Cofre logicamente isolado - AWS Backup
Visão geral dos cofres logicamente isoladosCaso de uso para cofres logicamente isoladosComparar e contrastar com um cofre de backup padrãoCriar um cofre logicamente isoladoVisualizar detalhes de um cofre logicamente isoladoCriação de backups em um cofre logicamente isoladoCompartilhar um cofre logicamente isoladoRestaurar um backup de um cofre logicamente isoladoExcluir um cofre logicamente isoladoOpções de programação adicionais para cofres logicamente isoladosEntendendo os tipos de chaves de criptografia para cofres logicamente isoladosSolucionar um problema de cofre logicamente isolado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cofre logicamente isolado

Visão geral dos cofres logicamente isolados

AWS Backup oferece um tipo secundário de cofre que pode armazenar backups em um contêiner com recursos de segurança adicionais. Um cofre logicamente isolado é um cofre especializado que oferece maior segurança além de um cofre de backup padrão, bem como a capacidade de compartilhar o acesso ao cofre com outras contas para que os objetivos de tempo de recuperação (RTOs) possam ser mais rápidos e flexíveis no caso de um incidente que exija restauração rápida de recursos.

Logicamente, os cofres isolados vêm equipados com recursos de proteção adicionais; cada cofre é criptografado com uma chave própria (padrão) ou, opcionalmente, com AWS uma chave KMS gerenciada pelo cliente, e cada cofre é equipado com o modo de conformidade do Vault Lock.AWS Backup As informações do tipo de chave de criptografia são visíveis por meio AWS Backup APIs de um console para relatórios de transparência e conformidade.

Você pode integrar seus cofres logicamente isolados com aprovação multipartidária (MPA) para permitir a recuperação de backups nos cofres mesmo se a conta proprietária do cofre estiver inacessível, o que ajuda a manter a continuidade dos negócios. Além disso, você pode optar pela integração com AWS Resource Access Manager(RAM) para compartilhar um cofre logicamente isolado com outras AWS contas (incluindo contas em outras organizações) para que os backups armazenados no cofre possam ser restaurados a partir de uma conta com a qual o cofre está compartilhado, se necessário para recuperação de perda de dados ou testes de restauração. Como parte dessa segurança adicional, um cofre logicamente isolado armazena seus backups em uma conta de propriedade do AWS Backup serviço (o que resulta em backups mostrados como compartilhados fora de sua organização em itens de atributos de modificação nos registros). AWS CloudTrail

Para maior resiliência, recomendamos criar cópias entre regiões em cofres logicamente isolados na mesma conta ou em contas separadas. No entanto, se quiser reduzir os custos de armazenamento mantendo apenas uma única cópia, você pode usar os backups primários em cofres logicamente isolados, após a integração com o MPA. AWS

Você pode ver os preços de armazenamento para backups de serviços compatíveis em um cofre logicamente isolado na página de preços do AWS Backup.

Consulte Disponibilidade de recursos por recurso para obter os tipos de recursos que você pode copiar para um cofre logicamente isolado.

Tópicos

Caso de uso para cofres logicamente isolados

Um cofre logicamente isolado é um cofre secundário que serve como parte de uma estratégia de proteção de dados. Esse cofre pode ajudar a aprimorar sua retenção e recuperação organizacionais quando você quer um cofre para seus backups que

  • Seja configurado automaticamente com um bloqueio de cofre no modo de conformidade

  • Por padrão, oferece criptografia com uma AWS chave própria. Opcionalmente, você pode fornecer uma chave gerenciada pelo cliente.

  • Contém backups que, por meio de AWS RAM ou MPA, podem ser compartilhados e restaurados de uma conta diferente daquela que criou o backup

Considerações e limitações

  • A cópia entre regiões de ou para um cofre logicamente isolado não está disponível atualmente para backups que contenham Amazon Aurora, Amazon DocumentDB e Amazon Neptune.

  • Um backup que contém um ou mais volumes do Amazon EBS que é copiado em um cofre logicamente isolado deve ter menos de 16 TB; backups desse tipo de recurso que sejam maiores em tamanho não são compatíveis.

