Logischer Air-Gapped Vault - AWS Backup
Überblick über Tresore mit logischem Air-GapAnwendungsfall für Tresore mit logischem Air-GapVergleich und Gegenüberstellung mit einem Standard-Backup-TresorErstellen Sie einen Tresor mit logischem Air-GapDetails zum Tresor mit logischem Air-Gap anzeigenErstellen von Backups in einem Tresor mit logischem Air-GapTeilen Sie einen Tresor mit logischem Air-GapStellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder herLöschen Sie einen Tresor mit logischem Air-GapZusätzliche programmatische Optionen für Tresore mit logischem Air-GapGrundlegendes zu Verschlüsselungsschlüsseltypen für Tresore mit logischem Air-GapBeheben Sie ein Problem mit einem Tresor mit logischem Air-Gap

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Logischer Air-Gapped Vault

Überblick über Tresore mit logischem Air-Gap

AWS Backup bietet einen sekundären Tresortyp, in dem Backups in einem Container mit zusätzlichen Sicherheitsfunktionen gespeichert werden können. Ein Tresor mit logischem Air-Gapped ist ein spezialisierter Tresor, der mehr Sicherheit bietet als ein herkömmlicher Backup-Tresor und die Möglichkeit bietet, den Zugriff auf den Tresor gemeinsam mit anderen Konten zu nutzen, sodass Recovery Time Objectives (RTOs) im Falle eines Vorfalls, der eine schnelle Wiederherstellung von Ressourcen erfordert, schneller und flexibler gestaltet werden können.

Logical Air-Gapped Tresore sind mit zusätzlichen Schutzfunktionen ausgestattet. Jeder Tresor ist entweder mit einem AWS eigenen Schlüssel (Standard) oder optional mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt, und jeder Tresor ist mit dem Compliance-Modus von AWS Backup Vault Lock ausgestattet. Die Informationen zum Typ des Verschlüsselungsschlüssels sind in der Konsole sichtbar und sorgen so für AWS Backup APIs Transparenz und Konformitätsberichte.

Sie können Ihre Tresore mit logischem Air-Gap mit Multi-Party Approval (MPA) integrieren, um die Wiederherstellung von Backups in den Tresoren auch dann zu ermöglichen, wenn auf das Konto, das den Tresor besitzt, nicht zugegriffen werden kann. Dies trägt zur Aufrechterhaltung der Geschäftskontinuität bei. Darüber hinaus können Sie sich für die Integration mit AWS Resource Access Manager(RAM) entscheiden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen AWS Konten (einschließlich Konten in anderen Organisationen) zu nutzen, sodass die im Tresor gespeicherten Backups von einem Konto wiederhergestellt werden können, mit dem der Tresor gemeinsam genutzt wird, falls dies für die Wiederherstellung nach Datenverlust oder für Wiederherstellungstests erforderlich ist. Als Teil dieser zusätzlichen Sicherheit speichert ein Tresor mit logischem Air-Gap seine Backups in einem AWS Backup diensteigenen Konto (was dazu führt, dass Backups in AWS CloudTrail Protokollen als außerhalb Ihrer Organisation gemeinsam genutzt angezeigt werden).

Um die Ausfallsicherheit zu erhöhen, empfehlen wir, regionsübergreifende Kopien in Tresoren mit logischem Air-Gap in denselben oder separaten Konten zu erstellen. Wenn Sie jedoch die Speicherkosten senken möchten, indem Sie nur eine einzige Kopie verwalten, können Sie nach der Einführung in MPA primäre Backups für Tresore mit logischem Air-Gap verwenden. AWS

Sie können die Speicherpreise für Backups der unterstützten Services in einem Tresor mit logischem Air-Gap auf der Preisseite einsehen.AWS Backup

Informationen zu Feature-Verfügbarkeit nach Ressource den Ressourcentypen, die Sie in einen Tresor mit logischem Air-Gap kopieren können, finden Sie unter.

Themen

Anwendungsfall für Tresore mit logischem Air-Gap

Ein logischer Air-Gapped Vault ist ein sekundärer Tresor, der als Teil einer Datenschutzstrategie dient. Dieser Tresor kann dazu beitragen, die Aufbewahrungsstrategie und die Wiederherstellung Ihres Unternehmens zu verbessern, wenn Sie einen Tresor für Ihre Backups benötigen

  • Wird automatisch mit einer Tresorsperre im Compliance-Modus eingerichtet

  • Bietet standardmäßig Verschlüsselung mit einem AWS eigenen Schlüssel. Optional können Sie einen vom Kunden verwalteten Schlüssel bereitstellen

  • Enthält Backups, die über AWS RAM oder MPA mit einem anderen Konto als dem Konto, das die Sicherung erstellt hat, geteilt und von dort wiederhergestellt werden können

Überlegungen und Einschränkungen

  • Regionsübergreifendes Kopieren in oder aus einem Tresor mit logischem Air-Gap ist derzeit nicht für Backups verfügbar, die Amazon Aurora, Amazon DocumentDB und Amazon Neptune enthalten.

  • Ein Backup, das ein oder mehrere Amazon EBS-Volumes enthält und in einen Tresor mit logischem Air-Gap kopiert wird, muss kleiner als 16 TB sein. Größere Backups für diesen Ressourcentyp werden nicht unterstützt.

  • EC2 Amazon-Angebote EC2 sind zulässig AMIs. Wenn diese Einstellung in Ihrem Konto aktiviert ist, fügen Sie den Alias aws-backup-vault zu Ihrer Zulassungsliste hinzu.

    Wenn dieser Alias nicht enthalten ist, schlagen Kopiervorgänge von einem Tresor mit logischem Air-Gap in einen Backup-Tresor und Wiederherstellungsvorgänge von EC2 Instances aus einem Tresor mit logischem Air-Gap fehl und es wird eine Fehlermeldung wie „Source AMI ami-xxxxxx not found in Region“ angezeigt.

  • Der ARN (Amazon Resource Name) eines Wiederherstellungspunkts, der in einem Tresor mit logischem Air-Gap gespeichert ist, wird anstelle des zugrunde liegenden Ressourcentyps verwendet. backup Wenn der ursprüngliche ARN beispielsweise mit beginntarn:aws:ec2:region::image/ami-*, dann ist dies der ARN des Wiederherstellungspunkts im Tresor mit logischem Air-Gapped. arn:aws:backup:region:account-id:recovery-point:*

    Sie können den CLI-Befehl verwenden list-recovery-points-by-backup-vault, um den ARN zu ermitteln.

Vergleich und Gegenüberstellung mit einem Standard-Backup-Tresor

Ein Backup-Tresor ist der primäre und standardmäßige Tresortyp, der in AWS Backup verwendet wird. Jedes Backup wird beim Erstellen in einem Backup-Tresor gespeichert. Sie können ressourcenbasierte Richtlinien zuweisen, um die im Tresor gespeicherten Backups zu verwalten, z. B. den Lebenszyklus von im Tresor gespeicherten Backups.

Ein logischer Air-Gapped Vault ist ein spezialisierter Tresor mit zusätzlicher Sicherheit und flexibler gemeinsamer Nutzung für eine kürzere Wiederherstellungszeit (Recovery Time Objective, RTO). In diesem Tresor werden primäre Backups oder Kopien von Backups gespeichert, die ursprünglich in einem Standard-Backup-Tresor erstellt und gespeichert wurden.

Backup-Tresore werden mit einem Schlüssel verschlüsselt, einem Sicherheitsmechanismus, der den Zugriff auf die vorgesehenen Benutzer beschränkt. Diese Schlüssel können vom Kunden verwaltet oder AWS verwaltet werden. Informationen zum Verschlüsselungsverhalten bei Kopieraufträgen, einschließlich des Kopierens in einen Tresor mit logischem Air-Gap, finden Sie unter Kopierverschlüsselung.

Darüber hinaus kann ein Backup-Tresor durch eine Tresorsperre zusätzliche Sicherheit bieten. Logischerweise sind Tresore mit Air-Gaps im Compliance-Modus mit einem Tresorschloss ausgestattet.

Ähnlich wie Backup-Tresore unterstützen auch Tresore mit logischem Air-Gap eingeschränkte Tags für Amazon-Backups. EC2

Feature Sicherungstresor Logischer Air-Gapped Vault
AWS Backup Audit Manager Sie können AWS Backup Audit Manager verwendenSteuerelemente und Abhilfemaßnahmen, um Ihre Backup-Tresore zu überwachen. Stellen Sie sicher, dass ein Backup einer bestimmten Ressource in mindestens einem Tresor mit logischem Air-Gap nach einem von Ihnen festgelegten Zeitplan gespeichert wird, zusätzlich zu den für Standardtresore verfügbaren Kontrollen.

Fakturierung

Speicher- und Datenübertragungsgebühren für Ressourcen, die vollständig von "verwaltet werden, AWS Backup fallen unter"“ an.AWS Backup Speicher- und Datenübertragungsgebühren für andere Arten von Ressourcen fallen im Rahmen der jeweiligen Dienste an.

Beispielsweise werden Amazon EBS-Backups unter „Amazon EBS“ angezeigt; Amazon S3 S3-Backups werden unter "AWS Backup“ angezeigt.

Alle Abrechnungsgebühren für diese Tresore (Speicherung oder Datenübertragung) werden unter "" ausgewiesen.AWS Backup

Regionen

Verfügbar in allen Regionen, in denen tätig ist AWS Backup

Verfügbar in den meisten Regionen, die von unterstützt werden AWS Backup. Derzeit nicht verfügbar in Asien-Pazifik (Malaysia), Kanada West (Calgary), Mexiko (Zentral), Asien-Pazifik (Thailand), Asien-Pazifik (Taipeh), Asien-Pazifik (Neuseeland), China (Peking), China (Ningxia), AWS GovCloud (USA-Ost) oder AWS GovCloud (US-West).

Ressourcen

Kann Kopien von Backups für die meisten Ressourcentypen speichern, die kontoübergreifendes Kopieren unterstützen.

Ressourcen, die in diesen Tresor kopiert werden können, finden Sie in der Feature-Verfügbarkeit nach Ressource Spalte Tresor mit logischem Air-Gapped unter.

Wiederherstellen

Backups können mit demselben Konto wiederhergestellt werden, zu dem der Tresor gehört.

Backups können mit einem anderen Konto als dem, zu dem der Tresor gehört, wiederhergestellt werden, wenn der Tresor mit diesem separaten Konto geteilt wird.

Sicherheit

Kann optional mit einem Schlüssel verschlüsselt werden (kundenseitig verwaltet oder von AWS verwaltet)

Wahlweise kann eine Tresorsperre im Compliance- oder Governance-Modus verwendet werden

Kann mit einem AWS eigenen Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden

Ist immer mit einer Tresorsperre im Compliance-Modus gesperrt

Informationen zum Typ des Verschlüsselungsschlüssels bleiben erhalten und sind sichtbar, wenn Tresore über AWS RAM MPA gemeinsam genutzt werden

Teilen

Zugriff kann über Richtlinien und AWS Organizations verwaltet werden.

Nicht kompatibel mit AWS RAM

Kann optional mit AWS RAM über mehrere Konten hinweg gemeinsam genutzt werden

Erstellen Sie einen Tresor mit logischem Air-Gap

Sie können einen Tresor mit logischem Air-Gap entweder über die AWS Backup Konsole oder über eine Kombination aus AWS Backup und AWS RAM CLI-Befehlen erstellen.

Jeder Logic Air-Gapped ist im Compliance-Modus mit einer Tresorsperre ausgestattet. Weitere Informationen finden Sie unterAWS Backup Vault Lock, um die für Ihren Betrieb am besten geeigneten Werte für die Aufbewahrungsdauer zu ermitteln

Console
Erstellen eines logischen Air-Gapped Vault von der Konsole aus

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im Navigationsbereich Tresore aus.

  3. Beide Tresortypen werden angezeigt. Wählen Sie Neuen Tresor erstellen aus.

  4. Geben Sie einen Namen für Ihren Sicherungstresor ein. Sie können den Namen Ihres Tresors so wählen, dass er angibt, was in ihm gespeichert wird, oder so, dass die Suche nach den benötigten Sicherungen erleichtert wird. Geben Sie ihm beispielsweise den Namen FinancialBackups.

  5. Wählen Sie das Optionsfeld für Logically Air-Gapped Vault aus.

  6. (Optional) Wählen Sie einen Verschlüsselungsschlüssel. Sie können einen vom Kunden verwalteten KMS-Schlüssel für zusätzliche Kontrolle über die Verschlüsselung auswählen oder den standardmäßigen AWS eigenen Schlüssel verwenden (empfohlen).

  7. Legen Sie den Mindestaufbewahrungszeitraum fest.

    Dieser Wert (in Tagen, Monaten oder Jahren) ist der kürzeste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die kürzer sind als dieser Wert, können nicht in diesen Tresor kopiert werden.

    Der zulässige Mindestwert ist 7 Tage. Werte für Monate und Jahre entsprechen diesem Mindestwert.

  8. Legen Sie den Höchstaufbewahrungszeitraum fest.

    Dieser Wert (in Tagen, Monaten oder Jahren) ist der längste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die diesen Wert überschreiten, können nicht in diesen Tresor kopiert werden.

  9. (Optional) Legen Sie den Verschlüsselungsschlüssel fest.

    Geben Sie den Schlüssel an, der mit Ihrem Tresor verwendet werden soll. Sie können einen AWS eigenen Schlüssel (verwaltet von AWS Backup) wählen oder den ARN für einen vom Kunden verwalteten Schlüssel eingeben, der vorzugsweise zu einem anderen Konto gehört, auf das Sie Zugriff haben. AWS Backup empfiehlt die Verwendung eines AWS eigenen Schlüssels.

  10. (Optional) Fügen Sie Tags hinzu, die Ihnen helfen, Ihren logischen Air-Gapped Vault zu suchen und zu identifizieren. Beispielsweise können Sie den Tag BackupType:Financial hinzufügen.

  11. Wählen Sie Tresor erstellen aus.

  12. Überprüfen Sie die Einstellungen. Wenn alle Einstellungen wie gewünscht angezeigt werden, wählen Sie Logischen luftdicht verschlossenen Tresor erstellen aus.

  13. Die Konsole leitet Sie zur Detailseite Ihres neuen Tresors weiter. Vergewissern Sie sich, dass die Tresordetails wie gewünscht festgelegt sind.

  14. Wählen Sie Tresore aus, um die Tresore in Ihrem Konto anzuzeigen. Ihr Tresor mit logischem Air-Gap wird angezeigt. Der KMS-Schlüssel ist etwa 1 bis 3 Minuten nach der Erstellung des Tresors verfügbar. Aktualisieren Sie die Seite, um den zugehörigen Schlüssel zu sehen. Sobald der Schlüssel sichtbar ist, ist der Tresor verfügbar und kann verwendet werden.

AWS CLI

Erstellen Sie über die CLI einen Tresor mit logischem Air-Gapped

Sie können es verwenden AWS CLI , um programmgesteuert Operationen für Tresore mit logischem Air-Gap auszuführen. Jede CLI ist spezifisch für den AWS Dienst, aus dem sie stammt. Befehlen, die sich auf Freigaben beziehen, wird aws ram vorangestellt. Allen anderen Befehlen sollte aws backup vorangestellt werden.

Verwenden Sie den CLI-Befehl create-logically-air-gapped-backup-vault, der mit den folgenden Parametern geändert wurde:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

Mit dem optionalen --encryption-key-arn Parameter können Sie einen vom Kunden verwalteten KMS-Schlüssel für die Tresorverschlüsselung angeben. Falls nicht angegeben, verwendet der Tresor einen AWS eigenen Schlüssel.

Beispiel für einen CLI-Befehl zum Erstellen eines Tresors mit logischem Air-Gapped:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Beispiel für einen CLI-Befehl zum Erstellen eines Tresors mit logischem Air-Gapped und kundenverwalteter Verschlüsselung:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

Informationen nach dem Erstellungsvorgang finden Sie unter CreateLogicallyAirGappedBackupVault API-Antwortelemente. Wenn der Vorgang erfolgreich war, wird im neuen Tresor mit logischem Air-Gap der Wert „Aus“ angezeigt. VaultState CREATING

Sobald die Erstellung abgeschlossen ist und der KMS-verschlüsselte Schlüssel zugewiesen wurde, VaultState erfolgt der Übergang zu. AVAILABLE Sobald der Tresor verfügbar ist, kann er verwendet werden. VaultStatekann telefonisch DescribeBackupVaultoder abgerufen werden ListBackupVaults.

Details zum Tresor mit logischem Air-Gap anzeigen

Sie können die Tresordetails wie Zusammenfassung, Wiederherstellungspunkte, geschützte Ressourcen, Kontofreigabe, Zugriffsrichtlinien und Tags über die AWS Backup Konsole oder die AWS Backup CLI einsehen.

Console

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

  3. Unter den Beschreibungen der Tresore finden Sie drei Listen: Tresore, die mit diesem Konto erstellt wurden, Tresore, die über RAM gemeinsam genutzt werden, und Tresore, auf die durch eine Genehmigung durch mehrere Parteien zugegriffen werden kann. Wählen Sie die gewünschte Registerkarte aus, um die Tresore anzuzeigen.

  4. Klicken Sie unter Tresorname auf den Namen des Tresors, um die Detailseite zu öffnen. Sie können die Zusammenfassung, die Wiederherstellungspunkte, die geschützten Ressourcen, die Kontofreigabe, die Zugriffsrichtlinie und Tag-Details einsehen.

    Die Details werden je nach Kontotyp angezeigt: Konten, die einen Tresor besitzen, können die gemeinsame Nutzung von Konten einsehen; Konten, die keinen Tresor besitzen, können die gemeinsame Nutzung von Konten nicht einsehen. Bei gemeinsam genutzten Tresoren wird der Typ des Verschlüsselungsschlüssels (AWS eigener oder vom Kunden verwalteter KMS-Schlüssel) in der Tresorübersicht angezeigt.

AWS CLI

Details eines Tresors mit logischem Air-Gap über CLI anzeigen

Der CLI-Befehl describe-backup-vaultkann verwendet werden, um Details zu einem Tresor abzurufen. Der Parameter backup-vault-name ist erforderlich; region ist optional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Beispiel für eine Antwort:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Erstellen von Backups in einem Tresor mit logischem Air-Gap

Tresore mit logischem Air-Gap können ein Zielziel für Kopieraufträge in einem Backup-Plan oder ein Ziel für einen On-Demand-Kopierauftrag sein. Es kann auch als primäres Backup-Ziel verwendet werden. Siehe Primäre Backups in Tresoren mit logischem Air-Gap.

Kompatible Verschlüsselung

Für einen erfolgreichen Kopiervorgang von einem Backup-Tresor in einen Tresor mit logischem Air-Gap ist ein Verschlüsselungsschlüssel erforderlich, der durch den zu kopierenden Ressourcentyp bestimmt wird.

Wenn Sie ein Backup eines vollständig verwalteten Ressourcentyps erstellen oder kopieren, kann die Quellressource mit einem vom Kunden verwalteten Schlüssel oder mit einem verwalteten Schlüssel verschlüsselt werden. AWS

Wenn Sie ein Backup anderer Ressourcentypen (solche, die nicht vollständig verwaltet werden) erstellen oder kopieren, muss die Quelle mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden. AWS verwaltete Schlüssel für nicht vollständig verwaltete Ressourcen werden nicht unterstützt.

Erstellen oder kopieren Sie Backups mithilfe eines Backup-Plans in einen Tresor mit logischem Air-Gap

Sie können ein Backup (Recovery Point) von einem Standard-Backup-Tresor in einen Tresor mit logischem Air-Gap kopieren, indem Sie in der AWS Backup Konsole oder mithilfe der Befehle und einen neuen Backup-Plan erstellen oder einen vorhandenen aktualisieren. AWS CLI create-backup-planupdate-backup-plan Sie können Backups auch direkt in einem Tresor mit logischem Air-Gap erstellen, indem Sie ihn als primäres Ziel verwenden. Weitere Informationen finden Sie unter Primäre Backups in Tresoren mit logischem Air-Gap.

Sie können bei Bedarf ein Backup von einem Tresor mit logischem Air-Gap in einen anderen Tresor mit logischem Air-Gap kopieren (diese Art von Backup kann nicht in einem Backup-Plan geplant werden). Sie können ein Backup von einem Tresor mit logischem Air-Gap in einen Standard-Backup-Tresor kopieren, sofern die Kopie mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist.

On-Demand-Backup-Kopie in einen Tresor mit logischem Air-Gap

Um eine einmalige On-Demand-Kopie eines Backups in einen Tresor mit logischem Air-Gap zu erstellen, können Sie aus einem Standard-Backup-Tresor kopieren. Regions- oder kontoübergreifende Kopien sind verfügbar, wenn der Ressourcentyp den Kopiertyp unterstützt.

Verfügbarkeit kopieren

Eine Kopie eines Backups kann von dem Konto aus erstellt werden, zu dem der Tresor gehört. Konten, mit denen der Tresor gemeinsam genutzt wurde, haben die Möglichkeit, ein Backup anzusehen oder wiederherzustellen, aber keine Kopie zu erstellen.

Es können nur Ressourcentypen berücksichtigt werden, die regionsübergreifendes oder kontoübergreifendes Kopieren unterstützen.

Console

  1. Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com

  2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

  3. Auf der Tresordetailseite werden alle Wiederherstellungspunkte innerhalb dieses Tresors angezeigt. Aktivieren Sie das Kontrollkästchen neben dem Wiederherstellungspunkt, den Sie kopieren möchten.

  4. Wählen Sie Aktionen und dann im Dropdown-Menü Kopieren aus.

  5. Geben Sie auf dem nächsten Bildschirm die Details des Ziels ein.

    1. Geben Sie die Zielregion an.

    2. Das Dropdown-Menü für den Ziel-Backup-Tresor zeigt die geeigneten Zieltresore an. Wählen Sie einen vom Typ logically air-gapped vault aus.

  6. Wählen Sie Kopieren aus, sobald alle Details Ihren Präferenzen entsprechen.

Auf der Seite Aufträge in der Konsole können Sie Kopieraufträge auswählen, um die aktuellen Kopieraufträge einzusehen.

AWS CLI

Verwenden Sie start-copy-job, um ein vorhandenes Backup in einem Backup-Tresor in einen logischen Air-Gapped Vault zu kopieren.

CLI-Beispieleingabe:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Weitere Informationen finden Sie unter Kopieren eines Backups, Erstellen von Backup-Kopien über AWS-Regionen hinweg und Erstellen von Backup-Kopien über AWS-Konten hinweg.

Teilen Sie einen Tresor mit logischem Air-Gap

Sie können AWS Resource Access Manager (RAM) verwenden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen von Ihnen angegebenen Konten zu nutzen. Bei der gemeinsamen Nutzung von Tresoren bleiben die Informationen zum Typ des Verschlüsselungsschlüssels (AWS eigener oder vom Kunden verwalteter KMS-Schlüssel) erhalten und sind für Konten sichtbar, mit denen der Tresor gemeinsam genutzt wird.

Ein Tresor kann mit einem Konto in seiner Organisation oder mit einem Konto in einer anderen Organisation geteilt werden. Der Tresor kann nicht mit einer gesamten Organisation geteilt werden, sondern nur mit Konten innerhalb der Organisation.

Nur Konten mit bestimmten IAM-Rechten können Tresore gemeinsam nutzen und verwalten.

Stellen Sie für die gemeinsame Nutzung sicher AWS RAM, dass Sie über Folgendes verfügen:

  • Zwei oder mehr Konten, auf die zugegriffen werden kann AWS Backup

  • Ein Konto, das einen Tresor besitzt und das teilen möchte, verfügt über die erforderlichen RAM-Berechtigungen. Die Berechtigung ram:CreateResourceShare ist für dieses Verfahren erforderlich. Die Richtlinie AWSResourceAccessManagerFullAccess enthält alle erforderlichen RAM-bezogenen Berechtigungen:

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Mindestens einen logischen Air-Gapped Vault

Console

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

  3. Unter den Beschreibungen der Tresore finden Sie zwei Listen: Tresore, die diesem Konto gehören und Mit diesem Konto geteilte Tresore. Tresore, die dem Konto gehören, können gemeinsam genutzt werden.

  4. Wählen Sie unter Tresorname den Namen des logischen Air-Gapped Vault aus, um die Detailseite zu öffnen.

  5. Im Bereich Kontofreigabe wird angezeigt, mit welchen Konten der Tresor geteilt wird.

  6. Um mit der Freigabe für ein anderes Konto zu beginnen oder Konten zu bearbeiten, die bereits gemeinsam genutzt werden, wählen Sie Freigabe verwalten aus.

  7. Die AWS RAM Konsole wird geöffnet, wenn „Teilen verwalten“ ausgewählt ist. Anweisungen zur gemeinsamen Nutzung einer Ressource mithilfe von AWS RAM finden Sie unter Erstellen einer Ressourcenfreigabe im AWSAWS RAM im RAM-Benutzerhandbuch.

  8. Das Konto, das aufgefordert wurde, eine Einladung anzunehmen, um eine Freigabe zu erhalten, hat 12 Stunden Zeit, die Einladung anzunehmen. Weitere Informationen finden Sie unter Annehmen und Ablehnen von Einladungen zur Ressourcenfreigabe im AWS -RAM-Benutzerhandbuch.

  9. Wenn die Schritte für die Freigabe abgeschlossen und akzeptiert wurden, wird die Seite mit der Tresorübersicht unter Gemeinsame Nutzung von Konten = Geteilt – siehe Tabelle zur gemeinsamen Nutzung von Konten unten angezeigt.

AWS CLI

AWS RAM verwendet den CLI-Befehlcreate-resource-share. Der Zugriff auf diesen Befehl ist nur für Konten mit ausreichenden Berechtigungen verfügbar. Die CLI-Schritte finden Sie unter Erstellen einer Ressourcenfreigabe in AWS RAM.

Die Schritte 1 bis 4 werden mit dem Konto ausgeführt, dem der logische Air-Gapped Vault gehört. Die Schritte 5 bis 8 werden mit dem Konto ausgeführt, für das der logische Air-Gapped Vault freigegeben werden soll.

  1. Melden Sie sich bei dem Eigentümerkonto an ODER fordern Sie einen Benutzer in Ihrer Organisation, der über ausreichende Anmeldeinformationen für den Zugriff auf das Quellkonto verfügt, auf, diese Schritte durchzuführen.

    1. Wenn zuvor eine Ressourcenfreigabe erstellt wurde und Sie ihr eine zusätzliche Ressource hinzufügen möchten, verwenden Sie stattdessen die CLI associate-resource-share mit dem ARN des neuen Tresors.

  2. Rufen Sie die Anmeldeinformationen einer Rolle mit ausreichenden Berechtigungen für die Freigabe über RAM ab. Geben Sie diese in die CLI ein.

    1. Die Berechtigung ram:CreateResourceShare ist für dieses Verfahren erforderlich. Die Richtlinie AWSResourceAccessManagerFullAccessenthält alle RAM-bezogenen Berechtigungen.

  3. Verwenden Sie create-resource-share.

    1. Geben Sie den ARN des logischen Air-Gapped Vault an.

    2. Beispieleingabe:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Beispielausgabe:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Kopieren Sie den Ressourcenfreigabe-ARN in die Ausgabe (benötigt für nachfolgende Schritte). Geben Sie den ARN an den Betreiber des Kontos weiter, das Sie einladen, die Freigabe zu erhalten.

  5. Abrufen des Ressourcenfreigabe-ARN

    1. Wenn Sie die Schritte 1 bis 4 nicht durchgeführt haben, holen Sie sich das resourceShareArn von demjenigen, der es getan hat.

    2. Beispiel: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. Übernehmen Sie in der CLI die Anmeldeinformationen des Empfängerkontos.

  7. Rufen Sie mit get-resource-share-invitations die Ressourcenfreigabeeinladung ab. Weitere Informationen finden Sie unter Annehmen und Ablehnen von Ressourcenfreigabeeinladungen im AWS RAM -Benutzerhandbuch.

  8. Nehmen Sie die Einladung im Zielkonto (Wiederherstellungskonto) an.

    1. Verwenden Sie accept-resource-share-invitation (reject-resource-share-invitation auch möglich).

Sie können AWS RAM CLI-Befehle verwenden, um gemeinsam genutzte Elemente anzuzeigen:

  • Ressourcen, die Sie geteilt haben:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Zeigen Sie dem Schulleiter:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Ressourcen, die von anderen Konten gemeinsam genutzt werden:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Stellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder her

Sie können ein in einem Tresor mit logischem Air-Gap gespeichertes Backup entweder von dem Konto aus wiederherstellen, dem der Tresor gehört, oder von einem beliebigen Konto, mit dem der Tresor gemeinsam genutzt wird.

Informationen zum Wiederherstellen eines Wiederherstellungspunkts über die Konsole finden Sie unter Wiederherstellung eines Backups. AWS Backup

Sobald ein Backup aus einem Tresor mit logischem Air-Gap für Ihr Konto freigegeben wurde, können Sie es start-restore-jobzur Wiederherstellung verwenden.

Eine CLI-Beispieleingabe kann den folgenden Befehl und die folgenden Parameter enthalten:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Löschen Sie einen Tresor mit logischem Air-Gap

Siehe Löschen eines Tresors. Tresore können nicht gelöscht werden, wenn sie noch Backups (Wiederherstellungspunkte) enthalten. Stellen Sie sicher, dass der Tresor keine Backups enthält, bevor Sie einen Löschvorgang starten.

Beim Löschen eines Tresors wird auch der dem Tresor zugeordnete Schlüssel sieben Tage nach dem Löschen des Tresors gemäß der Richtlinie zum Löschen von Schlüsseln gelöscht.

Der folgende CLI-Beispielbefehl delete-backup-vault kann verwendet werden, um einen Tresor zu löschen.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Zusätzliche programmatische Optionen für Tresore mit logischem Air-Gap

Der CLI-Befehl list-backup-vaults kann so geändert werden, dass er alle Tresore auflistet, die dem Konto gehören und in diesem vorhanden sind:

aws backup list-backup-vaults
--region us-east-1

Um nur die logischen Air-Gapped Vaults aufzulisten, fügen Sie diesen Parameter hinzu:

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Fügen Sie den Parameter hinzuby-shared, um die zurückgegebene Tresorliste so zu filtern, dass nur gemeinsam genutzte Tresore mit logischem Air-Gap angezeigt werden. Die Antwort enthält Informationen zum Typ des Verschlüsselungsschlüssels für jeden gemeinsam genutzten Tresor.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Beispielantwort mit Informationen zum Typ des Verschlüsselungsschlüssels:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

Grundlegendes zu Verschlüsselungsschlüsseltypen für Tresore mit logischem Air-Gap

Tresore mit logischem Air-Gap unterstützen verschiedene Verschlüsselungsschlüsseltypen, und diese Informationen sind sowohl über die Konsole als auch über die Konsole sichtbar. AWS Backup APIs Wenn Tresore über MPA gemeinsam genutzt werden, bleiben die Informationen zum Typ des Verschlüsselungsschlüssels erhalten und sind für Konten sichtbar, mit denen der AWS RAM Tresor gemeinsam genutzt wird. Diese Transparenz hilft Ihnen, die Verschlüsselungskonfiguration von Tresoren zu verstehen und fundierte Entscheidungen über Sicherungs- und Wiederherstellungsvorgänge zu treffen.

Werte des Typs des Verschlüsselungsschlüssels

Das EncryptionKeyType Feld kann die folgenden Werte haben:

  • AWS_OWNED_KMS_KEY- Der Tresor ist mit einem AWS eigenen Schlüssel verschlüsselt. Dies ist die Standardverschlüsselungsmethode für Tresore mit logischem Air-Gap, wenn kein vom Kunden verwalteter Schlüssel angegeben ist.

  • CUSTOMER_MANAGED_KMS_KEY- Der Tresor ist mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt, den Sie kontrollieren. Diese Option bietet zusätzliche Kontrolle über Verschlüsselungsschlüssel und Zugriffsrichtlinien.

Anmerkung

  • AWS Backup empfiehlt die Verwendung von AWS eigenen Schlüsseln mit Tresoren mit logischem Air-Gap. Wenn Ihre Unternehmensrichtlinie jedoch die Verwendung eines vom Kunden verwalteten Schlüssels vorschreibt, sollten Sie als bewährte Methode Schlüssel von einem anderen Konto in einer sekundären Organisation verwenden, die für die Wiederherstellung vorgesehen ist. Im Blog Encrypt AWS Backup Logically Air-Gapped Vaults with Customer-managed Keys finden Sie weitere Informationen zur Einrichtung von CMK-basierten Logic Air-Gapped Tresoren.

  • Sie können bei der Tresorerstellung nur einen KMS-Verschlüsselungsschlüssel auswählen. AWS Nach der Erstellung werden alle im Tresor enthaltenen Backups mit diesem Schlüssel verschlüsselt. Sie können Ihre Tresore nicht ändern oder migrieren, sodass sie einen anderen Verschlüsselungsschlüssel verwenden.

Wichtige Richtlinie für die Erstellung von mit CMK verschlüsselten Tresoren mit logischem Air-Gap

Wenn Sie einen Tresor mit logischem Air-Gapped mit einem vom AWS Kunden verwalteten Schlüssel erstellen, müssen Sie die Richtlinie „-managed“ auf Ihre Kontorolle anwenden. AWSBackupFullAccess Diese Richtlinie umfasst Allow Aktionen, die es ermöglichen AWS Backup , bei Sicherungs-, Kopier AWS KMS - und Speichervorgängen auf KMS-Schlüsseln zu interagieren oder Zuweisungen zu erstellen. Darüber hinaus müssen Sie sicherstellen, dass Ihre Richtlinie für vom Kunden verwaltete Schlüssel (falls verwendet) bestimmte erforderliche Berechtigungen enthält.

  • Das CMK muss mit dem Konto geteilt werden, auf dem sich der Tresor mit logischem Air-Gap befindet

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

Wichtige Richtlinie für das Kopieren/Wiederherstellen

Um Auftragsausfälle zu vermeiden, überprüfen Sie Ihre AWS KMS wichtigsten Richtlinien, um sicherzustellen, dass sie alle erforderlichen Berechtigungen enthält und keine Ablehnungsaussagen enthält, die Vorgänge blockieren könnten. Es gelten die folgenden Bedingungen:

  • Für alle Kopierszenarien CMKs muss die Rolle mit der Quellkopierrolle gemeinsam genutzt werden

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • Beim Kopieren von einem CMK-verschlüsselten Tresor mit logischem Air-Gap in einen Backup-Tresor muss der CMK auch für das Zielkonto SLR freigegeben werden

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • Beim Kopieren oder Wiederherstellen von einem Wiederherstellungskonto mithilfe eines gemeinsam genutzten Tresors mit logischem Air-Gap RAM/MPA 

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

IAM Role (IAM-Rolle)

Bei Kopiervorgängen im Tresor mit logischem Air-Gapped können Kunden die Richtlinie verwenden, die auch die AWSBackupDefaultServiceRole verwaltete Richtlinie beinhaltet. AWSAWSBackupServiceRolePolicyForBackup Wenn Kunden es jedoch vorziehen, einen Richtlinienansatz mit den geringsten Rechten zu implementieren, muss ihre IAM-Richtlinie eine bestimmte Anforderung beinhalten:

  • Die Kopierrolle des Quellkontos muss über Zugriffsberechtigungen sowohl für die Quelle als auch für das Ziel verfügen. CMKs

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

Folglich tritt einer der häufigsten Kundenfehler beim Kopieren auf, wenn Kunden nicht genügend Berechtigungen für ihre Rollen CMKs und die Kopierrolle bereitstellen.

Verschlüsselungsschlüsseltypen anzeigen

Sie können Informationen zum Typ des Verschlüsselungsschlüssels sowohl über die AWS Backup Konsole als auch programmgesteuert mithilfe von oder anzeigen. AWS CLI SDKs

Konsole: Bei der Anzeige von Tresoren mit logischem Air-Gap in der AWS Backup Konsole wird der Typ des Verschlüsselungsschlüssels auf der Seite mit den Tresordetails im Bereich Sicherheitsinformationen angezeigt.

AWS CLI/API: Der Typ des Verschlüsselungsschlüssels wird als Antwort auf die folgenden Operationen zurückgegeben, wenn Tresore mit logischem Air-Gap abgefragt werden:

  • list-backup-vaults(auch für gemeinsam genutzte Tresore) --by-shared

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

Überlegungen zur Tresorverschlüsselung

Beachten Sie bei der Arbeit mit Tresoren und Verschlüsselungsschlüsseltypen mit logischem Air-Gap Folgendes:

  • Schlüsselauswahl bei der Erstellung: Sie können optional einen vom Kunden verwalteten KMS-Schlüssel angeben, wenn Sie einen Tresor mit logischem Air-Gapped erstellen. Falls nicht angegeben, wird ein AWS eigener Schlüssel verwendet.

  • Sichtbarkeit gemeinsam genutzter Tresore: Konten, mit denen ein Tresor gemeinsam genutzt wird, können den Typ des Verschlüsselungsschlüssels sehen, die Verschlüsselungskonfiguration jedoch nicht ändern.

  • Informationen zum Wiederherstellungspunkt: Der Typ des Verschlüsselungsschlüssels ist auch verfügbar, wenn Sie Wiederherstellungspunkte in Tresoren mit logischem Air-Gap anzeigen.

  • Wiederherstellungsvorgänge: Wenn Sie den Typ des Verschlüsselungsschlüssels kennen, können Sie Wiederherstellungsvorgänge besser planen und mögliche Zugriffsanforderungen besser verstehen.

  • Konformität: Die Informationen zum Typ des Verschlüsselungsschlüssels unterstützen die Anforderungen an Compliance-Berichte und Audits, indem sie Transparenz über die für Backup-Daten verwendeten Verschlüsselungsmethoden bieten.

Beheben Sie ein Problem mit einem Tresor mit logischem Air-Gap

Wenn Sie während Ihres Workflows auf Fehler stoßen, sehen Sie sich die folgenden Beispielfehler und Lösungsvorschläge an:

AccessDeniedException

Fehler: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Mögliche Ursache: Der Parameter --backup-vault-account-id war nicht enthalten, als eine der folgenden Anforderungen in einem vom RAM gemeinsam genutzten Tresor ausgeführt wurde:

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Lösung: Wiederholen Sie den Befehl, der den Fehler zurückgegeben hat, geben Sie jedoch den Parameter an, der --backup-vault-account-id das Konto angibt, dem der Tresor gehört.

OperationNotPermittedException

Fehler: OperationNotPermittedException wird nach einem CreateResourceShare Anruf zurückgegeben.

Mögliche Ursache: Wenn Sie versuchen, eine Ressource, z. B. einen Tresor mit logischem Air-Gap, mit einer anderen Organisation gemeinsam zu nutzen, tritt möglicherweise diese Ausnahme auf. Ein Tresor kann mit einem Konto in einer anderen Organisation geteilt werden, aber er kann nicht mit der anderen Organisation selbst geteilt werden.

Lösung: Versuchen Sie den Vorgang erneut, geben Sie jedoch ein Konto als Wert für principals anstelle einer Organisation oder Organisationseinheit an.

Der Typ des Verschlüsselungsschlüssels wird nicht angezeigt

Problem: Der Typ des Verschlüsselungsschlüssels ist nicht sichtbar, wenn ein Tresor mit logischem Air-Gap oder dessen Wiederherstellungspunkten angezeigt wird.

Mögliche Ursachen:

  • Sie sehen einen älteren Tresor, der erstellt wurde, bevor die Unterstützung für Verschlüsselungsschlüsseltypen hinzugefügt wurde

  • Sie verwenden eine ältere Version des AWS CLI oder SDK

  • Die API-Antwort enthält nicht das Feld für den Typ des Verschlüsselungsschlüssels

Auflösung

  • Aktualisieren Sie Ihre AWS CLI auf die neueste Version

  • Bei älteren Tresoren wird der Typ des Verschlüsselungsschlüssels automatisch ausgefüllt und sollte in nachfolgenden API-Aufrufen erscheinen

  • Stellen Sie sicher, dass Sie die richtigen API-Operationen verwenden, die Informationen zum Typ des Verschlüsselungsschlüssels zurückgeben

  • Stellen Sie bei gemeinsam genutzten Tresoren sicher, dass der Tresor ordnungsgemäß gemeinsam genutzt wird über AWS Resource Access Manager

AccessDeniedException In CloudTrail den Protokollen steht „FEHLGESCHLAGEN“ VaultState

Fehler in CloudTrail: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

Mögliche Ursachen:

  • Der Tresor wurde mit einem vom Kunden verwalteten Schlüssel erstellt, aber die übernommene Rolle verfügt nicht über die erforderlichen CreateGrant Berechtigungen für die Schlüsselrichtlinie, um den Schlüssel für die Tresorerstellung zu verwenden

Auflösung