邏輯氣隙隔離保存庫 - AWS Backup
邏輯氣隙隔離保存庫概觀邏輯氣隙隔離保存庫的使用案例與標準備份文件庫之比較和對比建立邏輯氣隙隔離保存庫檢視邏輯氣隙隔離保存庫詳細資訊在邏輯氣隙隔離保存庫中建立備份共用邏輯氣隙隔離保存庫從邏輯氣隙隔離保存庫還原備份刪除邏輯氣隙隔離保存庫邏輯氣隙隔離保存庫的其他程式設計選項了解邏輯氣隙隔離保存庫的加密金鑰類型對邏輯氣隙隔離保存庫問題進行故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

邏輯氣隙隔離保存庫

邏輯氣隙隔離保存庫概觀

AWS Backup 提供次要類型的保存庫,可將備份存放在具有其他安全功能的容器中。邏輯氣隙隔離保存庫是一種特殊的保存庫,可提供比標準備份保存庫更高的安全性,以及與其他 帳戶共用保存庫存取權的能力,以便在發生需要快速還原資源的事件時,復原時間目標 (RTOs) 可以更快、更靈活。

邏輯氣隙隔離保存庫配備額外的保護功能;每個保存庫都會使用 AWS 擁有的金鑰 (預設) 加密,或選擇性地使用客戶管理的 KMS 金鑰加密,而且每個保存庫都配備保存AWS Backup 庫鎖定的合規模式。加密金鑰類型資訊可透過 AWS Backup APIs和主控台顯示,以進行透明度和合規報告。

您可以將邏輯氣隙隔離保存庫與多方核准 (MPA) 整合,以復原保存庫中的備份,即使保存庫擁有的帳戶無法存取,也有助於維持業務持續性。此外,您可以選擇與 AWS Resource Access Manager(RAM) 整合,與其他 AWS 帳戶 (包括其他組織中的帳戶) 共用邏輯氣隙隔離保存庫,以便在資料遺失復原或還原測試需要時,可從共用保存庫的帳戶還原存放在保存庫中的備份。為提高安全性,邏輯氣隙隔離保存庫會將其備份存放在 AWS Backup 服務擁有的帳戶中 (這會導致在修改 AWS CloudTrail 日誌中的屬性項目中顯示為組織外部共用的備份)。

在邏輯氣隙隔離保存庫擁有帳戶已關閉 (惡意或其他方式) 的情況下,您仍然可以透過 MPA 存取保存庫中的備份 (還原或複製),直到關閉後期間結束為止。關閉後期間到期後,將無法再存取備份。在關閉後期間,您可以參考AWS 帳戶管理文件,在進行復原時重新控制您的帳戶。

為了提高彈性,我們建議在相同或個別帳戶中的邏輯氣隙隔離保存庫中建立跨區域副本。不過,如果您想要只維護單一複本來降低儲存成本,您可以在加入 AWS MPA 之後,使用主要備份來邏輯氣隙隔離保存庫

您可以在 定價頁面上,檢視邏輯氣隙隔離保存庫中支援服務備份的儲存AWS Backup 體定價

各資源的功能可用性 如需可複製到邏輯氣隙隔離保存庫的資源類型,請參閱 。

主題

邏輯氣隙隔離保存庫的使用案例

邏輯氣隙隔離保存庫是資料保護策略中的次要保存庫。當您需要備份的保存庫時,此保存庫有助於增強組織的保留策略和復原

  • 合規模式下使用保存庫鎖定自動設定

  • 根據預設, 提供具有 AWS 擁有金鑰的加密。您可以選擇性地提供客戶受管金鑰

  • 包含可透過 AWS RAM 或 MPA 共用並從與建立備份之帳戶不同的帳戶還原的備份

考量和限制

  • 邏輯氣隙隔離保存庫的跨區域複製目前不適用於包含 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 的備份。

  • 邏輯氣隙隔離保存庫不支援未加密的 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集,因為它們不支援未加密資料庫叢集快照的加密。

