Coffre-fort à isolation logique - AWS Backup
Vue d'ensemble des coffres-forts à espacement logiqueCas d'utilisation pour les coffres-forts à espacement logiqueComparaison et contraste avec un coffre-fort de sauvegarde standardCréez un coffre hermétique de manière logiqueAfficher les détails des coffres-forts ventilés de manière logiqueCréation de sauvegardes dans un coffre-fort isolé de manière logiquePartagez un coffre-fort isolé de manière logiqueRestaurez une sauvegarde à partir d'un coffre-fort isolé de manière logiqueSupprimer un coffre-fort isolé de manière logiqueOptions programmatiques supplémentaires pour les coffres-forts à espacement logiqueComprendre les types de clés de chiffrement pour les coffres-forts séparés de manière logiqueRésoudre un problème lié à un coffre hermétique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Coffre-fort à isolation logique

Vue d'ensemble des coffres-forts à espacement logique

AWS Backup propose un type de coffre-fort secondaire qui permet de stocker les sauvegardes dans un conteneur doté de fonctionnalités de sécurité supplémentaires. Un coffre-fort logiquement isolé est un coffre-fort spécialisé qui offre une sécurité accrue par rapport à un coffre-fort de sauvegarde standard, ainsi que la possibilité de partager l'accès au coffre-fort avec d'autres comptes afin que les objectifs de temps de restauration (RTOs) puissent être plus rapides et plus flexibles en cas d'incident nécessitant une restauration rapide des ressources.

Les coffres-forts hermétiques sont dotés de fonctionnalités de protection supplémentaires ; chaque coffre-fort est chiffré avec une cléAWS détenue (par défaut) ou éventuellement avec une clé KMS gérée par le client, et chaque coffre-fort est équipéAWS Backup du mode de conformité de Vault Lock. Les informations relatives au type de clé de chiffrement sont visibles via AWS Backup APIs une console pour des raisons de transparence et de conformité.

Vous pouvez intégrer vos coffres-forts logiquement à l'approbation multipartite (MPA) pour permettre la restauration des sauvegardes présentes dans les coffres-forts même si le compte propriétaire du coffre-fort est inaccessible, ce qui contribue à maintenir la continuité des activités. En outre, vous pouvez choisir de l'intégrer à AWS Resource Access Manager(RAM) pour partager un coffre-fort logiquement isolé avec d'autres AWS comptes (y compris des comptes d'autres organisations) afin que les sauvegardes stockées dans le coffre-fort puissent être restaurées à partir d'un compte avec lequel le coffre-fort est partagé, si nécessaire pour la récupération des données perdues ou les tests de restauration. Dans le cadre de cette sécurité accrue, un coffre-fort isolé de manière logique stocke ses sauvegardes dans un compte appartenant au AWS Backup service (ce qui se traduit par des sauvegardes affichées comme partagées en dehors de votre organisation dans les éléments d'attribut de modification dans les journaux). AWS CloudTrail

Pour une meilleure résilience, nous vous recommandons de créer des copies interrégionales dans des coffres-forts logiquement espacés, dans des comptes identiques ou distincts. Toutefois, si vous souhaitez réduire les coûts de stockage en ne conservant qu'une seule copie, vous pouvez utiliser les sauvegardes principales dans des coffres-forts espacés de manière logique, après avoir intégré MPA. AWS

Vous pouvez consulter les tarifs de stockage pour les sauvegardes des services pris en charge dans un coffre-fort isolé de manière logique sur la AWS Backup page de tarification.

Consultez Disponibilité des fonctionnalités par ressource les types de ressources que vous pouvez copier dans un coffre-fort isolé de manière logique.

Rubriques

Cas d'utilisation pour les coffres-forts à espacement logique

Un coffre-fort à isolation logique est un coffre-fort secondaire qui fait partie d'une stratégie de protection des données. Ce coffre-fort peut aider à améliorer la stratégie de rétention et de restauration de votre entreprise lorsque vous souhaitez un coffre-fort pour vos sauvegardes qui

  • Est automatiquement configuré avec un verrou de coffre-fort en mode de conformité

  • Propose par défaut le chiffrement avec une clé AWS détenue. Vous pouvez éventuellement fournir une clé gérée par le client

  • Contient des sauvegardes qui, via AWS RAM ou MPA, peuvent être partagées et restaurées à partir d'un compte différent de celui qui a créé la sauvegarde

Considérations et restrictions

  • La copie entre régions vers ou depuis un coffre-fort logiquement espacé n'est actuellement pas disponible pour les sauvegardes contenant Amazon Aurora, Amazon DocumentDB et Amazon Neptune.

  • Une sauvegarde contenant un ou plusieurs volumes Amazon EBS copiés dans un coffre-fort logiquement espacé doit être inférieure à 16 To ; les sauvegardes de plus grande taille pour ce type de ressource ne sont pas prises en charge.

  • EC2 Offres Amazon EC2 autorisées AMIs. Si ce paramètre est activé dans votre compte, ajoutez l'alias aws-backup-vault à votre liste d'autorisation.

    Si cet alias n'est pas inclus, les opérations de copie d'un coffre-fort à espacement logique vers un coffre-fort de sauvegarde et les opérations de restauration des EC2 instances à partir d'un coffre-fort à espacement logique échoueront avec un message d'erreur tel que « AMI source ami-xxxxxx introuvable dans la région ».

  • L'ARN (Amazon Resource Name) d'un point de récupération stocké dans un coffre-fort logiquement isolé remplacera le type backup de ressource sous-jacent. Par exemple, si l'ARN d'origine commence pararn:aws:ec2:region::image/ami-*, l'ARN du point de récupération dans le coffre à espacement logique sera. arn:aws:backup:region:account-id:recovery-point:*

    Vous pouvez utiliser la commande CLI list-recovery-points-by-backup-vaultpour déterminer l'ARN.

Comparaison et contraste avec un coffre-fort de sauvegarde standard

Un coffre-fort de sauvegarde est le type de coffre-fort principal et standard utilisé dans AWS Backup. Chaque sauvegarde est stockée dans un coffre-fort de sauvegarde lors de sa création. Vous pouvez attribuer des politiques basées sur les ressources pour gérer les sauvegardes stockées dans le coffre-fort, telles que le cycle de vie des sauvegardes stockées dans le coffre-fort.

Un coffre-fort à isolation logique est un coffre-fort spécialisé offrant plus de sécurité et un partage flexible pour un délai de reprise (RTO) plus rapide. Ce coffre-fort stocke les sauvegardes principales ou des copies de sauvegardes initialement créées et stockées dans un coffre-fort de sauvegarde standard.

Les coffres-forts de sauvegarde sont chiffrés à l'aide d'une clé, un mécanisme de sécurité qui limite l'accès aux utilisateurs visés. Ces clés peuvent être gérées par le client ou AWS gérées. Reportez-vous à la section Chiffrement des copies pour connaître le comportement du chiffrement lors des tâches de copie, notamment lors de la copie dans un coffre-fort séparé de manière logique.

En outre, un coffre-fort de sauvegarde peut être doté d'une sécurité supplémentaire grâce à un verrou de coffre-fort ; de manière logique, les coffres-forts ventilés sont équipés d'un verrou de coffre-fort en mode conformité.

À l'instar des coffres-forts de sauvegarde, les coffres-forts à espacement logique prennent également en charge les balises restreintes pour les sauvegardes Amazon. EC2

Fonctionnalité Coffre-fort de sauvegarde Coffre-fort à isolation logique
AWS Backup Audit Manager Vous pouvez utiliser AWS Backup Audit Manager Contrôles et mesures correctives pour surveiller vos coffres-forts de sauvegarde. Assurez-vous qu'une sauvegarde d'une ressource spécifique est stockée dans au moins un coffre-fort logiquement espacé selon un calendrier que vous déterminez, en plus des contrôles disponibles pour les coffres-forts standard.

Facturation

Les frais de stockage et de transfert de données pour les ressources entièrement gérées AWS Backup par sont indiqués sous « AWS Backup ». Des frais de stockage et de transfert de données pour d'autres types de ressources seront facturés dans le cadre de leurs services respectifs.

Par exemple, les sauvegardes Amazon EBS apparaîtront sous « Amazon EBS » ; les sauvegardes Amazon S3 apparaîtront sous « »AWS Backup.

Tous les frais de facturation liés à ces coffres-forts (stockage ou transfert de données) sont indiqués sous « AWS Backup ».

Régions

Disponible dans toutes les régions dans lesquelles AWS Backup elle opère

Disponible dans la plupart des régions prises en charge par AWS Backup. Non disponible actuellement en Asie-Pacifique (Malaisie), au Canada Ouest (Calgary), au Mexique (Centre), en Asie-Pacifique (Thaïlande), en Asie-Pacifique (Taipei), en Asie-Pacifique (Nouvelle Zélande), en Chine (Pékin), en Chine (Ningxia), (USA Est) ou AWS GovCloud (USA Ouest). AWS GovCloud

Ressources

Peut stocker des copies de sauvegarde pour la plupart des types de ressources qui prennent en charge la copie entre comptes.

Consultez la colonne du coffre à espacement logique Disponibilité des fonctionnalités par ressource pour les ressources qui peuvent être copiées dans ce coffre-fort.

Restaurer

Les sauvegardes peuvent être restaurées par le même compte auquel appartient le coffre-fort.

Les sauvegardes peuvent être restaurées par un compte différent de celui auquel appartient le coffre-fort si celui-ci est partagé avec ce compte distinct.

Sécurité

(Facultatif) Peut être chiffré avec une clé (gérée par le client ou par AWS )

Peut éventuellement utiliser un verrou de coffre-fort en mode conformité ou gouvernance

Peut être chiffré avec une cléAWS propre ou une clé gérée par le client

Est toujours verrouillé à l'aide d'un verrouillage de coffre-fort en mode conformité

Les informations sur le type de clé de chiffrement sont préservées et visibles lorsque les coffres-forts sont partagés via AWS RAM ou MPA

Partage

L'accès peut être géré via des politiques et AWS Organizations

Non compatible avec AWS RAM

(Facultatif) Peut être partagé entre comptes avec AWS RAM

Créez un coffre hermétique de manière logique

Vous pouvez créer un coffre-fort isolé de manière logique soit par le biais de la AWS Backup console, soit à l'aide d'une combinaison de commandes et de la AWS Backup CLI AWS RAM .

Chaque appareil logiquement ventilé est équipé d'un verrou de coffre-fort en mode conformité. Consultez AWS Backup Verrou de coffre-fort pour vous aider à déterminer les valeurs de période de conservation les plus adaptées à votre activité

Console
Création d'un coffre-fort à isolation logique à partir de la console

  1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Dans le volet de navigation, sélectionnez Coffres-forts.

  3. Les deux types de coffres-forts s'affichent. Sélectionnez Créer un nouveau coffre-fort.

  4. Saisissez un nom pour votre coffre-fort de sauvegarde. Le nom de votre coffre-fort peut refléter ce que vous allez y stocker, ou faciliter la recherche des sauvegardes dont vous avez besoin. Vous pouvez par exemple nommer le coffre-fort FinancialBackups.

  5. Sélectionnez le bouton radio pour Logic AirGapped Vault.

  6. (Facultatif) Choisissez une clé de chiffrement. Vous pouvez sélectionner une clé KMS gérée par le client pour un contrôle accru du chiffrement, ou utiliser la clé AWS détenue par défaut (recommandé).

  7. Définissez la Période de conservation minimale.

    Cette valeur (en jours, mois ou années) correspond à la durée la plus courte pendant laquelle une sauvegarde peut être conservée dans ce coffre-fort. Les sauvegardes dont la période de rétention est inférieure à cette valeur ne peuvent pas être copiées dans ce coffre-fort.

    La valeur minimale autorisée est de 7 jours. Les valeurs pour les mois et les années respectent ce minimum.

  8. Définissez la Période de conservation maximale.

    Cette valeur (en jours, mois ou années) correspond à la durée la plus longue pendant laquelle une sauvegarde peut être conservée dans ce coffre-fort. Les sauvegardes dont la période de rétention est supérieure à cette valeur ne peuvent pas être copiées dans ce coffre-fort.

  9. (Facultatif) Définissez la clé de chiffrement.

    Spécifiez la clé à utiliser avec votre coffre-fort. Vous pouvez choisir une cléAWS détenue (gérée par AWS Backup) ou saisir l'ARN d'une clé gérée par le client qui appartient de préférence à un autre compte auquel vous avez accès. AWS Backup recommande d'utiliser une clé AWS détenue.

  10. (Facultatif) Ajoutez des balises qui vous aideront à rechercher et à identifier votre coffre-fort à isolation logique. Par exemple, vous pouvez ajouter une balise BackupType:Financial.

  11. Sélectionnez Créer un verrouillage de coffre.

  12. Passez en revue les paramètres. Si tous les paramètres s'affichent comme prévu, sélectionnez Créer un coffre-fort logiquement isolé.

  13. La console vous redirigera vers la page de détails de votre nouveau coffre-fort. Vérifiez que les détails du coffre-fort sont conformes aux attentes.

  14. Sélectionnez Coffres-forts pour afficher les coffres-forts de votre compte. Votre coffre hermétique sera affiché de manière logique. La clé KMS sera disponible environ 1 à 3 minutes après la création du coffre-fort. Actualisez la page pour voir la clé associée. Une fois que la clé est visible, le coffre est disponible et peut être utilisé.

AWS CLI

Créez un coffre-fort isolé de manière logique à partir de la CLI

Vous pouvez l'utiliser AWS CLI pour effectuer des opérations de manière programmatique pour des coffres-forts à espacement logique. Chaque CLI est spécifique au AWS service dont elle provient. Les commandes liées au partage sont précédées par aws ram ; toutes les autres commandes doivent être précédées par aws backup.

Utilisez la commande CLI create-logically-air-gapped-backup-vault, modifiée avec les paramètres suivants :

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

Le --encryption-key-arn paramètre facultatif vous permet de spécifier une clé KMS gérée par le client pour le chiffrement du coffre-fort. Si elle n'est pas fournie, le coffre-fort utilisera une clé AWS appartenant à l'utilisateur.

Exemple de commande CLI pour créer un coffre-fort isolé de manière logique :

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Exemple de commande CLI pour créer un coffre-fort isolé de manière logique avec un chiffrement géré par le client :

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

Consultez les éléments de réponse de l'CreateLogicallyAirGappedBackupVault API pour plus d'informations après l'opération de création. Si l'opération est réussie, le nouveau coffre logiquement espacé portera le code de. VaultState CREATING

Une fois la création terminée et la clé cryptée KMS attribuée, la VaultState transition versAVAILABLE. Une fois disponible, le coffre peut être utilisé. VaultStatepeut être récupéré en appelant DescribeBackupVaultou ListBackupVaults.

Afficher les détails des coffres-forts ventilés de manière logique

Vous pouvez consulter les détails du coffre tels que le résumé, les points de récupération, les ressources protégées, le partage de compte, la politique d'accès et les balises via la AWS Backup console ou la AWS Backup CLI.

Console

  1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Sélectionnez Coffres-forts dans le panneau de navigation de gauche.

  3. Sous les descriptions des coffres-forts figurent trois listes : les coffres-forts créés par ce compte, les coffres-forts partagés via la RAM et les coffres-forts accessibles via une approbation multipartite. Sélectionnez l'onglet souhaité pour afficher les coffres-forts.

  4. Sous Nom du coffre-fort, cliquez sur le nom du coffre-fort pour ouvrir la page de détails. Vous pouvez consulter le résumé, les points de récupération, les ressources protégées, le partage de compte, la stratégie d'accès et les détails des balises.

    Les détails s'affichent en fonction du type de compte : les comptes qui possèdent un coffre-fort peuvent consulter le partage des comptes ; les comptes qui ne possèdent pas de coffre-fort ne pourront pas consulter le partage de compte. Pour les coffres-forts partagés, le type de clé de chiffrement (clé KMS AWS détenue ou gérée par le client) est affiché dans le résumé du coffre-fort.

AWS CLI

Afficher les détails d'un coffre-fort isolé de manière logique via la CLI

La commande CLI describe-backup-vaultpeut être utilisée pour obtenir des informations sur un coffre. Le paramètre backup-vault-name est obligatoire ; region il est facultatif.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Exemple de réponse :

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Création de sauvegardes dans un coffre-fort isolé de manière logique

Logiquement, les coffres-forts ventilés peuvent être la cible d'une tâche de copie dans un plan de sauvegarde ou une cible pour une tâche de copie à la demande. Il peut également être utilisé comme cible de sauvegarde principale. Consultez la section Sauvegardes principales vers des coffres-forts séparés de manière logique.

Chiffrement compatible

Une tâche de copie réussie d'un coffre-fort de sauvegarde vers un coffre-fort logiquement isolé nécessite une clé de chiffrement déterminée par le type de ressource copié.

Lorsque vous créez ou copiez une sauvegarde d'un type de ressource entièrement géré, la ressource source peut être chiffrée par une clé gérée par le client ou par une clé AWS gérée.

Lorsque vous créez ou copiez une sauvegarde d'autres types de ressources (celles qui ne sont pas entièrement gérées), la source doit être chiffrée à l'aide d'une clé gérée par le client. AWS les clés gérées pour les ressources non entièrement gérées ne sont pas prises en charge.

Créez ou copiez des sauvegardes dans un coffre-fort isolé de manière logique par le biais d'un plan de sauvegarde

Vous pouvez copier une sauvegarde (point de restauration) d'un coffre-fort de sauvegarde standard vers un coffre-fort isolé de manière logique en créant un nouveau plan de sauvegarde ou en mettant à jour un plan existant dans la AWS Backup console ou via les AWS CLI commandes et. create-backup-planupdate-backup-plan Vous pouvez également créer des sauvegardes directement dans un coffre-fort isolé de manière logique en l'utilisant comme cible principale. Pour plus de détails, reportez-vous à la section Sauvegardes principales vers des coffres-forts séparés de manière logique.

Vous pouvez copier une sauvegarde d'un coffre-fort logiquement espacé vers un autre coffre-fort logiquement espacé à la demande (ce type de sauvegarde ne peut pas être planifié dans un plan de sauvegarde). Vous pouvez copier une sauvegarde d'un coffre-fort isolé de manière logique vers un coffre-fort de sauvegarde standard, à condition que la copie soit chiffrée à l'aide d'une clé gérée par le client.

Copie de sauvegarde à la demande vers un coffre-fort isolé de manière logique

Pour créer une copie unique à la demande d'une sauvegarde dans un coffre-fort logiquement isolé, vous pouvez effectuer une copie à partir d'un coffre-fort de sauvegarde standard. Des copies entre régions ou entre comptes sont disponibles si le type de ressource prend en charge le type de copie.

Disponibilité des copies

Une copie d'une sauvegarde peut être créée à partir du compte auquel appartient le coffre-fort. Les comptes avec lesquels le coffre a été partagé ont la possibilité de consulter ou de restaurer une sauvegarde, mais pas d'en créer une copie.

Seuls les types de ressources prenant en charge la copie entre régions ou entre comptes peuvent être inclus.

Console

  1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Sélectionnez Coffres-forts dans le panneau de navigation de gauche.

  3. Sur la page détaillée du coffre-fort, tous les points de récupération de ce coffre-fort sont affichés. Cochez la case à côté du point de récupération que vous souhaitez copier.

  4. Puis sélectionnez Actions et Copier dans le menu déroulant.

  5. Sur l'écran suivant, saisissez les détails de la destination.

    1. Spécifiez la région de destination.

    2. Le menu déroulant du coffre-fort de sauvegarde de destination affiche les coffres-forts de destination éligibles. Sélectionnez-en un avec le type logically air-gapped vault

  6. Sélectionnez Copier une fois que tous les détails sont définis selon vos préférences.

Sur la page Tâches de la console, vous pouvez sélectionner des tâches de copie pour voir les tâches de copie en cours.

AWS CLI

Utilisez start-copy-job pour copier une sauvegarde existante dans un coffre-fort de sauvegarde vers un coffre-fort à isolation logique.

Exemple d'entrée de l'interface de ligne de commande :

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Pour plus d'informations, consultez Copie d'une sauvegarde, Sauvegarde entre régions et Sauvegarde entre comptes.

Partagez un coffre-fort isolé de manière logique

Vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager un coffre-fort logiquement séparé avec d'autres comptes que vous désignez. Lors du partage de coffres-forts, les informations relatives au type de clé de chiffrement (clé KMS AWS détenue ou gérée par le client) sont préservées et visibles pour les comptes avec lesquels le coffre-fort est partagé.

Un coffre-fort peut être partagé avec un compte de son organisation ou avec un compte d'une autre organisation. Le coffre-fort ne peut pas être partagé avec l'ensemble d'une organisation, mais uniquement avec des comptes au sein de l'organisation.

Seuls les comptes dotés de privilèges IAM spécifiques peuvent partager et gérer le partage de coffres-forts.

Pour partager en utilisant AWS RAM, assurez-vous de disposer des éléments suivants :

  • Deux comptes ou plus pouvant accéder AWS Backup

  • Le compte propriétaire du coffre-fort qui a l'intention de partager dispose des autorisations de RAM nécessaires. L'autorisation ram:CreateResourceShare est nécessaire pour cette procédure. La politique AWSResourceAccessManagerFullAccess contient toutes les autorisations nécessaires liées à la RAM :

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Au moins un coffre-fort à isolation logique

Console

  1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Sélectionnez Coffres-forts dans le panneau de navigation de gauche.

  3. Sous les descriptions des coffres-forts figurent deux listes, Coffres-forts appartenant à ce compte et Coffres-forts partagés avec ce compte. Les coffres-forts appartenant au compte peuvent être partagés.

  4. Sous Nom du coffre-fort, cliquez sur le nom du coffre-fort à isolation logique pour ouvrir la page de détails.

  5. Le volet Partage de comptes indique avec quels comptes le coffre-fort est partagé.

  6. Pour commencer à partager avec un autre compte ou pour modifier des comptes déjà partagés, sélectionnez Gérer le partage.

  7. La AWS RAM console s'ouvre lorsque l'option Gérer le partage est sélectionnée. Pour savoir comment partager une ressource à l'aide de la AWS RAM, reportez-vous à la section Création d'un partage de ressources dans la AWS RAM dans le Guide de l'utilisateur de la AWS RAM.

  8. Le compte invité à accepter une invitation afin de recevoir un partage dispose de 12 heures pour accepter l'invitation. Consultez Acceptation et rejet des invitations de partage de ressources dans le Guide de l'utilisateur AWS RAM.

  9. Si les étapes de partage sont terminées et acceptées, la page récapitulative du coffre-fort s'affichera sous Partage de compte = « Partagé – voir le tableau de partage de compte ci-dessous ».

AWS CLI

AWS RAM utilise la commande CLIcreate-resource-share. L'accès à cette commande n'est disponible que pour les comptes disposant d'autorisations suffisantes. Consultez Création d'un partage de ressources dans AWS RAM pour les étapes de l'interface de ligne de commande.

Les étapes 1 à 4 sont effectuées avec le compte propriétaire du coffre-fort à isolation logique. Les étapes 5 à 8 sont effectuées avec le compte avec lequel le coffre-fort à isolation logique sera partagé.

  1. Connectez-vous au compte propriétaire OU demandez à un utilisateur de votre organisation disposant d'informations d'identification suffisantes d'accéder au compte source afin d'effectuer ces étapes.

    1. Si un partage de ressources a déjà été créé et que vous souhaitez y ajouter une ressource supplémentaire, utilisez plutôt la commande associate-resource-share de l'interface de ligne de commande avec l'ARN du nouveau coffre-fort.

  2. Récupérez les informations d'identification d'un rôle disposant d'autorisations suffisantes pour les partager via RAM. Saisissez-les dans l'interface de ligne de commande.

    1. L'autorisation ram:CreateResourceShare est nécessaire pour cette procédure. La politique AWSResourceAccessManagerFullAccesscontient toutes les autorisations liées à la RAM.

  3. Utilisez create-resource-share.

    1. Incluez l'ARN du coffre-fort à isolation logique.

    2. Exemple d'entrée :

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Exemple de sortie :

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Copiez l'ARN du partage de ressources dans la sortie (nécessaire pour les étapes suivantes). Donnez l'ARN à l'opérateur du compte que vous invitez à recevoir le partage.

  5. Obtenir l'ARN du partage de ressources

    1. Si vous n'avez pas effectué les étapes 1 à 4, obtenez-les auprès resourceShareArn de la personne qui l'a fait.

    2. Exemple : arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. Dans l'interface de ligne de commande, utilisez les informations d'identification du compte du destinataire.

  7. Recevez une invitation à partager des ressources avec get-resource-share-invitations. Pour plus d'informations, consultez Acceptation et refus des invitations dans le Guide de l'utilisateur AWS RAM .

  8. Acceptez l'invitation sur le compte de destination (de récupération).

    1. Utiliser accept-resource-share-invitation (ou également reject-resource-share-invitation).

Vous pouvez utiliser les commandes AWS RAM CLI pour afficher les éléments partagés :

  • Ressources que vous avez partagées :

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Afficher le principal :

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Ressources partagées par d'autres comptes :

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Restaurez une sauvegarde à partir d'un coffre-fort isolé de manière logique

Vous pouvez restaurer une sauvegarde stockée dans un coffre-fort isolé de manière logique à partir du compte propriétaire du coffre-fort ou de tout compte avec lequel le coffre-fort est partagé.

Reportez-vous à la section Restauration d'une sauvegarde pour savoir comment restaurer un point de restauration via la AWS Backup console.

Une fois qu'une sauvegarde a été partagée depuis un coffre-fort logiquement isolé vers votre compte, vous pouvez l'utiliser start-restore-jobpour la restaurer.

Un exemple d'entrée CLI peut inclure la commande et les paramètres suivants :

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Supprimer un coffre-fort isolé de manière logique

Consultez la section Supprimer un coffre-fort. Les coffres-forts ne peuvent pas être supprimés s'ils contiennent encore des sauvegardes (points de récupération). Assurez-vous que le coffre-fort ne contient aucune sauvegarde avant de lancer une opération de suppression.

La suppression d'un coffre-fort entraîne également la suppression de la clé associée au coffre-fort sept jours après sa suppression, conformément à la politique de suppression des clés.

L'exemple de commande de l'interface de ligne de commande suivant delete-backup-vault peut être utilisé pour supprimer un coffre-fort.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Options programmatiques supplémentaires pour les coffres-forts à espacement logique

La commande list-backup-vaults de l'interface de ligne de commande peut être modifiée pour répertorier tous les coffres-forts détenus par le compte et présents dans celui-ci :

aws backup list-backup-vaults
--region us-east-1

Pour répertorier uniquement les coffres-forts à isolation logique, ajoutez le paramètre

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Incluez le paramètre by-shared permettant de filtrer la liste renvoyée des coffres-forts afin d'afficher uniquement les coffres-forts partagés logiquement espacés. La réponse inclura les informations relatives au type de clé de chiffrement pour chaque coffre-fort partagé.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Exemple de réponse indiquant les informations relatives au type de clé de chiffrement :

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

Comprendre les types de clés de chiffrement pour les coffres-forts séparés de manière logique

Les coffres-forts à espacement logique prennent en charge différents types de clés de chiffrement, et ces informations sont visibles via la console. AWS Backup APIs Lorsque les coffres-forts sont partagés via AWS RAM MPA, les informations relatives au type de clé de chiffrement sont préservées et rendues visibles aux comptes avec lesquels le coffre-fort est partagé. Cette transparence vous aide à comprendre la configuration de chiffrement des coffres-forts et à prendre des décisions éclairées concernant les opérations de sauvegarde et de restauration.

Valeurs des types de clés de chiffrement

Le EncryptionKeyType champ peut avoir les valeurs suivantes :

  • AWS_OWNED_KMS_KEY- Le coffre-fort est chiffré à l'aide d'une clé AWS appartenant à l'utilisateur. Il s'agit de la méthode de chiffrement par défaut pour les coffres-forts séparés de manière logique lorsqu'aucune clé gérée par le client n'est spécifiée.

  • CUSTOMER_MANAGED_KMS_KEY- Le coffre-fort est chiffré à l'aide d'une clé KMS gérée par le client que vous contrôlez. Cette option fournit un contrôle supplémentaire sur les clés de chiffrement et les politiques d'accès.

Note

  • AWS Backup recommande d'utiliser des clés AWS détenues dans des coffres-forts séparés de manière logique. Toutefois, si la politique de votre entreprise exige l'utilisation d'une clé gérée par le client, il est recommandé d'utiliser les clés d'un autre compte d'une organisation secondaire dédiée à la restauration. Vous pouvez consulter le blog Encrypt AWS Backup sur des coffres-forts à espacement logique avec des clés gérées par le client pour obtenir plus d'informations sur la configuration de coffres-forts à espacement logique basés sur CMK.

  • Vous ne pouvez sélectionner une clé de chiffrement AWS KMS que lors de la création du coffre-fort. Une fois créées, toutes les sauvegardes contenues dans le coffre seront chiffrées avec cette clé. Vous ne pouvez pas modifier ou migrer vos coffres-forts pour utiliser une autre clé de chiffrement.

Politique clé pour la création de coffres-forts chiffrés et logiquement espacés par CMK

Lorsque vous créez un coffre-fort isolé de manière logique à l'aide d'une clé gérée par le client, vous devez appliquer la politique AWSBackupFullAccess de AWS gestion gérée au rôle de votre compte. Cette politique inclut des Allow actions qui permettent AWS Backup d'interagir avec AWS KMS les clés KMS pour créer des autorisations lors des opérations de sauvegarde, de copie et de stockage. En outre, vous devez vous assurer que votre politique de clé gérée par le client (si elle est utilisée) inclut les autorisations spécifiques requises.

  • La clé CMK doit être partagée avec le compte sur lequel se trouve le coffre logiquement isolé

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

Politique clé en matière de copie/restauration

Pour éviter les échecs, passez en revue votre politique AWS KMS clé pour vous assurer qu'elle inclut toutes les autorisations requises et qu'elle ne contient aucune déclaration de refus susceptible de bloquer les opérations. Les conditions suivantes s'appliquent :

  • Pour tous les scénarios de copie, le CMKs doit être partagé avec le rôle de copie source

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • Lors de la copie d'un coffre-fort crypté CMK logiquement espacé vers un coffre-fort de sauvegarde, la clé CMK doit également être partagée avec le compte SLR de destination

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • Lors de la copie ou de la restauration à partir d'un compte de récupération à l'aide d'un coffre-fort RAM/MPA partagé logiquement séparé

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

IAM Role

Lorsqu'ils effectuent des opérations de copie de coffres-forts logiquement espacées, les clients peuvent utiliser AWSBackupDefaultServiceRole ce qui inclut la AWS politique de gestion. AWSBackupServiceRolePolicyForBackup Toutefois, si les clients préfèrent mettre en œuvre une approche de politique du moindre privilège, leur politique IAM doit inclure une exigence spécifique :

  • Le rôle de copie du compte source doit disposer d'autorisations d'accès à la fois à la source et à la destination CMKs.

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

Par conséquent, l'une des erreurs les plus courantes des clients se produit lors de la copie lorsque les clients ne fournissent pas les autorisations suffisantes sur leurs rôles CMKs et sur les rôles de copie.

Affichage des types de clés de chiffrement

Vous pouvez consulter les informations relatives au type de clé de chiffrement à la fois par le biais de la AWS Backup console et par programmation à l'aide du AWS CLI ou. SDKs

Console : lorsque vous visualisez des coffres-forts séparés de manière logique dans la AWS Backup console, le type de clé de chiffrement est affiché sur la page des détails du coffre-fort, sous la section des informations de sécurité.

AWS CLI/API : le type de clé de chiffrement est renvoyé en réponse aux opérations suivantes lors de l'interrogation de coffres-forts espacés de manière logique :

  • list-backup-vaults(y compris --by-shared pour les coffres-forts partagés)

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

Considérations relatives au chiffrement des coffres-forts

Lorsque vous travaillez avec des coffres-forts séparés de manière logique et des types de clés de chiffrement, tenez compte des points suivants :

  • Sélection de la clé lors de la création : vous pouvez éventuellement spécifier une clé KMS gérée par le client lors de la création d'un coffre-fort logiquement espacé. Si elle n'est pas spécifiée, une clé AWS appartenant à l'utilisateur sera utilisée.

  • Visibilité du coffre-fort partagé : les comptes avec lesquels un coffre-fort est partagé peuvent voir le type de clé de chiffrement mais ne peuvent pas modifier la configuration du chiffrement.

  • Informations sur les points de récupération : le type de clé de chiffrement est également disponible lors de l'affichage des points de restauration dans des coffres-forts séparés de manière logique.

  • Opérations de restauration : la compréhension du type de clé de chiffrement vous aide à planifier les opérations de restauration et à comprendre les éventuels besoins d'accès.

  • Conformité : les informations relatives au type de clé de chiffrement répondent aux exigences en matière de rapports de conformité et d'audit en fournissant une transparence quant aux méthodes de chiffrement utilisées pour les données de sauvegarde.

Résoudre un problème lié à un coffre hermétique

Si vous rencontrez des erreurs au cours de votre flux de travail, consultez les exemples d'erreurs suivants et les solutions suggérées :

AccessDeniedException

Erreur : An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Cause possible : Le paramètre n'--backup-vault-account-ida pas été inclus lorsque l'une des requêtes suivantes a été exécutée sur un coffre partagé par RAM :

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Solution : Réessayez la commande qui a renvoyé l'erreur, mais incluez le paramètre --backup-vault-account-id qui indique le compte propriétaire du coffre-fort.

OperationNotPermittedException

Erreur : OperationNotPermittedException est renvoyé après un CreateResourceShare appel.

Cause possible : si vous avez tenté de partager une ressource, telle qu'un coffre-fort isolé de manière logique, avec une autre organisation, vous pouvez obtenir cette exception. Un coffre-fort peut être partagé avec un compte d'une autre organisation, mais il ne peut pas être partagé avec l'autre organisation elle-même.

Solution : Réessayez l'opération, mais spécifiez un compte comme valeur au principals lieu d'une organisation ou d'une unité d'organisation.

Type de clé de chiffrement non affiché

Problème : le type de clé de chiffrement n'est pas visible lorsque vous consultez un coffre-fort isolé de manière logique ou ses points de récupération.

Causes possibles :

  • Vous consultez un ancien coffre-fort créé avant l'ajout de la prise en charge des types de clés de chiffrement

  • Vous utilisez une ancienne version du SDK AWS CLI or

  • La réponse de l'API n'inclut pas le champ de type de clé de chiffrement

Résolution :

  • Mettez AWS CLI à jour votre version

  • Pour les anciens coffres-forts, le type de clé de chiffrement sera renseigné automatiquement et devrait apparaître dans les appels d'API suivants

  • Vérifiez que vous utilisez les opérations d'API correctes qui renvoient des informations sur le type de clé de chiffrement

  • Pour les coffres-forts partagés, vérifiez que le coffre-fort est correctement partagé via AWS Resource Access Manager

« ÉCHEC » VaultState AccessDeniedException dans les CloudTrail journaux

Erreur dans CloudTrail : "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

Causes possibles :

  • Le coffre-fort a été créé à l'aide d'une clé gérée par le client, mais le rôle assumé n'est pas CreateGrant autorisé par la politique de clé requise pour utiliser la clé pour la création du coffre-fort

Résolution :