  • EC2 Ofertas da Amazon EC2 permitidas AMIs. Se essa configuração estiver ativada em sua conta, adicione o alias aws-backup-vault à sua lista de permissões.

    Se esse alias não for incluído, as operações de cópia de um cofre logicamente isolado para um cofre de backup e as operações de restauração de EC2 instâncias de um cofre com lacuna lógica falharão com uma mensagem de erro como “A AMI de origem ami-xxxxxx não foi encontrada na região”.

  • O ARN (Amazon Resource Name) de um ponto de recuperação armazenado em um cofre logicamente isolado substituirá backup pelo tipo de recurso subjacente. Por exemplo, se o ARN original começar com arn:aws:ec2:region::image/ami-*, o ARN do ponto de recuperação no cofre logicamente isolado será arn:aws:backup:region:account-id:recovery-point:*.

    Você pode usar o comando list-recovery-points-by-backup-vault da CLI para determinar a criptografia de SSL.

Comparar e contrastar com um cofre de backup padrão

Um cofre de backup é o tipo principal e padrão de cofre usado no AWS Backup. Cada backup é armazenado em um cofre de backup quando o backup é criado. Você pode atribuir políticas baseadas em recursos para gerenciar backups armazenados no cofre, como o ciclo de vida dos backups armazenados no cofre.

Um cofre logicamente isolado é um cofre especializado com segurança adicional e compartilhamento flexível para um tempo de recuperação (RTO) mais rápido. Esse cofre armazena backups primários ou cópias de backups que foram inicialmente criados e armazenados em um cofre de backup padrão.

Os cofres de backup são criptografados com uma chave, um mecanismo de segurança que limita o acesso aos usuários pretendidos. Essas chaves podem ser gerenciadas ou AWS gerenciadas pelo cliente. Consulte Criptografia de cópia para ver o comportamento de criptografia durante trabalhos de cópia, incluindo a cópia em um cofre logicamente isolado.

Além disso, um cofre de backup pode ser ainda mais protegido por um bloqueio de cofre. Os cofres logicamente isolados são equipados com um bloqueio de cofre no modo de conformidade.

Semelhantes aos cofres de backup, os cofres com lacunas lógicas também oferecem suporte a tags restritas para backups da Amazon. EC2

Recurso Cofre de backup Cofre logicamente isolado
AWS Backup Audit Manager Você pode usar o AWS Backup Audit Manager Controles e remediação para monitorar seus cofres de backup. Garanta que um backup de um recurso específico seja armazenado em pelo menos um cofre logicamente isolado de acordo com um cronograma determinado por você, além dos controles disponíveis nos cofres padrão.

Faturamento

As cobranças de armazenamento e transferência de dados para recursos totalmente gerenciados pelo AWS Backup ocorrem no "AWS Backup". Outras cobranças de transferência de dados e armazenamento de tipos de recursos ocorrerão em seus respectivos serviços.

Por exemplo, os backups do Amazon EBS serão exibidos em "Amazon EBS"; os backups do Amazon S3 serão exibidos em "AWS Backup".

Todas as cobranças desses cofres (armazenamento ou transferência de dados) ocorrem no "AWS Backup".

Regiões

Disponível em todas as regiões em que AWS Backup opera

Disponível na maioria das regiões suportadas pelo AWS Backup. Atualmente, não está disponível na Ásia-Pacífico (Malásia), Oeste do Canadá (Calgary), México (Central), Ásia-Pacífico (Tailândia), Ásia-Pacífico (Taipei), Ásia-Pacífico (Nova Zelândia), China (Pequim), China (Ningxia), (Leste dos EUA) ou (Oeste dos EUA) AWS GovCloud . AWS GovCloud

Recursos

Pode armazenar cópias de backups para a maioria dos tipos de recursos que oferecem suporte à cópia entre contas.

Consulte a coluna do cofre logicamente isolado em Disponibilidade de recursos por recurso para saber quais recursos podem ser copiados para esse cofre.

Restaurar

Os backups podem ser restaurados pela mesma conta proprietária do cofre.

Os backups podem ser restaurados por uma conta diferente daquela que é proprietária do backup, se o cofre for compartilhado com essa conta separada.

Segurança

Opcionalmente, pode ser criptografado com uma chave (gerenciada pelo cliente ou gerenciada pela AWS )

Opcionalmente, pode usar um bloqueio de cofre no modo de conformidade ou governança

Pode ser criptografado com uma AWS chave própria ou uma chave gerenciada pelo cliente

Está sempre bloqueado com um bloqueio de cofre no modo de conformidade

As informações do tipo de chave de criptografia são preservadas e visíveis quando os cofres são compartilhados por meio AWS RAM de ou MPA

Compartilhamento

O acesso pode ser gerenciado por meio de políticas e pelo AWS Organizations

Não compatível com AWS RAM

Opcionalmente, pode ser compartilhado entre contas usando o AWS RAM

Criar um cofre logicamente isolado

Você pode criar um cofre logicamente isolado por meio do AWS Backup console ou por meio de uma combinação de comandos da CLI. AWS Backup AWS RAM

Cada cofre logicamente isolado vem equipado com um bloqueio de cofre no modo de conformidade. Consulte AWS Backup Fechadura do cofre para ajudar a determinar os valores do período de retenção mais apropriados para sua operação

Console
Criar um cofre logicamente isolado no console

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. No painel de navegação, selecione Configurações.

  3. Os dois tipos de cofres serão exibidos. Selecione Criar cofre.

  4. Insira um nome para o cofre de backup. Você pode nomear o cofre para refletir o que será armazenado nele ou para facilitar a pesquisa de backups necessários. Por exemplo, você pode nomeá-lo como: FinancialBackups.

  5. Selecione o botão de opção para um cofre logicamente isolado.

  6. (Opcional) Escolha uma chave de criptografia. Você pode selecionar uma chave KMS gerenciada pelo cliente para obter controle adicional sobre a criptografia ou usar a chave AWS de propriedade padrão (recomendada).

  7. Defina o período mínimo de retenção.

    Esse valor (em dias, meses ou anos) é o menor tempo em que um backup poderá ser retido nesse cofre. Backups com períodos de retenção menores que esse valor não poderão ser copiados nesse cofre.

    O valor mínimo permitido é 7 dias. Os valores para meses e anos atendem a esse mínimo.

  8. Defina o período máximo de retenção.

    Esse valor (em dias, meses ou anos) é a maior quantidade de tempo que um backup poderá ser retido nesse cofre. Backups com períodos de retenção maiores que esse valor não poderão ser copiados nesse cofre.

  9. (Opcional) Defina a chave de criptografia.

    Especifique a chave a ser usada com seu cofre. Você pode escolher uma chave AWS própria (gerenciada por AWS Backup) ou inserir o ARN de uma chave gerenciada pelo cliente que, de preferência, pertença a uma conta diferente à qual você tenha acesso. AWS Backup recomenda usar uma AWS chave própria.

  10. (Opcional) Adicione tags que ajudarão você a pesquisar e identificar seu cofre logicamente isolado. Por exemplo, você pode adicionar uma tag BackupType:Financial.

  11. Selecione Criar cofre.

  12. Reveja as configurações. Se todas as configurações forem exibidas conforme pretendido, selecione Criar um cofre logicamente isolado.

  13. O console levará você à página de detalhes do novo cofre. Verifique se os detalhes do cofre estão conforme o esperado.

  14. Selecione Cofres para ver os cofres em sua conta. Seu cofre logicamente isolado será exibido. A chave do KMS estará disponível aproximadamente em 1 a 3 minutos após a criação do cofre. Atualize a página para ver a chave associada. Quando a chave estiver visível, o cofre estará em um estado disponível e poderá ser usado.

AWS CLI

Criar um cofre logicamente isolado da CLI

Você pode usar AWS CLI para realizar operações de forma programática em cofres logicamente isolados. Cada CLI é específica para o AWS serviço em que se origina. Os comandos relacionados ao compartilhamento são prefixados com aws ram. Todos os outros comandos devem ser prefixados com aws backup.

Use o comando create-logically-air-gapped-backup-vault da CLI para definir os parâmetros a seguir:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

O --encryption-key-arn parâmetro opcional permite que você especifique uma chave KMS gerenciada pelo cliente para a criptografia do cofre. Se não for fornecido, o cofre usará uma chave AWS própria.

Exemplo de comando da CLI para criar um cofre logicamente isolado:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Exemplo de comando CLI para criar um cofre logicamente isolado com criptografia gerenciada pelo cliente:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

Consulte os elementos de resposta CreateLogicallyAirGappedBackupVault da API para obter informações após a operação de criação. Se a operação for bem-sucedida, o novo cofre logicamente isolado terá o de. VaultState CREATING

Quando a criação for concluída e a chave criptografada do KMS tiver sido atribuída, ela VaultState fará a transição para o. AVAILABLE Uma vez disponível, o cofre pode ser usado. O VaultState pode ser recuperado chamando DescribeBackupVault ou ListBackupVaults.

Visualizar detalhes de um cofre logicamente isolado

Você pode ver os detalhes do cofre, como resumo, pontos de recuperação, recursos protegidos, compartilhamento de contas, política de acesso e tags, por meio do AWS Backup console ou da AWS Backup CLI.

Console

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. No painel de navegação esquerdo, selecione Pilhas.

  3. Abaixo das descrições dos cofres, haverá três listas: cofres criados por essa conta, cofres compartilhados por meio de RAM e cofres acessíveis por meio de aprovação de várias partes. Selecione a guia desejada para ver os cofres.

  4. Em Nome do cofre, clique no nome do cofre para abrir a página de detalhes. Você poderá ver o resumo, os pontos de recuperação, os recursos protegidos, o compartilhamento da conta, a política de acesso e os detalhes da tag.

    Os detalhes são exibidos dependendo do tipo de conta: contas que possuem um cofre podem ver o compartilhamento da conta; contas que não possuem um cofre não poderão ver o compartilhamento da conta. Para cofres compartilhados, o tipo de chave de criptografia (chave KMS AWS de propriedade ou gerenciada pelo cliente) é exibido no resumo do cofre.

AWS CLI

Ver os detalhes de um cofre logicamente isolado por meio da CLI

O comando da CLI describe-backup-vault pode ser usado para obter os detalhes de um cofre. O parâmetro backup-vault-name é obrigatório, mas region é opcional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Exemplo de resposta:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Criação de backups em um cofre logicamente isolado

Logicamente, cofres isolados podem ser um destino de trabalho de cópia em um plano de backup ou um alvo para um trabalho de cópia sob demanda. Ele também pode ser usado como destino principal de backup. Consulte Backups primários em cofres logicamente isolados.

Criptografia compatível

Um trabalho de cópia bem-sucedido de um cofre de backup para um cofre logicamente isolado requer uma chave de criptografia que é determinada pelo tipo de recurso que está sendo copiado.

Quando você cria ou copia um backup de um tipo de recurso totalmente gerenciado, o recurso de origem pode ser criptografado por uma chave gerenciada pelo cliente ou por uma chave AWS gerenciada.

Quando você cria ou copia um backup de outros tipos de recursos (aqueles não totalmente gerenciados), a fonte deve ser criptografada com uma chave gerenciada pelo cliente. AWS chaves gerenciadas para recursos não totalmente gerenciados não são suportadas.

Crie ou copie backups para um cofre logicamente isolado por meio de um plano de backup

Você pode copiar um backup (ponto de recuperação) de um cofre de backup padrão para um cofre logicamente isolado criando um novo plano de backup ou atualizando um existente no AWS Backup console ou por meio dos comandos e. AWS CLI create-backup-planupdate-backup-plan Você também pode criar backups diretamente em um cofre logicamente isolado, usando-o como alvo principal. Consulte Backups primários em cofres logicamente isolados para obter mais detalhes.

Você pode copiar um backup de um cofre logicamente isolado para outro cofre logicamente isolado sob demanda (esse tipo de backup não pode ser programado em um plano de backup). Você pode copiar um backup de um cofre logicamente isolado para um cofre de backup padrão, desde que a cópia seja criptografada com uma chave gerenciada pelo cliente.

Cópia de backup sob demanda para um cofre logicamente isolado

Para criar uma cópia única sob demanda de um backup em um cofre logicamente isolado, você pode copiar de um cofre de backup padrão. Cópias entre regiões ou entre contas estarão disponíveis se o tipo de recurso for compatível com o tipo de cópia.

Disponibilidade de cópias

Uma cópia de um backup pode ser criada a partir da conta à qual o cofre pertence. As contas com as quais o cofre foi compartilhado têm a capacidade de visualizar ou restaurar um backup, mas não de criar uma cópia.

Somente tipos de recursos que oferecem suporte à cópia entre regiões ou entre contas podem ser incluídos.

Console

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. No painel de navegação esquerdo, selecione Pilhas.

  3. Na página de detalhes do cofre, todos os pontos de recuperação dentro desse cofre serão exibidos. Coloque uma marca de seleção ao lado do ponto de recuperação que você deseja copiar.

  4. Em seguida, escolha Ações e selecione Editar no menu suspenso.

  5. Na próxima tela, insira os detalhes do destino.

    1. Especifique a região de destino.

    2. O menu suspenso do cofre de backup de destino exibirá os cofres de destino elegíveis. Selecione um com o tipo logically air-gapped vault

  6. Selecione Copiar quando todos os detalhes estiverem definidos de acordo com suas preferências.

Na página Trabalhos no console, você poderá selecionar trabalhos de Cópia para ver os trabalhos de cópia atuais.

AWS CLI

Use start-copy-job para copiar um backup existente em um cofre de backup para um cofre logicamente isolado.

Exemplo de entrada da CLI:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Para obter mais informações, consulte Copiar um backup, Backup entre regiões e Backup entre contas.

Compartilhar um cofre logicamente isolado

Você pode usar AWS Resource Access Manager (RAM) para compartilhar um cofre logicamente isolado com outras contas que você designar. Ao compartilhar cofres, as informações do tipo de chave de criptografia (chave KMS AWS de propriedade ou gerenciada pelo cliente) são preservadas e visíveis para as contas com as quais o cofre é compartilhado.

Um cofre pode ser compartilhado com uma conta em sua organização ou com uma conta em outra organização. O cofre não pode ser compartilhado com uma organização inteira, somente com contas dentro da organização.

Somente as contas com privilégios do IAM específicos podem compartilhar e gerenciar o compartilhamento de cofres.

Para compartilhar usando AWS RAM, verifique se você tem o seguinte:

  • Duas ou mais contas que podem acessar AWS Backup

  • O cofre pertencente à conta que pretende compartilhar tem as permissões da RAM necessárias. A permissão ram:CreateResourceShare é necessária para esse procedimento. A política AWSResourceAccessManagerFullAccess contém todas as permissões necessárias relacionadas à RAM:

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Pelo menos um cofre logicamente isolado

Console

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. No painel de navegação esquerdo, selecione Pilhas.

  3. Abaixo das descrições dos cofres, haverá duas listas: Cofres de propriedade dessa conta e Cofres compartilhados com essa conta. Os cofres pertencentes à conta podem ser compartilhados.

  4. Em Nome do cofre, selecione o nome do cofre logicamente isolado para abrir a página de detalhes.

  5. O painel de Compartilhamento de contas mostra com quais contas o cofre está sendo compartilhado.

  6. Para começar a compartilhar com outra conta ou editar as contas que já estão sendo compartilhadas, selecione Gerenciar compartilhamento.

  7. O AWS RAM console é aberto quando a opção Gerenciar compartilhamento é selecionada. Para ver as etapas para compartilhar um recurso usando AWS RAM, consulte Como criar um compartilhamento de recursos na AWS RAM no Guia do usuário da AWS RAM.

  8. A conta convidada a aceitar um convite para receber um compartilhamento tem 12 horas para aceitar o convite. Consulte Aceitar e rejeitar convites de compartilhamento de recursos no Guia do usuário do AWS RAM.

  9. Se as etapas de compartilhamento forem concluídas e aceitas, a página de resumo do cofre será exibida em Compartilhamento de conta = “Compartilhado - veja a tabela de compartilhamento de conta abaixo”.

AWS CLI

AWS RAM usa o comando CLI. create-resource-share O acesso a esse comando só está disponível para contas com permissões suficientes. Consulte Criar um compartilhamento de recursos no AWS RAM para ver as etapas da CLI.

As etapas de 1 a 4 são conduzidas com a conta proprietária do cofre logicamente isolado. As etapas 5 a 8 são conduzidas com a conta com a qual o cofre logicamente isolado será compartilhado.

  1. Faça login na conta proprietária OU solicite que um usuário em sua organização com credenciais suficientes para acessar a conta de origem conclua essas etapas.

    1. Se um compartilhamento de recursos foi criado anteriormente e você deseja adicionar um recurso adicional a ele, use associate-resource-share da CLI em vez disso com o ARN do novo cofre.

  2. Obtenha as credenciais de uma função com permissões suficientes para compartilhar via RAM. Insira-as na CLI.

    1. A permissão ram:CreateResourceShare é necessária para esse procedimento. A política AWSResourceAccessManagerFullAccesscontém todas as permissões relacionadas à RAM.

  3. Use create-resource-share.

    1. Inclua o ARN do cofre logicamente isolado.

    2. Exemplo de entrada:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Resultado do exemplo:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Copie o ARN do compartilhamento de recursos no resultado (que é necessário para as etapas subsequentes). Forneça o ARN ao operador da conta que você está convidando para receber o compartilhamento.

  5. Obter o ARN do compartilhamento de recursos

    1. Se você não executou as etapas de 1 a 4, obtenha-as resourceShareArn de quem as executou.

    2. Exemplo: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. Na CLI, assuma as credenciais da conta destinatária.

  7. Receba um convite para compartilhar recursos com get-resource-share-invitations. Para obter mais informações, consulte Aceitar e rejeitar convites no Guia do usuário do AWS RAM .

  8. Aceite o convite na conta de destino (recuperação).

    1. Use accept-resource-share-invitation (também é possível usar reject-resource-share-invitation).

Você pode usar comandos da AWS RAM CLI para visualizar itens compartilhados:

  • Recursos que você compartilhou:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Mostrar a entidade principal:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Recursos compartilhados por outras contas:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Restaurar um backup de um cofre logicamente isolado

Você pode restaurar um backup armazenado em um cofre logicamente isolado de uma conta proprietária do cofre ou de qualquer conta com a qual o cofre seja compartilhado.

Consulte Restaurar um backup para obter informações sobre como restaurar um ponto de recuperação por meio do console do AWS Backup .

Depois que um backup for compartilhado de um cofre logicamente isolado na sua conta, você poderá usar start-restore-job para restaurar o backup.

Um exemplo de entrada da CLI pode incluir os seguintes parâmetros e comando:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Excluir um cofre logicamente isolado

Consulte excluir um cofre. Os cofres não poderão ser excluídos se ainda contiverem backups (pontos de recuperação). Certifique-se de que o cofre não tenha nenhum backup antes de iniciar uma operação de exclusão.

A exclusão de um cofre também exclui a chave associada ao cofre sete dias após a exclusão do cofre, de acordo com a política de exclusão de chaves.

O exemplo de comando delete-backup-vault da CLI pode ser usado para excluir um cofre.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opções de programação adicionais para cofres logicamente isolados

O comando list-backup-vaults da CLI pode ser modificado para listar todos os cofres de propriedade e presentes na conta:

aws backup list-backup-vaults
--region us-east-1

Para listar apenas os cofres logicamente isolados, adicione o parâmetro

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Inclua o parâmetro by-shared para filtrar a lista retornada de cofres para mostrar somente cofres logicamente isolados compartilhados. A resposta incluirá informações do tipo de chave de criptografia para cada cofre compartilhado.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Exemplo de resposta mostrando informações sobre o tipo de chave de criptografia:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

Entendendo os tipos de chaves de criptografia para cofres logicamente isolados

Os cofres logicamente isolados suportam diferentes tipos de chaves de criptografia, e essas informações são visíveis por meio de um console. AWS Backup APIs Quando os cofres são compartilhados por meio do AWS RAM ou MPA, as informações do tipo de chave de criptografia são preservadas e tornadas visíveis para as contas com as quais o cofre é compartilhado. Essa transparência ajuda você a entender a configuração de criptografia dos cofres e a tomar decisões informadas sobre as operações de backup e restauração.

Valores do tipo de chave de criptografia

O EncryptionKeyType campo pode ter os seguintes valores:

  • AWS_OWNED_KMS_KEY- O cofre é criptografado com uma chave AWS própria. Esse é o método de criptografia padrão para cofres logicamente isolados quando nenhuma chave gerenciada pelo cliente é especificada.

  • CUSTOMER_MANAGED_KMS_KEY- O cofre é criptografado com uma chave KMS gerenciada pelo cliente que você controla. Essa opção fornece controle adicional sobre chaves de criptografia e políticas de acesso.

nota

  • AWS O Backup recomenda o uso AWS de chaves próprias com cofres logicamente fechados. No entanto, se a política da sua organização exigir o uso de uma chave gerenciada pelo cliente, use as chaves de outra conta em uma organização secundária dedicada à recuperação como uma prática recomendada. Você pode consultar o blog Encrypt AWS Backup: cofres logicamente isolados com chaves gerenciadas pelo cliente para obter mais informações sobre como configurar cofres logicamente isolados baseados em CMK.

  • Você só pode selecionar uma chave de criptografia AWS KMS durante a criação do cofre. Depois de criados, todos os backups contidos no cofre serão criptografados com essa chave. Você não pode alterar ou migrar seus cofres para usar uma chave de criptografia diferente.

Política-chave para a criação de cofres logicamente isolados criptografados pela CMK

Ao criar um cofre logicamente isolado com uma chave gerenciada pelo cliente, você deve aplicar a política gerenciada à função da sua AWS conta. AWSBackupFullAccess Essa política inclui Allow ações que permitem interagir com AWS Backup a criação AWS KMS de concessões em chaves KMS durante operações de backup, cópia e armazenamento. Além disso, você deve garantir que sua política de chave gerenciada pelo cliente (se usada) inclua as permissões específicas necessárias.

  • A CMK deve ser compartilhada com a conta em que o cofre logicamente isolado reside

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

Política chave para cópia/restauração

Para evitar falhas no trabalho, revise sua política de AWS KMS chaves para garantir que ela inclua todas as permissões necessárias e não contenha nenhuma declaração de negação que possa bloquear as operações. As seguintes condições se aplicam:

  • Para todos os cenários de cópia, o CMKs deve ser compartilhado com a função de cópia de origem

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • Ao copiar de um cofre logicamente isolado criptografado pela CMK para um cofre de backup, a CMK também deve ser compartilhada com a SLR da conta de destino

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • Ao copiar ou restaurar a partir de uma conta de recuperação usando um cofre RAM/MPA compartilhado logicamente isolado

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

IAM Role

Ao realizar operações logicamente isoladas de cópia em cofre, os clientes podem utilizar o AWSBackupDefaultServiceRole que inclui a política gerenciada. AWSAWSBackupServiceRolePolicyForBackup No entanto, se os clientes preferirem implementar uma abordagem de política de privilégios mínimos, sua política de IAM deve incluir um requisito específico:

  • A função de cópia da conta de origem deve ter permissões de acesso à origem e ao destino CMKs.

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

Consequentemente, um dos erros mais comuns do cliente ocorre durante a cópia, quando os clientes não fornecem permissões suficientes em suas funções CMKs e nas funções de cópia.

Visualizando tipos de chaves de criptografia

Você pode visualizar as informações do tipo de chave de criptografia por meio do AWS Backup console e programaticamente usando o AWS CLI ou. SDKs

Console: ao visualizar cofres com lacunas de ar logicamente no AWS Backup console, o tipo de chave de criptografia é exibido na página de detalhes do cofre, na seção de informações de segurança.

AWS CLI/API: o tipo de chave de criptografia é retornado na resposta das seguintes operações ao consultar cofres logicamente isolados:

  • list-backup-vaults(inclusive --by-shared para cofres compartilhados)

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

Considerações sobre a criptografia de cofres

Ao trabalhar com cofres logicamente isolados e tipos de chaves de criptografia, considere o seguinte:

  • Seleção de chaves durante a criação: opcionalmente, você pode especificar uma chave KMS gerenciada pelo cliente ao criar um cofre logicamente isolado. Se não for especificada, uma chave AWS de propriedade será usada.

  • Visibilidade do cofre compartilhado: as contas com as quais um cofre é compartilhado podem visualizar o tipo de chave de criptografia, mas não podem modificar a configuração de criptografia.

  • Informações do ponto de recuperação: o tipo de chave de criptografia também está disponível ao visualizar pontos de recuperação em cofres logicamente fechados.

  • Operações de restauração: compreender o tipo de chave de criptografia ajuda você a planejar as operações de restauração e entender quaisquer possíveis requisitos de acesso.

  • Conformidade: as informações do tipo de chave de criptografia dão suporte aos requisitos de auditoria e emissão de relatórios de conformidade, fornecendo transparência aos métodos de criptografia usados para dados de backup.

Solucionar um problema de cofre logicamente isolado

Se você encontrar erros durante o fluxo de trabalho, consulte os seguintes exemplos de erros e resoluções sugeridas:

AccessDeniedException

Erro:

Possível causa: o parâmetro --backup-vault-account-id não foi incluído quando uma das seguintes solicitações foi executada em um cofre compartilhado pela RAM:

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Resolução: repita o comando que retornou o erro, mas inclua o parâmetro --backup-vault-account-id que especifica a conta proprietária do cofre.

OperationNotPermittedException

Erro: OperationNotPermittedException é retornado após uma chamada CreateResourceShare.

Possível causa: se você tentou compartilhar um recurso, como um cofre logicamente isolado, com outra organização, você pode obter essa exceção. Um cofre pode ser compartilhado com uma conta em outra organização, mas não pode ser compartilhado com a própria organização.

Resolução: repita a operação, mas especifique uma conta como valor para principals, em vez de uma organização ou UO.

Tipo de chave de criptografia não exibido

Problema: o tipo de chave de criptografia não é visível ao visualizar um cofre logicamente isolado ou seus pontos de recuperação.

Causas possíveis:

  • Você está vendo um cofre antigo que foi criado antes da adição do suporte ao tipo de chave de criptografia

  • Você está usando uma versão mais antiga do AWS CLI ou SDK

  • A resposta da API não inclui o campo do tipo de chave de criptografia

Resolução:

  • Atualize seu AWS CLI para a versão mais recente

  • Para cofres mais antigos, o tipo de chave de criptografia será preenchido automaticamente e deverá aparecer nas chamadas de API subsequentes

  • Verifique se você está usando as operações de API corretas que retornam informações do tipo de chave de criptografia

  • Para cofres compartilhados, verifique se o cofre está compartilhado corretamente por meio de AWS Resource Access Manager

“FALHOU” VaultState com AccessDeniedException CloudTrail registros

Erro em CloudTrail: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

Causas possíveis:

  • O cofre foi criado usando uma chave gerenciada pelo cliente, mas a função assumida não tem CreateGrant permissão sobre a política de chaves necessária para usar a chave na criação do cofre

Resolução: