논리적 에어 갭 저장소 - AWS Backup
논리적 에어 갭 저장소에 대한 개요논리적 에어 갭 저장소의 사용 사례표준 백업 저장소와 비교 및 대조논리적 에어 갭 저장소 생성논리적 에어 갭 저장소의 세부 정보 보기논리적 에어 갭 저장소에서 백업 생성논리적 에어 갭 저장소 공유논리적 에어 갭 저장소에서 백업 복원논리적 에어 갭 저장소 삭제논리적 에어 갭 저장소에 대한 추가 프로그래밍 옵션논리적 에어 갭 저장소의 암호화 키 유형 이해논리적 에어 갭 저장소의 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

논리적 에어 갭 저장소

논리적 에어 갭 저장소에 대한 개요

AWS Backup 는 추가 보안 기능이 있는 컨테이너에 백업을 저장할 수 있는 보조 유형의 볼트를 제공합니다. 논리적 에어 갭 저장소는 표준적인 백업 저장소보다 향상된 보안 외에도, 다른 계정에 대한 저장소 액세스를 공유할 수 있는 기능을 제공하는 특수 저장소입니다. 이를 통해 리소스의 신속한 복원이 필요한 사고 발생 시에 목표 복구 시간(RTO)을 더 빠르고 유연하게 달성할 수 있습니다.

논리적 에어 갭 저장소에는 추가 보호 기능이 탑재되어 있습니다. 각 저장소는 AWS 소유 키(기본값) 또는 선택적으로 고객 관리형 KMS 키로 암호화되며 각 저장소에는 AWS Backup 저장소 잠금의 규정 준수 모드가 탑재되어 있습니다. 암호화 키 유형 정보는 투명성 및 규정 준수 보고를 위해 AWS Backup APIs 및 콘솔을 통해 볼 수 있습니다.

논리적 에어 갭 저장소를 다자간 승인(MPA)과 통합하여 저장소 소유 계정에 액세스할 수 없는 경우에도 저장소의 백업을 복구할 수 있으므로 비즈니스 연속성을 유지하는 데 도움이 됩니다. 또한 AWS Resource Access Manager (RAM)과 통합하여 논리적 에어 갭 저장소를 다른 AWS 계정(다른 조직의 계정 포함)과 공유하도록 선택하여 데이터 손실 복구 또는 복원 테스트에 필요한 경우 저장소에 저장된 백업을 저장소가 공유되는 계정에서 복원할 수 있습니다. 이 보안 강화의 일환으로 논리적 에어 갭 저장소는 백업을 AWS Backup 서비스 소유 계정에 저장합니다(로그의 속성 항목 수정 시 조직 외부에서 공유된 것으로 백업이 표시됨 AWS CloudTrail ).

복원력을 높이려면 동일한 계정 또는 별도의 계정에서 논리적 에어 갭 저장소에 리전 간 복사본을 생성하는 것이 좋습니다. 그러나 단일 복사본만 유지하여 스토리지 비용을 절감하려면 AWS MPA에 온보딩한 후 기본 백업을 사용하여 논리적 에어 갭 저장소를 사용할 수 있습니다.

논리적 에어 갭 저장소에서 지원되는 서비스 백업에 대한 스토리지 요금은 AWS Backup 요금 페이지에서 확인할 수 있습니다.

논리적 에어 갭 저장소에 복사할 수 있는 리소스 유형은 리소스별 기능 가용성를 참조하세요.

주제

논리적 에어 갭 저장소의 사용 사례

논리적 에어 갭 저장소는 데이터 보호 전략의 일환으로 사용되는 보조 저장소입니다. 이 저장소는 다음과 같은 백업용 저장소가 필요한 경우, 조직의 보존 전략과 복구 기능을 향상하는 데 도움이 될 수 있습니다.

  • 규정 준수 모드에서 저장소 잠금으로 자동 설정되는 저장소

  • 기본적으로는 AWS 소유 키로 암호화를 제공합니다. 선택적으로 고객 관리형 키를 제공할 수 있습니다.

  • AWS RAM 또는 MPA를 통해 백업을 생성한 계정과 다른 계정과 공유하고 복원할 수 있는 백업을 포함합니다.

고려 사항 및 제한 사항

  • 논리적 에어 갭 저장소를 오가는 교차 리전 복사는 현재 Amazon Aurora, Amazon DocumentDB 및 Amazon Neptune이 포함된 백업에는 사용할 수 없습니다.

  • 논리적 에어 갭 저장소로 복사되는 하나 이상의 Amazon EBS 볼륨이 포함된 백업은 16TB보다 작아야 합니다. 이보다 크기가 더 큰 이 리소스 유형에 대한 백업은 지원되지 않습니다.

  • Amazon EC2는 EC2 허용 AMI 제공합니다. 계정에서 이 설정이 활성화된 경우 허용 목록에 별칭 aws-backup-vault을 추가합니다.

    이 별칭이 포함되지 않은 경우 논리적 에어 갭 저장소에서 백업 저장소로 작업을 복사하고 논리적 에어 갭 저장소에서 EC2 인스턴스의 복원 작업은 "Source AMI ami-xxxxxx not found in Region"과 같은 오류 메시지와 함께 실패합니다.

  • 논리적 에어 갭 저장소에 저장된 복구 시점의 ARN(Amazon 리소스 이름)은 기본 리소스 유형 대신 backup을 갖게 됩니다. 예를 들어, 원래 ARN이 arn:aws:ec2:region::image/ami-*로 시작하는 경우 논리적 에어 갭 저장소에서 복구 시점의 ARN은 arn:aws:backup:region:account-id:recovery-point:*가 됩니다.

    list-recovery-points-by-backup-vault CLI 명령을 사용하여 ARN을 확인할 수 있습니다.

표준 백업 저장소와 비교 및 대조

백업 저장소는 AWS Backup에서 사용되는 기본 및 표준 유형의 저장소입니다. 백업이 생성될 때 각 백업은 백업 저장소에 저장됩니다. 리소스 기반 정책을 할당하여 저장소에 저장된 백업을 관리(예: 저장소 내에 저장된 백업의 수명 주기)할 수 있습니다.

논리적 에어 갭 저장소는 복구 시간(RTO) 단축을 위한 추가적인 보안 및 유연한 공유 기능을 갖춘 특수 저장소입니다. 이 저장소는 기본 백업 또는 처음에 생성되어 표준 백업 저장소 내에 저장된 백업의 복사본을 저장합니다.

백업 저장소는 의도한 사용자의 액세스를 제한하는 보안 메커니즘인 키로 암호화됩니다. 이러한 키는 고객 관리형 또는 AWS 관리형일 수 있습니다. 논리적 에어 갭 저장소로의 복사를 포함하여 복사 작업 중 암호화 동작은 암호화 복사를 참조하세요.

또한 백업 저장소는 저장소 잠금을 통해 보안을 강화할 수 있습니다. 논리적 에어 갭 저장소는 규정 준수 모드의 저장소 잠금이 탑재되어 있습니다.

백업 저장소와 마찬가지로 논리적 에어 갭 저장소는 Amazon EC2 백업에 대한 제한된 태그도 지원합니다.

기능 백업 저장소 논리적 에어 갭 저장소
AWS Backup 감사 관리자 AWS Backup Audit Manager컨트롤 및 문제 해결를 사용하여 백업 볼트를 모니터링할 수 있습니다. 특정 리소스의 백업이 표준 저장소에 사용할 수 있는 제어 외에도 사용자가 결정한 일정에 따라 논리적 에어 갭 저장소에 저장되어 있는지 확인합니다.

결제

AWS Backup 에서 완전히 관리하는 리소스에 대한 스토리지 및 데이터 전송 요금은 'AWS Backup' 아래에서 발생합니다. 다른 리소스 유형의 스토리지 및 데이터 전송 요금은 해당 개별 서비스 아래에서 발생합니다.

예를 들어, Amazon EBS 백업은 'Amazon EBS' 아래에 표시되고 Amazon S3 백업은 'AWS Backup' 아래에 표시됩니다.

이러한 저장소의 모든 청구 요금(스토리지 또는 데이터 전송)은 'AWS Backup' 아래에서 발생합니다.

리전

가 AWS Backup 실행되는 모든 리전에서 사용 가능

에서 지원하는 대부분의 리전에서 사용할 수 있습니다 AWS Backup. 현재 아시아 태평양(말레이시아), 캐나다 서부(캘거리), 멕시코(중부), 아시아 태평양(태국), 아시아 태평양(타이베이), 아시아 태평양(뉴질랜드), 중국(베이징), 중국(닝샤), AWS GovCloud(미국 동부) 또는 AWS GovCloud(미국 서부)에서는 사용할 수 없습니다.

리소스

교차 계정 복사를 지원하는 대부분의 리소스 유형에 대한 백업 사본을 저장할 수 있습니다.

이 저장소에 복사할 수 있는 리소스는 리소스별 기능 가용성의 논리적 에어 갭 저장소 열을 참조하세요.

복원

백업은 저장소가 속한 동일한 계정으로 복원할 수 있습니다.

저장소가 별도의 계정과 공유되는 경우, 백업은 저장소가 속한 계정이 아닌 다른 계정으로 복원할 수 있습니다.

보안

선택에 따라 키를 사용하여 암호화 가능(고객 관리형 또는 AWS 관리형)

규정 준수 또는 거버넌스 모드에서 저장소 잠금을 선택적으로 사용할 수 있음

AWS 소유 키 또는 고객 관리형 키로 암호화할 수 있습니다.

규정 준수 모드에서는 항상 저장소 잠금을 사용하여 잠김

AWS RAM 또는 MPA를 통해 볼트를 공유할 때 암호화 키 유형 정보가 보존되고 표시됩니다.

공유 중

정책 및 AWS Organizations를 통해 액세스를 관리할 수 있음

와 호환되지 않음 AWS RAM

선택에 따라 AWS RAM을 사용하여 계정 간에 공유할 수 있음

논리적 에어 갭 저장소 생성

AWS Backup 콘솔을 통해 또는 AWS Backup 및 AWS RAM CLI 명령의 조합을 통해 논리적 에어 갭 저장소를 생성할 수 있습니다.

각 논리적 에어 갭 저장소에는 규정 준수 모드에서 저장소 잠금이 장착되어 있습니다. 작업에 가장 적합한 보존 기간 값을 결정하는 데 도움이 되도록 AWS Backup 볼트 잠금을 참조하세요.

Console
콘솔에서 논리적 에어 갭 저장소 생성

  1. https://console.aws.amazon.com/backup AWS Backup 콘솔을 엽니다.

  2. 탐색 창에서 저장소를 선택합니다.

  3. 두 가지 유형의 저장소가 모두 표시됩니다. 새 저장소 생성을 선택합니다.

  4. 백업 저장소의 이름을 입력합니다. 저장소에 저장할 내용이 잘 반영되도록 저장소의 이름을 지정하거나 필요한 백업을 보다 쉽게 검색할 수 있도록 만들 수 있습니다. 예를 들어, 이름을 FinancialBackups로 지정할 수 있습니다.

  5. 논리적 에어 갭 저장소의 라디오 버튼을 선택합니다.

  6. (선택 사항) 암호화 키를 선택합니다. 암호화에 대한 추가 제어를 위해 고객 관리형 KMS 키를 선택하거나 기본 AWS소유 키(권장)를 사용할 수 있습니다.

  7. 최소 보존 기간을 설정합니다.

    이 값(일, 월 또는 년)은 이 저장소에 백업을 보존할 수 있는 가장 짧은 기간입니다. 보존 기간이 이 값보다 짧은 백업은 이 저장소에 복사할 수 없습니다.

    허용되는 최솟값은 7일입니다. 월과 연의 값은 이 최솟값을 충족합니다.

  8. 최대 보존 기간을 설정합니다.

    이 값(일, 월 또는 년)은 이 저장소에 백업을 보존할 수 있는 가장 긴 기간입니다. 보존 기간이 이 값보다 큰 백업은 이 저장소에 복사할 수 없습니다.

  9. (선택 사항) 암호화 키를 설정합니다.

    볼트에 사용할 키를 지정합니다. AWS 소유 키(에서 관리 AWS Backup)를 선택하거나 AWS 소유 키를 사용하여 access. AWS Backup recommds가 있는 다른 계정에 속하는 고객 관리형 키의 ARN을 입력할 수 있습니다.

  10. (선택 사항) 논리적 에어 갭 저장소를 검색하고 식별하는 데 도움이 되는 태그를 추가합니다. 예를 들어, BackupType:Financial 태그를 추가할 수 있습니다.

  11. 저장소 생성을 선택합니다.

  12. 설정을 검토합니다. 모든 설정이 의도한 대로 표시되면 논리적 에어 갭 저장소 생성을 선택합니다.

  13. 콘솔에서 새 저장소의 세부 정보 페이지로 이동합니다. 저장소 세부 정보가 예상과 같은지 확인합니다.

  14. 계정의 저장소를 보려면 저장소를 선택합니다. 논리적 에어 갭 저장소가 표시됩니다. KMS 키는 저장소 생성 후 약 1~3분 지나서 사용할 수 있습니다. 페이지를 새로 고침하여 연결된 키를 확인합니다. 키가 표시되면 저장소는 가용한 상태가 되므로 사용할 수 있습니다.

AWS CLI

CLI에서 논리적 에어 갭 저장소 생성

AWS CLI 를 사용하여 논리적 에어 갭 저장소에 대한 작업을 프로그래밍 방식으로 수행할 수 있습니다. 각 CLI는 시작되는 AWS 서비스에 따라 다릅니다. 공유와 관련된 명령은 앞에 aws ram이 추가되고, 다른 모든 명령은 앞에 aws backup이 추가됩니다.

다음 파라미터를 통해 수정한 create-logically-air-gapped-backup-vault CLI 명령을 사용합니다.

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

선택적 --encryption-key-arn 파라미터를 사용하면 볼트 암호화를 위한 고객 관리형 KMS 키를 지정할 수 있습니다. 제공되지 않은 경우 볼트는 AWS소유 키를 사용합니다.

논리적 에어 갭 저장소를 생성하는 CLI 명령의 예:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

고객 관리형 암호화를 사용하여 논리적 에어 갭 저장소를 생성하는 CLI 명령의 예:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

생성 작업 후의 자세한 내용은 CreateLogicallyAirGappedBackupVault API 응답 요소를 참조하세요. 작업이 성공하면 새로운 논리적 에어 갭 저장소의 VaultState는 CREATING입니다.

생성이 완료되고 KMS 암호화 키가 할당되면 VaultState가 AVAILABLE로 전환됩니다. 가용한 상태가 되면 저장소를 사용할 수 있습니다. VaultStateDescribeBackupVault 또는 ListBackupVaults를 직접적으로 호출하여 검색할 수 있습니다.

논리적 에어 갭 저장소의 세부 정보 보기

AWS Backup 콘솔 또는 CLI를 통해 요약, 복구 시점, 보호된 리소스, 계정 공유, 액세스 정책 및 태그와 같은 볼트 세부 정보를 볼 수 있습니다 AWS Backup .

Console

  1. https://console.aws.amazon.com/backup AWS Backup 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 저장소를 선택합니다.

  3. 볼트에 대한 설명 아래에는 이 계정에서 생성한 볼트, RAM을 통해 공유된 볼트, 다자간 승인을 통해 액세스할 수 있는 볼트의 세 가지 목록이 있습니다. 저장소를 보려면 원하는 탭을 선택합니다.

  4. 저장소 이름 아래에서 저장소 이름을 클릭하여 세부 정보 페이지를 엽니다. 요약, 복구 시점, 보호된 리소스, 계정 공유, 액세스 정책, 태그 세부 정보를 볼 수 있습니다.

    계정 유형에 따라 세부 정보가 표시됩니다. 저장소를 소유한 계정은 계정 공유를 볼 수 있으며, 저장소를 소유하지 않은 계정은 계정 공유를 볼 수 없습니다. 공유 볼트의 경우 암호화 키 유형(AWS소유 또는 고객 관리형 KMS 키)이 볼트 요약에 표시됩니다.

AWS CLI

CLI를 통해 논리적 에어 갭 저장소의 세부 정보 보기

describe-backup-vault CLI 명령을 사용하여 저장소에 대한 세부 정보를 얻을 수 있습니다. backup-vault-name 파라미터는 필수 사항이지만, region은 선택 사항입니다.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

응답 예시:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

논리적 에어 갭 저장소에서 백업 생성

논리적 에어 갭 저장소는 백업 계획의 복사 작업 대상이거나 온디맨드 복사 작업의 대상일 수 있습니다. 기본 백업 대상으로도 사용할 수 있습니다. 논리적 에어 갭 저장소에 대한 기본 백업을 참조하세요.

호환되는 암호화

백업 저장소에서 논리적 에어 갭 저장소로 복사 작업을 성공적으로 수행하려면 복사되는 리소스 유형에 따라 결정되는 암호화 키가 필요합니다.

완전 관리형 리소스 유형의 백업을 생성하거나 복사할 때 고객 관리형 키 또는 AWS 관리형 키로 소스 리소스를 암호화할 수 있습니다.

다른 리소스 유형(완전히 관리되지 않는 유형)의 백업을 생성하거나 복사하는 경우 소스는 고객 관리형 키로 암호화되어야 합니다. 완전 AWS 관리형 리소스가 아닌에 대한 관리형 키는 지원되지 않습니다.

백업 계획을 통해 논리적 에어 갭 저장소에 백업 생성 또는 복사

새 백업 계획을 생성하거나 콘솔에서 또는 및 명령을 통해 기존 백업 계획을 업데이트하여 표준 백업 저장소에서 논리적 에어 갭 저장소로 백업(복구 지점)을 복사할 수 있습니다update-backup-plan. 백업 계획 업데이트 AWS Backup AWS CLI create-backup-plan 또한 백업을 기본 대상으로 사용하여 논리적 에어 갭 저장소에서 직접 생성할 수도 있습니다. 자세한 내용은 논리적 에어 갭 저장소에 대한 기본 백업을 참조하세요.

온디맨드 방식으로 한 논리적 에어 갭 저장소에서 다른 논리적 에어 갭 저장소로 백업을 복사할 수 있습니다(이러한 유형의 백업은 백업 계획에서 예약할 수 없음). 고객 관리형 키로 복사본을 암호화하는 한, 논리적 에어 갭 저장소에서 표준 백업 저장소로 백업을 복사할 수 있습니다.

논리적 에어 갭 저장소로 온디맨드 백업 복사

논리적 에어 갭 저장소에 백업의 일회성 온디맨드 복사본을 생성하려면 표준 백업 저장소에서 복사하면 됩니다. 리소스 유형이 복사 유형을 지원하는 경우, 교차 리전 복사본이나 교차 계정 복사본을 사용할 수 있습니다.

복사본 가용성

저장소가 속한 계정으로부터 백업 복사본을 생성할 수 있습니다. 저장소가 공유된 계정은 백업을 보거나 복원할 수는 있지만, 복사본을 생성할 수는 없습니다.

교차 리전 복사나 교차 계정 복사를 지원하는 리소스 유형만 포함될 수 있습니다.

Console

  1. https://console.aws.amazon.com/backup AWS Backup 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 저장소를 선택합니다.

  3. 저장소 세부 정보 페이지에는 해당 저장소 내의 모든 복구 시점이 표시됩니다. 복사하려는 복구 시점 옆에 체크 표시를 합니다.

  4. 작업을 선택한 다음, 드롭다운 메뉴에서 복사를 선택합니다.

  5. 다음 화면에서 대상의 세부 정보를 입력합니다.

    1. 대상 리전을 지정합니다.

    2. 대상 백업 저장소 드롭다운 메뉴에 적합한 대상 저장소가 표시됩니다. 유형이 logically air-gapped vault인 항목을 선택합니다.

  6. 모든 세부 정보가 기본 설정으로 설정되면 복사를 선택합니다.

콘솔의 작업 페이지에서 복사 작업을 선택하여 현재의 복사 작업을 볼 수 있습니다.

AWS CLI

start-copy-job을 사용하여 백업 저장소의 기존 백업을 논리적 에어 갭 저장소로 복사할 수 있습니다.

CLI 입력 샘플:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

자세한 내용은 백업 복사, 교차 리전 백업, 교차 계정 백업을 참조하세요.

논리적 에어 갭 저장소 공유

AWS Resource Access Manager (RAM)를 사용하여 지정한 다른 계정과 논리적 에어 갭 저장소를 공유할 수 있습니다. 볼트를 공유할 때 암호화 키 유형 정보(AWS소유 또는 고객 관리형 KMS 키)가 보존되고 볼트가 공유되는 계정에 표시됩니다.

저장소는 자기 조직의 계정 또는 다른 조직의 계정과 공유할 수 있습니다. 이 저장소는 전체 조직과 공유할 수 없으며, 특정 조직 내 계정과만 공유할 수 있습니다.

특정 IAM 권한이 있는 계정만 저장소를 공유하고 저장소 공유를 관리할 수 있습니다.

를 사용하여 공유하려면 다음이 있어야 AWS RAM합니다.

  • 에 액세스할 수 있는 두 개 이상의 계정 AWS Backup

  • 공유하려는 저장소 소유 계정에는 필요한 RAM 권한이 있어야 합니다. 이 절차를 수행하려면 ram:CreateResourceShare 권한이 필요합니다. AWSResourceAccessManagerFullAccess 정책에는 다음과 같은 모든 필요한 RAM 관련 권한이 포함되어 있습니다.

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • 논리적 에어 갭 저장소 1개 이상

Console

  1. https://console.aws.amazon.com/backup AWS Backup 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 저장소를 선택합니다.

  3. 저장소의 설명 아래에는 이 계정이 소유한 저장소이 계정으로 공유하는 저장소라는 두 가지 목록이 있습니다. 이 계정이 소유한 저장소는 공유할 수 있습니다.

  4. 저장소 이름 아래에서 논리적 에어 갭 저장소의 이름을 선택하여 세부 정보 페이지를 엽니다.

  5. 계정 공유 창에 저장소를 공유 중인 계정이 표시됩니다.

  6. 다른 계정과 공유를 시작하거나 이미 공유 중인 계정을 편집하려면 공유 관리를 선택합니다.

  7. 공유 관리를 선택하면 AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 리소스를 공유하는 단계는 RAM AWS 사용 설명서AWS RAM에서 리소스 공유 생성을 참조하세요.

  8. 공유를 수신하기 위한 초대를 수락하도록 초대된 계정은 12시간 이내에 초대를 수락해야 합니다. AWS RAM 사용 설명서 리소스 공유 초대 수락 및 거부를 참조하세요.

  9. 공유 단계가 완료되고 수락되면 계정 공유 = "공유함 - 아래 계정 공유 표 참조" 아래에 저장소 요약 페이지가 표시됩니다.

AWS CLI

AWS RAM 는 CLI 명령를 사용합니다create-resource-share. 이 명령에 대한 액세스는 충분한 권한이 있는 계정에만 제공됩니다. CLI 단계는 Creating a resource share in AWS RAM을 참조하세요.

1~4단계는 논리적 에어 갭 저장소를 소유한 계정을 사용하여 수행됩니다. 5~8단계는 논리적 에어 갭 저장소를 공유할 계정을 사용하여 수행됩니다.

  1. 소유한 계정으로 로그인하거나, 소스 계정에 액세스할 수 있는 충분한 보안 인증을 가진 조직의 사용자에게 이 단계를 완료해 달라고 요청합니다.

    1. 이전에 리소스 공유를 생성했고 추가적인 리소스를 추가하려는 경우, 새 저장소의 ARN과 함께 CLI associate-resource-share를 대신 사용하세요.

  2. RAM을 통해 공유할 수 있는 충분한 권한이 있는 역할의 보안 인증을 가져옵니다. 이를 CLI에 입력합니다.

    1. 이 절차를 수행하려면 ram:CreateResourceShare 권한이 필요합니다. AWSResourceAccessManagerFullAccess 정책에는 모든 RAM 관련 권한이 포함되어 있습니다.

  3. create-resource-share를 사용합니다.

    1. 논리적 에어 갭 저장소의 ARN을 포함합니다.

    2. 입력 예:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. 출력 예:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. 출력에 리소스 공유 ARN을 복사합니다(이후 단계에 필요). 공유를 수신하기 위해 초대하는 계정의 운영자에게 ARN을 제공합니다.

  5. 리소스 공유 ARN 받기

    1. 1~4단계를 수행하지 않았다면 수행한 사람을 통해 resourceShareArn을 받습니다.

    2. 예시: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. CLI에서는 수신자 계정의 보안 인증을 수임합니다.

  7. get-resource-share-invitations를 사용하여 리소스 공유 초대를 받습니다. 자세한 내용은 AWS RAM 사용 설명서 Accepting and rejecting invitations를 참조하세요.

  8. 대상(복구) 계정의 초대를 수락합니다.

    1. accept-resource-share-invitation을 사용합니다(reject-resource-share-invitation도 사용 가능).

AWS RAM CLI 명령을 사용하여 공유 항목을 볼 수 있습니다.

  • 공유한 리소스:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • 보안 주체 표시:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • 다른 계정이 공유하는 리소스:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

논리적 에어 갭 저장소에서 백업 복원

논리적 에어 갭 저장소에 저장된 백업을 저장소를 소유한 계정이나 저장소를 공유한 계정으로 복원할 수 있습니다.

AWS Backup 콘솔을 통해 복구 시점을 복원하는 방법에 대한 자세한 내용은 백업 복원을 참조하세요.

논리적 에어 갭 저장소에서 자신의 계정으로 백업을 공유한 후에는 start-restore-job을 사용하여 해당 백업을 복원할 수 있습니다.

CLI 입력 샘플에는 다음의 명령 및 파라미터가 포함될 수 있습니다.

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

논리적 에어 갭 저장소 삭제

저장소 삭제를 참조하세요. 저장소에 백업(복구 시점)이 아직 포함되어 있는 경우 저장소를 삭제할 수 없습니다. 삭제 작업을 시작하기 전에 저장소에 백업이 남아 있지 않은지 확인하세요.

저장소를 삭제하면 키 삭제 정책에 따라 저장소가 삭제된 후 7일 지나면 저장소와 연결된 키도 삭제됩니다.

아래의 CLI 명령 샘플 delete-backup-vault를 사용하여 저장소를 삭제할 수 있습니다.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

논리적 에어 갭 저장소에 대한 추가 프로그래밍 옵션

CLI 명령 list-backup-vaults를 수정하여 계정이 소유하고 있고 계정에 존재하는 모든 저장소를 나열할 수 있습니다.

aws backup list-backup-vaults
--region us-east-1

논리적 에어 갭 저장소만 나열하려면 다음 파라미터를 추가합니다.

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

반환된 저장소 목록을 필터링하여 공유된 논리적 에어 갭 저장소만 표시하려면 by-shared 파라미터를 포함합니다. 응답에는 각 공유 볼트에 대한 암호화 키 유형 정보가 포함됩니다.

aws backup list-backup-vaults
--region us-east-1
--by-shared

암호화 키 유형 정보를 보여주는 응답의 예:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

논리적 에어 갭 저장소의 암호화 키 유형 이해

논리적 에어 갭 저장소는 다양한 암호화 키 유형을 지원하며이 정보는 AWS Backup APIs. 볼트가 AWS RAM 또는 MPA를 통해 공유되면 암호화 키 유형 정보가 보존되고 볼트가 공유되는 계정에 표시됩니다. 이러한 투명성은 볼트의 암호화 구성을 이해하고 백업 및 복원 작업에 대해 정보에 입각한 결정을 내리는 데 도움이 됩니다.

암호화 키 유형 값

EncryptionKeyType 필드는 다음 값을 가질 수 있습니다.

  • AWS_OWNED_KMS_KEY - 볼트는 AWS소유 키로 암호화됩니다. 고객 관리형 키가 지정되지 않은 경우 논리적 에어 갭 저장소의 기본 암호화 방법입니다.

  • CUSTOMER_MANAGED_KMS_KEY - 볼트는 사용자가 제어하는 고객 관리형 KMS 키로 암호화됩니다. 이 옵션은 암호화 키 및 액세스 정책에 대한 추가 제어를 제공합니다.

참고

  • AWS Backup은 논리적 에어 갭 저장소와 함께 AWS 소유 키를 사용할 것을 권장합니다. 그러나 조직 정책에서 고객 관리형 키를 사용해야 하는 경우 복구 전용 보조 조직의 다른 계정의 키를 모범 사례로 사용합니다. Encrypt AWS Backup 논리적 에어 갭 저장소와 고객 관리형 키를 참조하여 CMK 기반 논리적 에어 갭 저장소 설정에 대한 더 많은 인사이트를 수집할 수 있습니다.

  • 볼트 생성 중에는 AWS KMS 암호화 키만 선택할 수 있습니다. 생성되면 볼트에 포함된 모든 백업이 해당 키로 암호화됩니다. 다른 암호화 키를 사용하도록 볼트를 변경하거나 마이그레이션할 수 없습니다.

CMK 암호화 논리적 에어 갭 저장소 생성에 대한 키 정책

고객 관리형 키를 사용하여 논리적 에어 갭 저장소를 생성할 때는 AWSBackupFullAccess 계정 역할에 AWS관리형 정책을 적용해야 합니다. 이 정책에는가 백업, 복사 및 스토리지 작업 중에 KMS 키에 대한 권한 부여 생성을 AWS KMS 위해와 상호 작용 AWS Backup 할 수 있는 Allow 작업이 포함되어 있습니다. 또한 고객 관리형 키(사용된 경우) 정책에 특정 필수 권한이 포함되어 있는지 확인해야 합니다.

  • CMK는 논리적 에어 갭 저장소가 있는 계정과 공유해야 합니다.

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

복사/복원에 대한 키 정책

작업 실패를 방지하려면 AWS KMS 키 정책을 검토하여 필요한 모든 권한이 포함되어 있고 작업을 차단할 수 있는 거부 문이 포함되어 있지 않은지 확인합니다. 다음 조건이 적용됩니다.

  • 모든 복사 시나리오의 경우 CMKs 소스 복사 역할과 공유해야 합니다.

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • CMK로 암호화된 논리적 에어 갭 저장소에서 백업 저장소로 복사하는 경우 CMK도 대상 계정 SLR과 공유해야 합니다.

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • RAM/MPA 공유 논리적 에어 갭 저장소를 사용하여 복구 계정에서 복사하거나 복원하는 경우

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

[IAM Role]

논리적 에어 갭 저장소 복사 작업을 수행할 때 고객은 AWS관리형 정책 AWSBackupDefaultServiceRole가 포함된를 활용할 수 있습니다AWSBackupServiceRolePolicyForBackup. 그러나 고객이 최소 권한 정책 접근 방식을 구현하려는 경우 IAM 정책에 특정 요구 사항이 포함되어야 합니다.

  • 소스 계정의 복사 역할에는 소스 및 대상 CMKs.

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

따라서 가장 일반적인 고객 오류 중 하나는 고객이 CMKs 및 복사 역할에 대한 충분한 권한을 제공하지 못할 때 복사 중에 발생합니다.

암호화 키 유형 보기

AWS CLI 또는 SDK를 사용하여 AWS Backup 콘솔을 통해 프로그래밍 방식으로 암호화 키 유형 정보를 볼 수 있습니다. SDKs

콘솔: AWS Backup 콘솔에서 논리적 에어 갭 저장소를 볼 때 보안 정보 섹션 아래의 저장소 세부 정보 페이지에 암호화 키 유형이 표시됩니다.

AWS CLI/API: 논리적 에어 갭 저장소를 쿼리할 때 다음 작업의 응답으로 암호화 키 유형이 반환됩니다.

  • list-backup-vaults (공유 볼트--by-shared의 경우 포함)

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

볼트 암호화 고려 사항

논리적 에어 갭 저장소 및 암호화 키 유형으로 작업할 때는 다음 사항을 고려하세요.

  • 생성 중 키 선택: 논리적 에어 갭 저장소를 생성할 때 고객 관리형 KMS 키를 선택적으로 지정할 수 있습니다. 지정하지 않으면 AWS소유 키가 사용됩니다.

  • 공유 볼트 가시성: 볼트가 공유되는 계정은 암호화 키 유형을 볼 수 있지만 암호화 구성을 수정할 수는 없습니다.

  • 복구 시점 정보: 암호화 키 유형은 논리적 에어 갭 저장소 내에서 복구 시점을 볼 때도 사용할 수 있습니다.

  • 복원 작업: 암호화 키 유형을 이해하면 복원 작업을 계획하고 잠재적 액세스 요구 사항을 이해하는 데 도움이 됩니다.

  • 규정 준수: 암호화 키 유형 정보는 백업 데이터에 사용되는 암호화 방법에 투명성을 제공하여 규정 준수 보고 및 감사 요구 사항을 지원합니다.

논리적 에어 갭 저장소의 문제 해결

워크플로우 중에 오류가 발생하는 경우, 다음 오류 예시와 권장 해결 방법을 참조하세요.

AccessDeniedException

오류: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

가능한 원인: 다음 요청 중 하나가 RAM에서 공유한 저장소에서 실행되었을 때 --backup-vault-account-id 파라미터가 포함되지 않았습니다.

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

해결 방법: 오류를 반환한 명령을 다시 시도하되, 저장소를 소유한 계정을 지정하는 --backup-vault-account-id 파라미터를 포함합니다.

OperationNotPermittedException

오류: CreateResourceShare 직접 호출 후에 OperationNotPermittedException이 반환됩니다.

가능한 원인: 논리적 에어 갭 저장소와 같은 리소스를 다른 조직과 공유하려고 한 경우, 이 예외가 발생할 수 있습니다. 저장소는 다른 조직의 계정과 공유할 수 있지만, 다른 조직 자체와 공유할 수는 없습니다.

해결 방법: 해당 작업을 다시 시도하되, 조직 또는 OU 대신 principals의 값으로 계정을 지정합니다.

암호화 키 유형이 표시되지 않음

문제: 논리적 에어 갭 저장소 또는 복구 시점을 볼 때는 암호화 키 유형이 표시되지 않습니다.

가능한 원인:

  • 암호화 키 유형 지원이 추가되기 전에 생성된 이전 볼트를 보고 있습니다.

  • AWS CLI 또는 SDK의 이전 버전을 사용 중인 경우

  • API 응답에는 암호화 키 유형 필드가 포함되지 않습니다.

​해결 방법:

  • AWS CLI 를 최신 버전으로 업데이트

  • 이전 볼트의 경우 암호화 키 유형이 자동으로 채워지고 후속 API 호출에 나타나야 합니다.

  • 암호화 키 유형 정보를 반환하는 올바른 API 작업을 사용하고 있는지 확인합니다.

  • 공유 볼트의 경우 볼트가를 통해 올바르게 공유되었는지 확인합니다. AWS Resource Access Manager

CloudTrail 로그에서 AccessDeniedException이 포함된 "FAILED" VaultState

CloudTrail의 오류: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

가능한 원인:

  • 볼트가 고객 관리형 키를 사용하여 생성되었지만 수임된 역할에는 볼트 생성에 키를 사용하는 데 필요한 키 정책에 대한 CreateGrant 권한이 없습니다.

​해결 방법: