では、有効な文字 (a~z、A~Z、0~9、.、+、-、=、:、_、@、/) または空白のみで構成されるタグが必要です。Amazon EC2 のタグの制限については、「Amazon EC2 リソースのタグ付け」を参照してください。

トピック

論理エアギャップボールトのユースケース

論理エアギャップボールトは、データ保護戦略の一環として機能するセカンダリボールトです。このボールトは、次のようなバックアップ用ボールトを希望する場合に、組織的な保持戦略と復元を強化するのに役立ちます。

  • コンプライアンスモードで自動的にボールトロックが設定されるもの

  • AWS 所有キーで暗号化されるもの

  • AWS RAM を通じて、バックアップを作成したアカウントとは別のアカウントと共有したり復元したりできるバックアップが含まれているもの

考慮事項と制限事項

  • 論理エアギャップボールトとの間のクロスリージョンコピーは、現在のところ、Amazon Aurora、Amazon DocumentDB、および Amazon Neptune を含むバックアップでは利用できません。

  • 論理エアギャップボールトにコピーされる 1 つ以上の Amazon EBS ボリュームを含むバックアップは、16 TB 未満である必要があります。これより大きいサイズのリソースタイプのバックアップはサポートされていません。

  • Amazon EC2 は EC2 で許可された AMI を提供します。アカウントでこの設定が有効になっている場合は、エイリアス aws-backup-vault を許可リストに追加します。

    このエイリアスが含まれていない場合、論理エアギャップボールトからバックアップボールトへのコピーオペレーティングシステムおよび論理エアギャップボールトからの EC2 インスタンスの復元オペレーションは失敗し、「Source AMI ami-xxxxxx not found in Region」などのエラーメッセージが表示されます。

  • 論理エアギャップボールトに保存されている復旧ポイントの ARN (Amazon リソースネーム) は、基盤となるリソースタイプの代わりに backup を持ちます。例えば、元の ARN が arn:aws:ec2:region::image/ami-* で始まる場合、論理エアギャップボールトの復旧ポイントの ARN は arn:aws:backup:region:account-id:recovery-point:* になります。

    ARN は、CLI コマンド list-recovery-points-by-backup-vault を使用して調べることができます。

標準のバックアップボールトとの比較対照

バックアップボールトは、AWS Backup で使用されているプライマリ標準タイプです。バックアップが作成されると、各バックアップはバックアップボールトに保存されます。リソースベースのポリシーを割り当てて、ボールト内に保存されているバックアップのライフサイクルなど、ボールトに保存されているバックアップを管理できます。

論理エアギャップボールトは、セキュリティが強化され、復旧時間 (RTO) を短縮するための柔軟な共有機能を備えた特別なボールトです。このボールトには、最初に作成されて標準のバックアップボールトに保存されたバックアップのコピーが保管されます。

バックアップボールトはキーで暗号化されます。これは、アクセスを、意図されているユーザーに制限するセキュリティメカニズムです。このキーは、カスタマー管理または AWS 管理とすることができます。論理エアギャップボールトへのコピーなど、コピージョブ中の暗号化動作については、「コピーの暗号化」を参照してください。

さらに、バックアップボールトはボールトロックを通じてさらに保護できます。論理エアギャップボールトには、コンプライアンスモードのボールトロックが備わっています。

機能 バックアップボールト 論理エアギャップボールト
AWS Backup Audit Manager AWS Backup Audit Manager コントロールと修正 を使用してバックアップボールトをモニタリングできます。 特定のリソースのバックアップのコピーが、標準ボールトで使用できるコントロールに加えて、決定したスケジュールで少なくとも 1 つの論理エアギャップボールトにコピーされていることを確認します。

バックアップの作成

バックアップが作成されると、復旧ポイントとして保存されます。

作成時にはバックアップはこのボールトには保存されません。

バックアップストレージ

リソースの初期バックアップとバックアップのコピーを保存できます

他のボールトからのバックアップのコピーを保存できます

請求

AWS Backup によって完全に管理されるリソースのストレージおよびデータ転送料金は、「AWS Backup」で発生します。その他のリソースタイプのストレージおよびデータ転送料金は、それぞれのサービスで発生します。

例えば、Amazon EBS バックアップは「Amazon EBS」で発生し、Amazon S3 バックアップは「AWS Backup」で発生します。

これらのボールト (ストレージまたはデータ転送) からのすべての請求料金は、「AWS Backup」で発生します。

リージョン

AWS Backup が運用されるすべてのリージョンで使用できます

AWS Backup でサポートされているほとんどのリージョンで使用できます。現在のところ、アジアパシフィック (マレーシア)、カナダ西部 (カルガリー)、中国 (北京)、中国 (寧夏)、AWS GovCloud (米国東部)、または AWS GovCloud (米国西部) では利用できません。

リソース

クロスアカウントコピーをサポートするほとんどのリソースタイプのバックアップのコピーを保存できます。

このボールトにコピーできるリソースについては、リソース別の機能の可用性 の論理エアギャップボールトの列を参照してください。

復元

バックアップは、ボールトが属しているのと同じアカウントで復元できます。

ボールトが属しているのとは別のアカウントでボールトが共有されている場合、その別のアカウントでバックアップを復元できます。

セキュリティ

オプションでキー (カスタマーマネージドキーまたは AWS マネージドキー) による暗号化が可能です

オプションで、コンプライアンスモードまたはガバナンスモードでボールトロックを使用できます

AWS 所有キーで暗号化されます

コンプライアンスモードでは常にボールトロックでロックされます

共有

アクセスはポリシーと AWS Organizations によって管理できます

AWS RAM との互換性がありません

オプションとして、AWS RAM を用いてアカウント間で共有できます

論理エアギャップボールトの作成

論理エアギャップボールトは、AWS Backup コンソールを通じて、または AWS Backup および AWS RAM CLI コマンドの組み合わせを通じて作成できます。

論理エアギャップには、それぞれコンプライアンスモードのボールトロックが備わっています。オペレーションに最適な保持期間値を決定するには、「AWS Backup のボールトロック」を参照してください。

Console
論理エアギャップボールトをコンソールから作成する

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、[ボールト] を選択します。

  3. どちらのタイプのボールトも表示されます。[新しいボールトを作成] を選択します。

  4. バックアップボールトの名前を入力します。保存するものがわかるような名前や、必要なバックアップを検索しやすい名前を付けることができます。例えば、FinancialBackups のような名前を付けます。

  5. [論理エアギャップボールト] ラジオボタンを選択します。

  6. [最小保持期間] を設定します。

    この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最短期間です。保持期間がこの値より短いバックアップは、このボールトにコピーできません。

    許容される最小値は 7 日です。月と年の値は、この最小値を満たします。

  7. [最大保持期間] を設定します。

    この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最長期間です。保持期間がこの値を超えるバックアップは、このボールトにコピーできません。

  8. (オプション) 論理エアギャップボールトを検索して識別するのに役立つタグを追加します。例えば、BackupType:Financial というタグを追加できます。

  9. [ボールトを作成] を選択します。

  10. 設定を確認します。すべての設定が意図したとおりに表示されたら、[論理的にエアギャップのあるボールトを作成] を選択します。

  11. コンソールに新しいボールトの詳細ページが表示されます。ボールトの詳細が想定どおりであることを確認します。

  12. [ボールト] を選択して、アカウントのボールトを表示します。論理エアギャップボールトが表示されます。KMS キーは、ボールトの作成から約 1~3 分後に使用可能になります。ページを更新して、関連するキーを確認します。キーが表示されると、ボールトは使用可能な状態になり、使用できます。

AWS CLI

CLI からの論理エアギャップボールトの作成

AWS CLI を使用すると、論理エアギャップボールトの操作をプログラム的に実行できます。各 CLI は、その開始元の AWS サービスに固有です。共有に関連するコマンドには aws ram が付加されています。他のすべてのコマンドには aws backup が付加される必要があります。

CLI コマンド create-logically-air-gapped-backup-vault を、以下のパラメータで変更して使用します。

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

論理エアギャップボールトを作成する CLI コマンドの例:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

作成オペレーション後の情報については、「CreateLogicallyAirGappedBackupVault API レスポンス要素」を参照してください。オペレーションが成功すると、新しい論理エアギャップボールトの VaultState は CREATING になります。

作成が完了し、KMS 暗号化キーが割り当てられると、VaultState は AVAILABLE に移行します。使用可能になったら、ボールトを使用できます。VaultState は、DescribeBackupVault または ListBackupVaults を呼び出して取得できます。

論理エアギャップボールトの詳細の表示

AWS Backup コンソールまたは AWS Backup CLI を通じて、概要、復旧ポイント、保護対象リソース、アカウント共有、アクセスポリシー、タグなど、ボールトの詳細を表示できます。

Console

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[ボールト] を選択します。

  3. ボールトの説明の下には、「このアカウントが所有するボールト」と「このアカウントと共有されるボールト」の 2 つのリストが表示されます。ボールトを表示するには、目的のタブを選択します。

  4. [ボールト名] で、ボールトの名前をクリックして詳細ページを開きます。概要、復旧ポイント、保護対象リソース、アカウント共有、アクセスポリシー、タグの詳細を表示できます。

    アカウントタイプに応じて詳細が表示されます。ボールトを所有するアカウントはアカウント共有を表示できます。ボールトを所有していないアカウントはアカウント共有を表示できません。

AWS CLI

CLI を通じた論理エアギャップボールト詳細の表示

CLI コマンド describe-backup-vault を使用して、ボールトに関する詳細を取得できます。パラメータ backup-vault-name は必須で、region はオプションです。

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

レスポンスの例:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

論理エアギャップボールトへのコピー

論理エアギャップボールトは、バックアッププランではコピージョブのコピー先ターゲット、またはオンデマンドコピージョブのターゲットにしかなれません。

互換性のある暗号化

バックアップボールトから論理エアギャップボールトへのコピージョブが成功するためには、コピーするリソースタイプによって決定される暗号化キーが必要です。

フルマネージドリソースタイプのバックアップをコピーすると、(標準バックアップボールトの) ソースバックアップをカスタマー管理キーまたは AWS マネージドキーで暗号化できます。

他のリソースタイプのバックアップをコピーする場合 (フルマネージド型ではないもの)、バックアップとバックアップされたリソースの両方をカスタマー管理キーで暗号化する必要があります。リソースタイプの AWS マネージドキーはコピーに対してはサポートされていません。

バックアッププランを通じた論理エアギャップボールトへのコピー

バックアップ (復旧ポイント) を標準のバックアップボールトから論理エアギャップボールトにコピーするには、新しいバックアッププランを作成する、AWS Backup コンソールで既存のバックアッププランを更新する、または AWS CLI コマンド create-backup-plan および update-backup-plan を使用する方法があります。

バックアップは、論理エアギャップボールトから別の論理エアギャップボールトにオンデマンドでコピーできます (このタイプのバックアップはバックアッププランではスケジュールできません)。コピーがカスタマー管理キーで暗号化されている限り、論理エアギャップボールトから標準バックアップボールトにバックアップをコピーできます。

論理エアギャップボールトへのオンデマンドバックアップコピー

論理エアギャップボールトへのバックアップのワンタイムのオンデマンドコピーを作成するには、標準のバックアップボールトからコピーします。リソースタイプがコピータイプをサポートしている場合は、クロスリージョンコピーまたはクロスアカウントコピーを使用できます。

コピーの可用性

バックアップのコピーは、ボールトが属しているアカウントから作成できます。ボールトが共有されているアカウントは、バックアップを表示または復元できますが、コピーを作成することはできません。

クロスリージョンコピーまたはクロスアカウントコピーをサポートするリソースタイプのみを含めることができます。

Console

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[ボールト] を選択します。

  3. ボールトの詳細ページには、そのボールト内のすべての復旧ポイントが表示されます。コピーする復旧ポイントの横にチェックマークを付けます。

  4. 次に [アクション] を選択し、ドロップダウンメニューから [編集] を選択します。

  5. 次の画面で、コピー先の詳細を入力します。

    1. コピー先リージョンを指定します。

    2. コピー先バックアップボールトドロップダウンメニューに、対象となるコピー先ボールトが表示されます。そのうちの一つを選択し、「logically air-gapped vault」と入力します。

  6. すべての詳細設定を完了したら、[コピー] を選択します。

コンソールの [ジョブ] ページで [コピー] ジョブを選択すると、現在のコピージョブを表示できます。

AWS CLI

start-copy-job を使用して、バックアップボールトにある既存のバックアップを、論理エアギャップボールトにコピーします。

CLI 入力のサンプル:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

詳細については、「バックアップのコピー」、「クロスリージョンバックアップ」、「クロスアカウントバックアップ」を参照してください。

論理エアギャップボールトの共有

AWS Resource Access Manager (RAM) を使用すると、論理エアギャップボールトを、指定した他のアカウントと共有できます。

ボールトは、組織のアカウントまたは別の組織のアカウントと共有できます。ボールトを組織全体と共有することはできません。共有できるのは組織内のアカウントのみです。

ボールトの共有や共有管理ができるのは、特定の IAM 権限を持つアカウントだけです。

AWS RAM を使用して共有するには、次のものが準備されていることを確認してください。

  • AWS Backup にアクセスできる 2 つ以上のアカウント

  • 共有対象の、ボールトを所有するアカウントには、必要な RAM アクセス許可があります。この手順にはアクセス許可 ram:CreateResourceShare が必要です。ポリシー AWSResourceAccessManagerFullAccess には、必要な RAM 関連のアクセス許可がすべて含まれています。

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • 少なくとも 1 つの論理エアギャップボールト

Console

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[ボールト] を選択します。

  3. ボールトの説明の下には、「このアカウントが所有するボールト」と「このアカウントと共有されるボールト」の 2 つのリストが表示されます。アカウントが所有するボールトは共有の対象となります。

  4. [ボールト名]で、論理エアギャップボールトの名前を選択し、詳細ページを開きます。

  5. [アカウント共有] ペインには、ボールトがどのアカウントと共有されているかが表示されます。

  6. 別のアカウントとの共有を開始したり、すでに共有されているアカウントを編集したりするには、[共有の管理] を選択します。

  7. [共有の管理] を選択すると、AWS RAM コンソールが開きます。AWS RAM を使用してリソースを共有する手順については、「AWS RAM ユーザーガイド」の「AWS RAM でのリソース共有の作成」を参照してください。

  8. 共有を受信する招待を承諾するよう招待されたアカウントは、12 時間以内にその招待を受け入れる必要があります。「AWS RAM ユーザーガイド」の「リソース共有の招待の承諾と拒否」を参照してください。

  9. 共有手順が完了して承諾されると、ボールトの概要ページが [アカウント共有] = [共有 - 下記のアカウント共有表をご覧ください] の下に表示されます。

AWS CLI

AWS RAM で CLI コマンド create-resource-share を使用します。このコマンドにアクセスできるのは、十分なアクセス許可を持つアカウントだけです。CLI の手順については、「AWS RAM でのリソース共有の作成」を参照してください。

ステップ 1~4 は、論理エアギャップボールトを所有するアカウントで行います。ステップ 5~8 は、論理エアギャップボールトを共有するアカウントで行います。

  1. 所有しているアカウントにログインするか、ソースアカウントにアクセスするための十分な認証情報を組織のユーザーに要求すると、次の手順は完了します。

    1. リソース共有が以前に作成されており、それにリソースを追加する場合は、代わりに新しいボールトの ARN とともに CLI associate-resource-share を使用してください。

  2. RAM 経由で共有するのに十分な許可を持つロールの認証情報を取得します。これらを CLI に入力します

    1. この手順にはアクセス許可 ram:CreateResourceShare が必要です。すべての RAM 関連のアクセス許可は、ポリシー AWSResourceAccessManagerFullAccess に含まれています。

  3. [create-resource-share] を選択します。

    1. 論理エアギャップボールトの ARN を含めます。

    2. 入力例:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. 出力例:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. 出力内のリソース共有 ARN をコピーします (これは以降のステップで必要です)。共有の受け取りを招待するアカウントのオペレーターに ARN を渡します。

  5. リソース共有 ARN を取得します

    1. ステップ 1~4 を実行しなかった場合は、実行したユーザーから resourceShareArn を入手してください。

    2. 例:arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. CLI では、受取人のアカウントの認証情報を想定します。

  7. を使ってリソース共有の招待を取得します。。get-resource-share-invitations詳細については、「AWS RAM ユーザーガイド」の「招待の承諾と拒否」を参照してください。

  8. コピー先 (リカバリ) アカウントで招待を承諾します。

    1. accept-resource-share-invitation」を使用します (「reject-resource-share-invitation」も可能です)。

AWS RAM CLI コマンドを使用して、共有項目を表示できます。

  • 共有したリソース:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • プリンシパルを表示:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • 他のアカウントによって共有されるリソース:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

論理エアギャップボールトからのバックアップの復元

論理エアギャップボールトに保存されているバックアップは、そのボールトを所有しているアカウントから、またはそのボールトを共有している任意のアカウントから復元できます。

AWS Backup コンソールを通じて復旧ポイントを復元する方法については、「バックアップの復元」を参照してください。

論理エアギャップボールトからアカウントにバックアップが共有されたら、start-restore-job を使用してバックアップを復元できます。

サンプル CLI 入力には、次のコマンドとパラメータを含めることができます。

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

論理エアギャップボールトの削除

ボールトの削除」を参照してください。バックアップ (復旧ポイント) がまだ保存されているボールとは削除できません。削除操作を開始する前に、ボールトにバックアップがないことを確認してください。

ボールトを削除すると、キー削除ポリシーに従って、ボールトが削除されてから 7 日後に、ボールトに関連付けられたキーも削除されます。

以下のサンプル CLI コマンド「delete-backup-vault」を変更して、ボールトを削除できます。

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

論理エアギャップボールトのその他のプログラムオプション

CLI コマンド「list-backup-vaults」を変更して、アカウントが所有し、アカウント内に存在するすべてのボールトを一覧表示できます。

aws backup list-backup-vaults
--region us-east-1

論理エアギャップボールトのみを一覧表示するには、以下のパラメーターを追加します

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

by-shared パラメータを含め、返されたボールトのリストをフィルタリングして、共有された論理エアギャップボールトのみを表示します。

aws backup list-backup-vaults
--region us-east-1
--by-shared

論理エアギャップボールトの問題のトラブルシューティング

ワークフロー中にエラーが発生した場合は、次のエラー例と推奨される解決策を参照してください。

AccessDeniedException

エラー: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

考えられる原因: RAM によって共有されたボールトで次のリクエストのいずれかが実行されたときに、--backup-vault-account-id パラメータが含まれていませんでした。

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

解決策: エラーを返したコマンドを再試行します。ただし、ボールトを所有するアカウントを指定するパラメータ --backup-vault-account-id を含めます。

OperationNotPermittedException

エラー: CreateResourceShare を呼び出した後に OperationNotPermittedException が返されます。

考えられる原因: 論理エアギャップボールトなどのリソースを別の組織と共有しようとすると、この例外が発生する可能性があります。ボールトは別の組織のアカウントと共有できますが、他の組織自体と共有することはできません。

解決策: 組織または OU の代わりに principals の値としてアカウントを指定して、オペレーションを再試行します。