  • Amazon EC2 提供 EC2 允許 AMIs。如果您的帳戶已啟用此設定,請將別名新增至aws-backup-vault允許清單。

    如果不包含此別名,請將操作從邏輯氣隙隔離保存庫複製到備份保存庫,並從邏輯氣隙隔離保存庫還原 EC2 執行個體的操作將會失敗,並顯示錯誤訊息,例如「在區域中找不到來源 AMI ami-xxxxxx」。

  • 存放在邏輯氣隙隔離保存庫中復原點的 ARN (Amazon Resource Name) 將backup取代基礎資源類型。例如,如果原始 ARN 以 arn:aws:ec2:region::image/ami-* 開頭,則邏輯氣隙隔離保存庫中復原點的 ARN 將為 arn:aws:backup:region:account-id:recovery-point:*

    您可以使用 CLI 命令list-recovery-points-by-backup-vault來判斷 ARN。

與標準備份文件庫之比較和對比

備份文件庫是在 AWS Backup中使用的主要和標準保存庫類型。備份建立後,每個備份都會儲存在備份文件庫中。您可以指派資源型政策管理儲存在保存庫中的備份,例如儲存在保存庫中的備份生命週期。

邏輯氣隙隔離保存庫是特製的保存庫,具有額外的安全性並可彈性共用,能加快復原時間 (RTO)。此保存庫會存放主要備份,或最初在標準備份保存庫中建立和存放的備份複本。

備份保存庫使用金鑰加密,此安全機制會將存取權限制為預期使用者。這些金鑰可以是客戶受管或受 AWS 管。請參閱複製加密,了解複製任務期間的加密行為,包括複製到邏輯氣隙隔離保存庫。

此外,備份保存庫可以透過保存庫鎖定提供額外的安全性;邏輯氣隙隔離保存庫由合規模式下的保存庫鎖定提供。

與備份保存庫類似,邏輯氣隙隔離保存庫也支援 Amazon EC2 備份的限制標籤

功能 備份文件庫 邏輯氣隙隔離保存庫
AWS Backup Audit Manager 您可以使用 AWS Backup Audit Manager 控制與補救來監控備份保存庫。 除了標準保存庫可用的控制項之外,還請確定特定資源的備份會根據您決定的排程存放在至少一個邏輯氣隙隔離保存庫中。

帳單

完全由 AWS Backup 管理之資源的儲存和資料傳輸費用會在「AWS Backup」下發生。其他資源類型儲存和資料傳輸費用將在其各自的服務下產生。

例如,Amazon EBS 備份會顯示在「Amazon EBS」下;Amazon S3 備份會顯示在「AWS Backup」下。

這些保存庫 (儲存或資料傳輸) 的所有帳單費用都發生在 "AWS Backup" 以下。

區域

可用於 AWS Backup 操作的所有 區域

適用於 支援的大多數 區域 AWS Backup。目前不適用於亞太區域 (馬來西亞)、加拿大西部 (卡加利)、墨西哥 (中部)、亞太區域 (泰國)、亞太區域 (台北)、亞太區域 (紐西蘭)、中國 (北京)、中國 (寧夏)、 AWS GovCloud (美國東部) 或 AWS GovCloud (美國西部)。

資源

可以存放支援跨帳戶複製的大多數資源類型的備份副本。

如需可複製到此保存庫各資源的功能可用性的資源,請參閱 中的邏輯氣隙隔離保存庫欄。

還原

備份可由保存庫所屬的相同帳戶還原。

如果保存庫是與該個別帳戶共用,則備份可由與保存庫所屬帳戶不同的帳戶還原。

安全性

可選擇是否使用金鑰加密 (客戶自管或 AWS 受管金鑰)

可以選擇性地在合規或控管模式下使用保存庫鎖定

可以使用 AWS 擁有的金鑰或客戶受管金鑰加密

在合規模式下一律使用保存庫鎖定功能進行鎖定

透過 AWS RAM 或 MPA 共用保存庫時,會保留並顯示加密金鑰類型資訊

共用

存取可以透過政策和 AWS Organizations 管理

與 不相容 AWS RAM

可以選擇是否使用 AWS RAM 跨帳戶共用

建立邏輯氣隙隔離保存庫

您可以透過 AWS Backup 主控台或透過 AWS Backup 和 AWS RAM CLI 命令的組合來建立邏輯氣隙隔離保存庫。

每個邏輯氣隙隔離都配備合規模式下的保存庫鎖定。請參閱 AWS Backup 保存庫鎖定 以協助判斷最適合您操作的保留期間值

Console
從主控台建立邏輯氣隙隔離保存庫

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,選取 保存庫

  3. 隨即顯示這兩種類型的保存庫。選取 建立新保存庫

  4. 輸入備份文件庫的名稱。您可以為文件庫命名以反映所要儲存的內容,或是讓它更容易搜尋您所需要的備份。例如,您可以將它命名為 FinancialBackups

  5. 選取邏輯氣隙隔離保存庫的選項按鈕。

  6. (選用) 選擇加密金鑰。您可以選取客戶管理的 KMS 金鑰,以進一步控制加密,或使用預設擁有的金鑰 AWS(建議)。

  7. 設定 最短保留期限

    此值 (天數、月數或年數) 是備份可保留在此保存庫中的最短時間。保留期限短於此值的備份無法複製到此保存庫。

    允許的最小值為 7 天。月和年的值符合此最小值。

  8. 設定 最長保留期限

    此值 (天數、月數或年數) 是備份可保留在此保存庫中的最長時間。保留期限長於此值的備份無法複製到此保存庫。

  9. (選用) 設定加密金鑰

    指定要與保存庫搭配使用的金鑰。您可以選擇 AWS 擁有的金鑰 (由 管理 AWS Backup),或輸入客戶受管金鑰的 ARN,該金鑰最好屬於您有權存取的不同帳戶。 AWS Backup 建議使用 AWS 擁有的金鑰。

  10. (選用) 新增有助於搜尋及識別邏輯氣隙隔離保存庫的標籤。例如,您可以新增 BackupType:Financial 標籤。

  11. 選取 建立保存庫

  12. 檢閱設定。如果所有的設定都如預期顯示,請選取 建立邏輯氣隙隔離保存庫

  13. 主控台會帶您前往新保存庫的詳細資訊頁面。確認保存庫詳細資料是否一如預期。

  14. 選取保存庫以檢視您帳戶中的保存庫。將會顯示邏輯氣隙隔離保存庫。KMS 金鑰將在保存庫建立後約 1 到 3 分鐘可用。重新整理頁面以查看相關聯的金鑰。顯示金鑰後,保存庫會處於可用狀態,並且可以使用。

AWS CLI

從 CLI 建立邏輯氣隙隔離保存庫

您可以使用 AWS CLI 以程式設計方式執行邏輯氣隙隔離保存庫的操作。每個 CLI 都專屬於其產生的 AWS 服務。與共用相關的命令會在開頭加上 aws ram,而所有其他命令則應在前面加上 aws backup

使用以下列參數create-logically-air-gapped-backup-vault修改的 CLI 命令 :

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

選用--encryption-key-arn參數可讓您為保存庫加密指定客戶管理的 KMS 金鑰。如果未提供,保存庫將使用 AWS擁有的金鑰。

建立邏輯氣隙隔離保存庫的 CLI 命令範例:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

使用客戶受管加密建立邏輯氣隙隔離保存庫的 CLI 命令範例:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

如需建立操作之後的資訊,請參閱 CreateLogicallyAirGappedBackupVault API 回應元素。如果操作成功,新的邏輯氣隙隔離保存庫將具有 的 VaultStateCREATING

建立完成並指派 KMS 加密金鑰後,VaultState 會轉換為 AVAILABLE。一旦可用,即可使用保存庫。 VaultState 可以透過呼叫 DescribeBackupVault或 來擷取ListBackupVaults

檢視邏輯氣隙隔離保存庫詳細資訊

您可以透過 AWS Backup 主控台或 AWS Backup CLI 來查看保存庫詳細資訊,例如摘要、復原點、受保護的資源、帳戶共用、存取政策和標籤。

Console

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側導覽窗格中選取 保存庫

  3. 保存庫的描述下方將列出三個清單:此帳戶建立的保存庫透過 RAM 共用的保存庫,以及可透過多方核准存取的保存庫。選取檢視保存庫所需的索引標籤。

  4. 保存庫名稱 下,按一下保存庫的名稱即可開啟詳細資訊頁面。您可以查看摘要、復原點、受保護的資源、帳號共用、存取政策和標籤詳細資訊。

    詳細資訊會根據帳戶類型顯示:擁有保存庫的帳戶可以檢視帳戶共用;沒有保存庫的帳戶將無法檢視帳戶共用。對於共用保存庫,加密金鑰類型 (AWS擁有或客戶管理的 KMS 金鑰) 會顯示在保存庫摘要中。

AWS CLI

透過 CLI 檢視邏輯氣隙隔離保存庫的詳細資訊

CLI 命令describe-backup-vault可用來取得保存庫的詳細資訊。參數backup-vault-name為必要;region選用。

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

回應範例:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

在邏輯氣隙隔離保存庫中建立備份

邏輯氣隙隔離保存庫可以是備份計畫中的複製任務目的地目標,也可以是隨需複製任務的目標。它也可以用作主要備份目標。請參閱邏輯氣隙隔離保存庫的主要備份

相容加密

從備份保存庫到邏輯氣隙隔離保存庫的成功複製任務需要由要複製的資源類型決定的加密金鑰。

當您建立或複製完全受管資源類型的備份時,來源資源可以由客戶受管金鑰或 AWS 受管金鑰加密。

當您建立或複製其他資源類型的備份 (未完全受管) 時,來源必須使用客戶受管金鑰加密。不支援未完全受管資源的受 AWS 管金鑰。

透過備份計畫,建立或複製備份至邏輯氣隙隔離保存庫

您可以透過在主控台中 AWS Backup 建立新的備份計畫更新現有的備份計畫,或透過 AWS CLI 命令create-backup-plan和 ,將備份 (復原點) 從標準備份保存庫複製到邏輯氣隙隔離保存庫update-backup-plan。您也可以使用備份做為主要目標,直接在邏輯氣隙隔離保存庫中建立備份。如需詳細資訊,請參閱邏輯氣隙隔離保存庫的主要備份

您可以將備份從一個邏輯氣隙隔離保存庫複製到另一個邏輯氣隙隔離保存庫隨需 (此類備份無法在備份計畫中排程)。只要複本使用客戶受管金鑰加密,您就可以將備份從邏輯氣隙隔離保存庫複製到標準備份保存庫。

隨需備份複製到邏輯氣隙隔離保存庫

若要建立備份到邏輯氣隙隔離保存庫的一次性隨需副本,您可以從標準備份保存庫進行複製。如果資源類型支援複製類型,則可以使用跨區域或跨帳戶複本。

複製可用性

您可以從保存庫所屬的帳戶建立備份複本。已共用保存庫的帳戶可以檢視或還原備份,但無法建立複本。

只能包含支援跨區域或跨帳戶複製的資源類型

Console

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側導覽窗格中選取 保存庫

  3. 在保存庫詳細資訊頁面中,會顯示該保存庫的所有復原點。勾選您想要複製的復原點。

  4. 選取 動作,然後從下拉式功能表中選取 複製

  5. 在下個畫面中,輸入目的地詳細資訊。

    1. 指定目的地區域。

    2. 目的地備份文件庫下拉式功能表會顯示符合資格的目的地保存庫。選取類型為 logically air-gapped vault 的保存庫

  6. 待所有詳細資訊依偏好設定好後,選取 複製

在主控台的 任務 頁面上,您可以選取 複製 任務,查看目前的複製任務。

AWS CLI

使用 start-copy-job 將備份文件庫中的現有備份複製到邏輯氣隙隔離文件庫。

CLI 輸入範例:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

如需詳細資訊,請參閱複製備份跨區域備份跨帳戶備份

共用邏輯氣隙隔離保存庫

您可以使用 AWS Resource Access Manager (RAM) 與您指定的其他帳戶共用邏輯氣隙隔離保存庫。共用保存庫時,共用保存庫的帳戶會保留並顯示加密金鑰類型資訊 (AWS擁有或客戶管理的 KMS 金鑰)。

保存庫可以與其組織中的帳戶或其他組織中的帳戶共用。保存庫無法與整個組織共用,只能與組織內的帳戶共用。

只有具有特定 IAM 權限的帳戶才能共用和管理保存庫的共用。

若要使用 共用 AWS RAM,請確定您有下列項目:

  • 可以存取的兩個或多個帳戶 AWS Backup

  • 想要共用的保存庫帳戶具有必要的 RAM 許可。權限 ram:CreateResourceShare 為此程序必要許可。此政策AWSResourceAccessManagerFullAccess包含所有必要的 RAM 相關許可:

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • 至少一個邏輯氣隙隔離保存庫

Console

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側導覽窗格中選取 保存庫

  3. 在保存庫描述下方會有兩份清單:此帳戶擁有的保存庫與此帳戶共用的保存庫。帳戶擁有的保存庫符合共用資格。

  4. 保存庫名稱 下,選取邏輯氣隙隔離保存庫的名稱即可開啟詳細資訊頁面。

  5. 帳戶共用窗格會顯示保存庫要與哪些帳戶共用。

  6. 若要開始與其他帳戶共用保存庫,或編輯已共用的帳戶,請選取 管理共用

  7. 選取管理共用時 AWS RAM ,主控台會開啟。如需使用 RAM AWS 共用資源的步驟,請參閱《RAM AWS 使用者指南》中的在 RAM 中建立資源共用AWS

  8. 獲邀接受共用邀請的帳戶需要 12 小時才能接受邀請。請參閱《AWS RAM 使用者指南》中的<接受與拒絕資源共用邀請>

  9. 如已完成並接受共用步驟,則保存庫摘要頁面會顯示在 Account sharing = “已共用 - 請參閱下方的帳戶共用表” 下。

AWS CLI

AWS RAM 使用 CLI 命令 create-resource-share。只有具有足夠許可的帳戶才能存取此命令。如需 CLI 執行步驟,請參閱在 AWS RAM中建立資源共用

步驟 1 到 4 要以擁有邏輯氣隙隔離保存庫的帳戶執行。步驟 5 到 8 要以共用邏輯氣隙隔離保存庫的帳戶執行。

  1. 登入擁有保存庫的帳戶,或者要求組織中有足夠認證可存取來源帳戶的使用者完成這些步驟。

    1. 如過去已建立資源共用,現在希望在其中新增其他資源,請改用 CLI associate-resource-share 搭配新保存庫的 ARN。

  2. 擷取具有足夠許可的角色認證,以透過 RAM 共用保存庫。將這些內容輸入 CLI

    1. 權限 ram:CreateResourceShare 為此程序必要許可。政策 AWSResourceAccessManagerFullAccess 包含所有 RAM 相關許可。

  3. 使用 create-resource-share

    1. 包括邏輯氣隙隔離保存庫的 ARN。

    2. 範例輸入:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. 輸出範例:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. 複製輸出內的資源共用 ARN (後續步驟的必要內容)。將 ARN 交給邀請接受共用的帳戶操作員。

  5. 取得資源共用 ARN

    1. 如未執行步驟 1 到 4,請向執行過這些步聚的人索取 resourceShareArn。

    2. 範例:arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. 在 CLI 中,擔任收件者帳戶的認證。

  7. 使用 get-resource-share-invitations 取得資源共用邀請。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的<接受與拒絕邀請>

  8. 接受目的地 (復原) 帳戶中的邀請。

    1. 使用 accept-resource-share-invitation (也可使用 reject-resource-share-invitation)。

您可以使用 AWS RAM CLI 命令來檢視共用項目:

  • 您已共用的資源:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • 顯示委託人:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • 其他帳戶共用的資源:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

從邏輯氣隙隔離保存庫還原備份

您可以從擁有保存庫的帳戶或共用保存庫的任何帳戶,還原存放在邏輯氣隙隔離保存庫中的備份。

如需如何透過 AWS Backup 主控台還原復原點的資訊,請參閱還原備份

從邏輯氣隙隔離保存庫共用備份到您的帳戶後,您可以使用 start-restore-job還原備份。

範例 CLI 輸入可以包含下列命令和參數:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

刪除邏輯氣隙隔離保存庫

請參閱刪除保存庫。如果保存庫仍包含備份 (復原點) 即無法刪除。在啟動刪除作業之前,請確認保存庫中沒有任何備份。

在根據金鑰刪除政策刪除保存庫七天後,刪除保存庫也會刪除與保存庫相關聯的金鑰。

以下範例 CLI 命令 delete-backup-vault 可用於刪除保存庫。

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

邏輯氣隙隔離保存庫的其他程式設計選項

您可以修改 CLI 命令 list-backup-vaults,列出該帳戶擁有並顯示的所有保存庫:

aws backup list-backup-vaults
--region us-east-1

若僅要列出邏輯氣隙隔離保存庫,請加入參數

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

包含 參數by-shared以篩選傳回的保存庫清單,僅顯示共用的邏輯氣隙隔離保存庫。回應將包含每個共用保存庫的加密金鑰類型資訊。

aws backup list-backup-vaults
--region us-east-1
--by-shared

顯示加密金鑰類型資訊的範例回應:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

了解邏輯氣隙隔離保存庫的加密金鑰類型

邏輯氣隙隔離保存庫支援不同的加密金鑰類型,此資訊可透過 AWS Backup APIs和主控台顯示。透過 AWS RAM 或 MPA 共用保存庫時,加密金鑰類型資訊會保留,並讓共用保存庫的帳戶可見。此透明度可協助您了解保存庫的加密組態,並做出有關備份和還原操作的明智決策。

加密金鑰類型值

EncryptionKeyType 欄位可以有下列值:

  • AWS_OWNED_KMS_KEY - 保存庫使用 AWS擁有的金鑰加密。這是未指定客戶受管金鑰時,邏輯氣隙隔離保存庫的預設加密方法。

  • CUSTOMER_MANAGED_KMS_KEY - 保存庫使用您控制的客戶受管 KMS 金鑰加密。此選項提供額外的加密金鑰和存取政策控制。

注意

  • AWS 備份建議搭配邏輯氣隙隔離保存庫使用 AWS 擁有的金鑰。

  • 如果您的組織政策需要使用客戶受管金鑰, AWS 除了測試之外, 不建議使用來自相同帳戶的金鑰。對於生產工作負載,請使用次要組織中另一個帳戶的客戶受管金鑰,以做為最佳實務進行復原。您可以使用客戶受管金鑰來參考部落格 Encrypt AWS Backup 邏輯氣隙隔離保存庫,以收集設定 CMK 型邏輯氣隙隔離保存庫的更多洞見。

  • 您只能在建立保存庫期間選取 AWS KMS 加密金鑰。建立後,文件庫中包含的所有備份都會使用該金鑰加密。您無法變更或遷移保存庫以使用不同的加密金鑰。

建立 CMK 加密邏輯氣隙隔離保存庫的金鑰政策

使用客戶受管金鑰建立邏輯氣隙隔離保存庫時,您必須將 AWS受管政策套用至AWSBackupFullAccess您的帳戶角色。此政策包含Allow的動作 AWS Backup 可讓 在備份、複製和儲存操作期間與 互動 AWS KMS ,以在 KMS 金鑰上建立授予。此外,您必須確保客戶受管金鑰 (如果使用) 政策包含特定的必要許可。

  • CMK 必須與邏輯氣隙隔離保存庫所在的帳戶共用

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

複製/還原的金鑰政策

為了防止任務失敗,請檢閱您的 AWS KMS 金鑰政策,以確保其包含所有必要的許可,且不包含任何可能封鎖操作的拒絕陳述式。適用下列條件:

  • 對於所有複製案例,CMKs 必須與來源複製角色共用

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • 從 CMK 加密的邏輯氣隙隔離保存庫複製到備份保存庫時,也必須與目的地帳戶 SLR 共用 CMK

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • 使用 RAM/MPA 共用邏輯氣隙隔離保存庫從復原帳戶複製或還原時

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

IAM 角色

執行邏輯氣隙隔離保存庫複製操作時,客戶可以使用 AWSBackupDefaultServiceRole,其中包含 AWS受管政策 AWSBackupServiceRolePolicyForBackup。不過,如果客戶偏好實作最低權限的政策方法,其 IAM 政策必須包含特定需求:

  • 來源帳戶的複製角色必須具有來源和目的地 CMKs存取許可。

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

因此,當客戶無法對其 CMKs 和複製角色提供足夠的許可時,複製期間會發生其中一個最常見的客戶錯誤。

檢視加密金鑰類型

您可以透過 AWS Backup 主控台和使用 AWS CLI 或 SDKs 以程式設計方式檢視加密金鑰類型資訊。

主控台:在 AWS Backup 主控台中檢視邏輯氣隙隔離保存庫時,加密金鑰類型會顯示在安全性資訊區段下的保存庫詳細資訊頁面中。

AWS CLI/API:在查詢邏輯氣隙隔離保存庫時,會在下列操作的回應中傳回加密金鑰類型:

  • list-backup-vaults (包括--by-shared共用保存庫)

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

保存庫加密的考量事項

使用邏輯氣隙隔離保存庫和加密金鑰類型時,請考慮下列事項:

  • 建立期間的金鑰選擇:您可以在建立邏輯氣隙隔離保存庫時選擇性地指定客戶受管 KMS 金鑰。如果未指定,則會使用 擁有 AWS的金鑰。

  • 共用保存庫可見性:共用保存庫的帳戶可以檢視加密金鑰類型,但無法修改加密組態。

  • 復原點資訊:在邏輯氣隙隔離保存庫中檢視復原點時,也可以使用加密金鑰類型。

  • 還原操作:了解加密金鑰類型可協助您規劃還原操作,並了解任何潛在的存取需求。

  • 合規:加密金鑰類型資訊可提供備份資料所用加密方法的透明度,以支援合規報告和稽核要求。

對邏輯氣隙隔離保存庫問題進行故障診斷

如果您在工作流程期間遇到錯誤,請參閱下列範例錯誤和建議的解決方法:

AccessDeniedException

錯誤:An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

可能原因:在 RAM 共用的保存庫上執行下列其中一個請求時,--backup-vault-account-id未包含 參數:

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

解決方案:重試傳回錯誤的命令,但包含 參數--backup-vault-account-id,指定擁有保存庫的帳戶。

OperationNotPermittedException

錯誤: OperationNotPermittedException 會在CreateResourceShare呼叫後傳回。

可能原因:如果您嘗試與其他組織共用資源,例如邏輯氣隙隔離保存庫,您可能會收到此例外狀況。保存庫可以與其他組織中的帳戶共用,但無法與其他組織本身共用。

解決方案:重試 操作,但將 帳戶指定為 的值,principals而非組織或 OU。

未顯示加密金鑰類型

問題:檢視邏輯氣隙隔離保存庫或其復原點時,看不到加密金鑰類型。

可能原因:

  • 您正在檢視在新增加密金鑰類型支援之前建立的舊版保存庫

  • 您正在使用較舊版本的 AWS CLI 或 SDK

  • API 回應不包含加密金鑰類型欄位

解決方法:

  • 將您的 更新 AWS CLI 為最新版本

  • 對於較舊的保存庫,加密金鑰類型會自動填入,並應該出現在後續的 API 呼叫中

  • 確認您使用的是傳回加密金鑰類型資訊的正確 API 操作

  • 對於共用保存庫,請確認保存庫已透過 正確共用 AWS Resource Access Manager

CloudTrail 日誌中的「失敗」VaultState 搭配 AccessDeniedException

CloudTrail 發生錯誤: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

可能原因:

  • 保存庫是使用客戶受管金鑰建立,但擔任的角色對於使用金鑰建立保存庫所需的金鑰政策沒有 CreateGrant 許可

解決方法: