Vault logicamente isolata - AWS Backup
Panoramica delle casseforti con intercapedine d'aria logicheCaso d'uso per le casseforti con intercapedine logicheConfronto con un vault di backup standardCrea una cassaforte con intercapedine logicheVisualizza i dettagli del vault con intercapedine logicheCreazione di backup in un vault con intercapedine logicheCondividi un vault con intercapedine logicheRipristina un backup da un archivio con sistema logicoEliminare un vault con intercapedine logicheOpzioni programmatiche aggiuntive per archivi con intercapedine logicheComprensione dei tipi di chiavi di crittografia per gli archivi con intercapedine logicheRisolvi un problema relativo al vault con sistema logico di airgap

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vault logicamente isolata

Panoramica delle casseforti con intercapedine d'aria logiche

AWS Backup offre un tipo di cassaforte secondario in grado di archiviare i backup in un contenitore con funzionalità di sicurezza aggiuntive. Un archivio con intercapedine logiche è un deposito specializzato che offre una maggiore sicurezza rispetto a un archivio di backup standard, oltre alla possibilità di condividere l'accesso al vault con altri account in modo che gli obiettivi relativi ai tempi di ripristino (RTOs) possano essere più rapidi e flessibili in caso di incidente che richieda un rapido ripristino delle risorse.

Le casseforti con intercapedine logiche sono dotate di funzionalità di protezione aggiuntive; ogni deposito è crittografato con una chiave AWS proprietaria (impostazione predefinita) o, facoltativamente, con una chiave KMS gestita dal cliente, e ogni deposito è dotato della modalità di conformità di AWS Backup Vault Lock. Le informazioni sul tipo di chiave di crittografia sono visibili tramite una console per la rendicontazione di trasparenza e conformità. AWS Backup APIs

È possibile integrare gli archivi con sistema logico di approvazione multipartitica (MPA) per consentire il ripristino dei backup nei vault anche se l'account proprietario del vault è inaccessibile, il che contribuisce a mantenere la continuità aziendale. Inoltre, è possibile scegliere di effettuare l'integrazione con AWS Resource Access Manager(RAM) per condividere un vault logicamente isolato con altri AWS account (inclusi account di altre organizzazioni) in modo che i backup archiviati all'interno del vault possano essere ripristinati da un account con cui il vault è condiviso, se necessario per il ripristino da perdita di dati o per i test di ripristino. Come parte di questa maggiore sicurezza, un archivio con intercapedine logiche archivia i propri backup in un account di proprietà del AWS Backup servizio (il che si traduce in backup visualizzati come condivisi all'esterno dell'organizzazione negli elementi di modifica degli attributi nei AWS CloudTrail log).

Per una maggiore resilienza, consigliamo di creare copie interregionali in vault logicamente collegati in account uguali o separati. Tuttavia, se desideri ridurre i costi di archiviazione conservando solo una singola copia, puoi utilizzare i backup primari su archivi con sistema logico, dopo l'onboarding su MPA. AWS

È possibile visualizzare i prezzi di archiviazione per i backup dei servizi supportati in un archivio logico con sistema airgap nella pagina dei prezzi.AWS Backup

Scopri i tipi Disponibilità delle funzionalità per risorsa di risorse che puoi copiare in un vault logicamente isolato.

Argomenti

Caso d'uso per le casseforti con intercapedine logiche

Un vault logicamente isolato è un vault secondario che fa parte di una strategia di protezione dei dati. Questo archivio può aiutare a migliorare la strategia di conservazione e il ripristino dell'organizzazione quando si desidera un deposito per i backup che

Considerazioni e limitazioni

  • La copia interregionale da o verso un vault logico con airgap non è attualmente disponibile per i backup che contengono Amazon Aurora, Amazon DocumentDB e Amazon Neptune.

  • Un backup contenente uno o più volumi Amazon EBS che viene copiato in un vault logicamente airgap deve essere inferiore a 16 TB; i backup per questo tipo di risorse di dimensioni maggiori non sono supportati.

  • EC2 Offerte Amazon EC2 consentite AMIs. Se questa impostazione è abilitata nel tuo account, aggiungi l'alias aws-backup-vault alla tua lista degli indirizzi consentiti.

    Se questo alias non è incluso, le operazioni di copia da un archivio con gap logico a un archivio di backup e le operazioni di ripristino delle EC2 istanze da un archivio con gap logico non riusciranno con un messaggio di errore del tipo «Source AMI ami-xxxxxx not found in Region».

  • L'ARN (Amazon Resource Name) di un punto di ripristino archiviato in un vault logico con sistema airgap sostituirà il tipo di risorsa backup sottostante. Ad esempio, se l'ARN originale inizia conarn:aws:ec2:region::image/ami-*, allora sarà l'ARN del punto di ripristino nel vault con intercapedine logiche. arn:aws:backup:region:account-id:recovery-point:*

    È possibile utilizzare il comando CLI list-recovery-points-by-backup-vaultper determinare l'ARN.

Confronto con un vault di backup standard

Un vault di backup è il tipo di vault principale e standard utilizzato in AWS Backup. Ogni backup viene archiviato in un vault di backup al momento della creazione del backup. È possibile assegnare policy basate sulle risorse per gestire i backup archiviati nel vault, ad esempio per definire il ciclo di vita dei backup archiviati all'interno del vault.

Un vault logicamente isolato è un vault specializzato con sicurezza aggiuntiva e condivisione flessibile per tempi di ripristino (RTO) più rapidi. Questo archivio archivia i backup o le copie principali dei backup che sono stati inizialmente creati e archiviati all'interno di un archivio di backup standard.

Gli archivi di backup sono crittografati con una chiave, un meccanismo di sicurezza che limita l'accesso agli utenti previsti. Queste chiavi possono essere gestite o AWS gestite dal cliente. Vedi Copia la crittografia per conoscere il comportamento di crittografia durante i lavori di copia, inclusa la copia in un archivio logico con sistema airgap.

Inoltre, un vault di backup può essere ulteriormente protetto grazie a una serratura del vault; le casseforti dotate di sigillo logico sono dotate di una serratura del vault in modalità di conformità.

Analogamente agli archivi di backup, gli archivi con intercapedine logiche supportano anche tag con restrizioni per i backup di Amazon. EC2

Funzionalità Vault di backup Vault logicamente isolata
AWS Backup Audit Manager È possibile utilizzare AWS Backup Audit Manager Controlli e correzioni per monitorare gli archivi di backup. Assicuratevi che il backup di una risorsa specifica sia archiviato in almeno un archivio con sistema logico, secondo una pianificazione da voi stabilita, oltre ai controlli disponibili per gli archivi standard.

Fatturazione

I costi di archiviazione e trasferimento dati per le risorse completamente gestite da AWS Backup sono indicati sotto "».AWS Backup Altri costi per l'archiviazione e il trasferimento dei dati relativi ai rispettivi tipi di risorse verranno applicati nell'ambito dei rispettivi servizi.

Ad esempio, i backup di Amazon EBS verranno visualizzati sotto «Amazon EBS»; i backup di Amazon S3 verranno visualizzati sotto "».AWS Backup

Tutti i costi di fatturazione relativi a questi archivi (archiviazione o trasferimento dati) sono indicati nella sezione "».AWS Backup

Regioni

Disponibile in tutte le regioni in cui opera AWS Backup

Disponibile nella maggior parte delle regioni supportate da AWS Backup. Al momento non disponibile in Asia Pacifico (Malesia), Canada occidentale (Calgary), Messico (Centrale), Asia Pacifico (Thailandia), Asia Pacifico (Taipei), Asia Pacifico (Nuova Zelanda), Cina (Pechino), Cina (Ningxia), (Stati Uniti orientali) o (Stati Uniti occidentali). AWS GovCloud AWS GovCloud

Risorse

Può archiviare copie dei backup per la maggior parte dei tipi di risorse che supportano la copia tra account.

Consulta la colonna del vault con intercapedine logiche all'interno del vault Disponibilità delle funzionalità per risorsa per informazioni sulle risorse che possono essere copiate in questo vault.

Ripristina

I backup possono essere ripristinati dallo stesso account a cui appartiene il vault.

I backup possono essere ripristinati da un account diverso da quello a cui appartiene il vault se il vault è condiviso con quell'account separato.

Sicurezza

Opzionalmente può essere crittografato con una chiave (gestita dal cliente o gestita da AWS )

Può opzionalmente utilizzare un blocco del vault in modalità conformità o governance

Può essere crittografato con una chiave AWS di proprietà o una chiave gestita dal cliente

È sempre bloccato con un blocco del vault in modalità Compliance

Le informazioni sul tipo di chiave di crittografia vengono conservate e visibili quando i vault vengono condivisi tramite AWS RAM o MPA

Condivisione

L'accesso può essere gestito tramite policy e AWS Organizations

Non compatibile con AWS RAM

Opzionalmente può essere condiviso tra più account utilizzando AWS RAM

Crea una cassaforte con intercapedine logiche

È possibile creare un vault con intercapedine logiche tramite la AWS Backup console o tramite una combinazione di comandi CLI. AWS Backup AWS RAM

Ciascun caveau logicamente chiuso è dotato di una serratura del vault in modalità di conformità. Consultate AWS Backup Vault Lock questa sezione per aiutarvi a determinare i valori del periodo di conservazione più appropriati per la vostra attività

Console
Creazione di un vault logicamente isolato dalla console

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione seleziona Vault.

  3. Verranno visualizzati entrambi i tipi di vault. Seleziona Crea nuovo vault.

  4. Immettere un nome per il vault di backup. È possibile denominare il vault in modo che rifletta ciò che verrà archiviato o per rendere più facile la ricerca dei backup. Ad esempio, si potrebbe assegnare il nome FinancialBackups.

  5. Seleziona il pulsante radio per Logically airgapped vault.

  6. (Facoltativo) Scegli una chiave di crittografia. Puoi selezionare una chiave KMS gestita dal cliente per un ulteriore controllo sulla crittografia oppure utilizzare la chiave di AWS proprietà predefinita (consigliata).

  7. Imposta il Periodo di conservazione minimo.

    Questo valore (in giorni, mesi o anni) è il periodo di tempo minimo per cui un backup deve essere conservato in questo vault. I backup con periodi di conservazione inferiori a questo valore non possono essere copiati in questo vault.

    Il valore minimo consentito è di giorni. 7 I valori per mesi e anni soddisfano questo minimo.

  8. Imposta il Periodo di conservazione massimo.

    Questo valore (in giorni, mesi o anni) è il periodo di tempo massimo per cui un backup deve essere conservato in questo vault. I backup con periodi di conservazione superiori a questo valore non possono essere copiati in questo vault.

  9. (Facoltativo) Imposta la chiave di crittografia.

    Specificate la chiave da usare con il vostro vault. Puoi scegliere una chiave AWS di proprietà (gestita da AWS Backup) o inserire l'ARN per una chiave gestita dal cliente che preferibilmente appartiene a un altro account a cui hai accesso. AWS Backup consiglia di utilizzare una chiave AWS proprietaria.

  10. (Facoltativo) Aggiungi tag che ti aiuteranno a trovare e identificare il tuo vault logicamente isolato. Ad esempio, si potrebbe aggiungere un tag BackupType:Financial.

  11. Seleziona Crea vault.

  12. Verifica le impostazioni. Se tutte le impostazioni risultano valorizzate come previsto, seleziona Crea un vault con isolamento logico air gap.

  13. La console ti porterà alla pagina dei dettagli del nuovo vault. Verifica che i dettagli del vault siano quelli previsti.

  14. Seleziona Vaults per visualizzare i vault nel tuo account. Verrà visualizzato il tuo vault con intercapedine logiche. La chiave KMS sarà disponibile circa 1-3 minuti dopo la creazione del vault. Aggiorna la pagina per vedere la chiave associata. Una volta che la chiave è visibile, il vault è disponibile e può essere utilizzato.

AWS CLI

Crea un vault con intercapedine logiche dalla CLI

È possibile utilizzarlo per eseguire in modo programmatico operazioni AWS CLI per vault con intercapedine logiche. Ogni CLI è specifica per il AWS servizio da cui proviene. I comandi relativi alla condivisione sono preceduti da aws ram, tutti gli altri comandi devono essere preceduti da aws backup.

Utilizzate il comando CLI create-logically-air-gapped-backup-vault, modificato con i seguenti parametri:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

Il --encryption-key-arn parametro opzionale consente di specificare una chiave KMS gestita dal cliente per la crittografia del vault. Se non viene fornita, il vault utilizzerà una chiave di proprietà. AWS

Esempio di comando CLI per creare un vault con intercapedine logiche:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Esempio di comando CLI per creare un vault con intercapedine logiche con crittografia gestita dal cliente:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

Consulta gli elementi di risposta CreateLogicallyAirGappedBackupVault dell'API per informazioni dopo l'operazione di creazione. Se l'operazione è andata a buon fine, il nuovo vault con intercapedine logiche avrà il valore di. VaultState CREATING

Una volta completata la creazione e assegnata la chiave crittografata KMS, passerà a. VaultState AVAILABLE Una volta disponibile, è possibile utilizzare il vault. VaultStatepuò essere recuperato DescribeBackupVaultchiamando o. ListBackupVaults

Visualizza i dettagli del vault con intercapedine logiche

Puoi visualizzare i dettagli del vault come il riepilogo, i punti di ripristino, le risorse protette, la condivisione dell'account, la politica di accesso e i tag tramite la AWS Backup console o la AWS Backup CLI.

Console

  1. Apri la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione a sinistra, seleziona Vault.

  3. Sotto le descrizioni dei vault ci sono tre elenchi, Vaults creati da questo account, Vaults condivisi tramite RAM e Vaults accessibili tramite l'approvazione di più parti. Seleziona la scheda desiderata per visualizzare i vault.

  4. In Nome vault, fai clic sul nome del vault per aprire la pagina dei dettagli. Puoi visualizzare il riepilogo, i punti di ripristino, le risorse protette, la condivisione dell'account, la policy di accesso e i dettagli dei tag.

    I dettagli vengono visualizzati in base al tipo di account: gli account che possiedono un vault possono visualizzare la condivisione degli account; gli account che non possiedono un vault non saranno in grado di visualizzare la condivisione degli account. Per gli archivi condivisi, il tipo di chiave di crittografia (chiave KMS di AWS proprietà o gestita dal cliente) viene visualizzato nel riepilogo del vault.

AWS CLI

Visualizza i dettagli di un vault con intercapedine logiche tramite CLI

Il comando CLI describe-backup-vaultpuò essere utilizzato per ottenere dettagli su un vault. Il parametro backup-vault-name è obbligatorio; region è facoltativo.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Esempio di risposta:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Creazione di backup in un vault con intercapedine logiche

Gli archivi con intercapedine logiche possono essere una destinazione di destinazione del lavoro di copia in un piano di backup o una destinazione per un processo di copia su richiesta. Può anche essere usato come destinazione di backup principale. Vedi Backup primari su archivi con intercapedine logiche.

Crittografia compatibile

Un processo di copia riuscito da un archivio di backup a un archivio con intercapedine logiche richiede una chiave di crittografia determinata dal tipo di risorsa da copiare.

Quando si crea o si copia un backup di un tipo di risorsa completamente gestita, la risorsa di origine può essere crittografata da una chiave gestita dal cliente o da una chiave gestita. AWS

Quando si crea o si copia un backup di altri tipi di risorse (non completamente gestite), la fonte deve essere crittografata con una chiave gestita dal cliente. AWS le chiavi gestite per risorse non completamente gestite non sono supportate.

Crea o copia i backup in un archivio con sistema logico tramite un piano di backup

È possibile copiare un backup (punto di ripristino) da un archivio di backup standard a un vault logicamente collegato in aria creando un nuovo piano di backup o aggiornandone uno esistente nella console o tramite i comandi e. AWS Backup AWS CLI create-backup-planupdate-backup-plan È inoltre possibile creare backup direttamente in un vault con airgap logico utilizzandolo come destinazione principale. Per maggiori dettagli, consulta Backup primari su vault con intercapedine logiche.

Su richiesta, è possibile copiare un backup da un archivio con sistema di sicurezza logico a un altro archivio con sigillo d'aria logico (questo tipo di backup non può essere pianificato in un piano di backup). È possibile copiare un backup da un archivio con sistema di backup logico a un archivio di backup standard, purché la copia sia crittografata con una chiave gestita dal cliente.

Copia di backup su richiesta in un vault con sistema logico

Per creare una copia una tantum su richiesta di un backup in un archivio con sistema logico, è possibile eseguire la copia da un archivio di backup standard. Sono disponibili copie interregionali o tra più account se il tipo di risorsa supporta il tipo di copia.

Disponibilità delle copie

È possibile creare una copia di un backup dall'account a cui appartiene il vault. Gli account con cui è stato condiviso il vault hanno la possibilità di visualizzare o ripristinare un backup, ma non di crearne una copia.

È possibile includere solo i tipi di risorse che supportano la copia tra aree geografiche o tra più account.

Console

  1. Apri la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione a sinistra, seleziona Vault.

  3. Nella pagina dei dettagli del vault, vengono visualizzati tutti i punti di ripristino all'interno del vault. Metti un segno di spunta accanto al punto di ripristino che desideri copiare.

  4. Scegli Operazioni e seleziona Copia dal menu a discesa.

  5. Nella schermata successiva, inserisci i dettagli della destinazione.

    1. Specificare la regione di destinazione.

    2. Il menu a discesa associato al vault di backup di destinazione mostra i vault di destinazione idonei. Selezionane uno con il tipo logically air-gapped vault

  6. Seleziona Copia una volta che tutti i dettagli sono impostati in base alle tue preferenze.

Nella pagina Processi della console, puoi selezionare i processi Copia per visualizzare i processi di copia correnti.

AWS CLI

Utilizza start-copy-job per copiare un backup esistente in un vault logicamente isolato.

Input CLI di esempio:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Per ulteriori informazioni, consulta Copia di un backup, Backup tra regioni e Backup tra account.

Condividi un vault con intercapedine logiche

Puoi usare AWS Resource Access Manager (RAM) per condividere un vault con intercapedine logiche con altri account da te designati. Quando si condividono gli archivi, le informazioni sul tipo di chiave di crittografia (chiave KMS di AWS proprietà o gestita dal cliente) vengono conservate e visibili agli account con cui è condiviso il vault.

Un vault può essere condiviso con un account della sua organizzazione o con un account di un'altra organizzazione. Il vault non può essere condiviso con un'intera organizzazione, ma solo con gli account all'interno dell'organizzazione.

Solo gli account con privilegi IAM specifici possono condividere e gestire la condivisione dei vault.

Per condividere l'utilizzo AWS RAM, assicurati di disporre di quanto segue:

  • Due o più account a cui è possibile accedere AWS Backup

  • L'account proprietario di Vault che intende condividere dispone delle autorizzazioni RAM necessarie. Per l'esecuzione di questa procedura è necessaria l'autorizzazione ram:CreateResourceShare. La policy AWSResourceAccessManagerFullAccess contiene tutte le autorizzazioni necessarie relative alla RAM:

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Almeno un vault logicamente isolato

Console

  1. Apri la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione a sinistra, seleziona Vault.

  3. Sotto le descrizioni dei vault sono visualizzati due elenchi, Vault di proprietà di questo account e Vault condivisi con questo account. I vault di proprietà dell'account possono essere condivisi.

  4. In Nome vault, fai clic sul nome del vault logicamente isolato per aprire la pagina dei dettagli.

  5. Il riquadro Condivisione dell'account mostra con quali account viene condiviso il vault.

  6. Per iniziare la condivisione con un altro account o per modificare gli account con cui è già condiviso, seleziona Gestione della condivisione.

  7. La AWS RAM console si apre quando si seleziona Gestisci condivisione. Per i passaggi per condividere una risorsa utilizzando la AWS RAM, consulta Creazione di una condivisione di risorse nella AWS RAM nella Guida per l'utente della AWS RAM.

  8. L'account che riceve un invito per partecipare alla condivisione dispone di 12 ore per accettarlo. Consulta Accettazione e rifiuto degli inviti alla condivisione di risorse nella Guida per l'utente di AWS RAM.

  9. Se i passaggi di condivisione sono stati completati e accettati, la pagina di riepilogo del vault verrà visualizzata in Condivisione account = "Condiviso - vedere la tabella di condivisione dell'account riportata di seguito".

AWS CLI

AWS RAM utilizza il comando CLI. create-resource-share L'accesso a questo comando è disponibile solo per gli account con autorizzazioni sufficienti. Consulta Creazione di una condivisione di risorse in AWS RAM per i passaggi della CLI.

I passaggi da 1 a 4 devono essere eseguiti con l'account proprietario del vault logicamente isolato. I passaggi da 5 a 8 devono essere eseguiti con l'account con cui il vault logicamente isolato sarà condiviso.

  1. Accedi all'account proprietario OPPURE richiedi che un utente della tua organizzazione che dispone di credenziali sufficienti per accedere all'account di origine completi questi passaggi.

    1. Se in precedenza è stata creata una condivisione di risorse e desideri aggiungerne una aggiuntiva, utilizza invece il comando CLI associate-resource-share con l'ARN del nuovo vault.

  2. Recupera le credenziali di un ruolo con autorizzazioni sufficienti per la condivisione tramite RAM. Inserisci tali credenziali nella CLI.

    1. Per l'esecuzione di questa procedura è necessaria l'autorizzazione ram:CreateResourceShare. La policy AWSResourceAccessManagerFullAccesscontiene tutte le autorizzazioni relative alla RAM.

  3. Utilizza create-resource-share.

    1. Includi l'ARN del vault logicamente isolato.

    2. Input di esempio:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Output di esempio:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Copia l'ARN della condivisione di risorse nell'output (necessario per i passaggi successivi). Fornisci l'ARN all'operatore dell'account che stai invitando a ricevere la condivisione.

  5. Ottieni l'ARN della condivisione di risorse

    1. Se non hai eseguito i passaggi da 1 a 4, richiedili a chi l'ha resourceShareArn fatto.

    2. Ad esempio: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. Nella CLI, assumi le credenziali dell'account del destinatario.

  7. Ricevi un invito alla condivisione delle risorse con get-resource-share-invitations. Per ulteriori informazioni, consulta Accettare e rifiutare gli inviti nella Guida per l'utente di AWS RAM .

  8. Accetta l'invito nell'account di destinazione (ripristino).

    1. Utilizza accept-resource-share-invitation (può anche utilizzare reject-resource-share-invitation).

Puoi usare i comandi AWS RAM CLI per visualizzare gli elementi condivisi:

  • Risorse che hai condiviso:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Mostra il principale:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Risorse condivise da altri account:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Ripristina un backup da un archivio con sistema logico

È possibile ripristinare un backup archiviato in un vault con sistema logico dall'account proprietario del vault o da qualsiasi account con cui il vault è condiviso.

Vedi Ripristino di un backup per informazioni su come ripristinare un punto di ripristino tramite la console. AWS Backup

Una volta che un backup è stato condiviso da un archivio logicamente isolato sul tuo account, puoi start-restore-jobutilizzarlo per ripristinare il backup.

Un input CLI di esempio può includere il comando e i parametri seguenti:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Eliminare un vault con intercapedine logiche

Vedi eliminare un vault. I vault non possono essere eliminati se contengono ancora backup (punti di ripristino). Assicurati che il vault sia privo di backup prima di iniziare un'operazione di eliminazione.

L'eliminazione di un vault elimina anche la chiave associata al vault sette giorni dopo l'eliminazione del vault, in conformità alla politica di eliminazione delle chiavi.

Il seguente comando CLI di esempio delete-backup-vault può essere utilizzato per eliminare un vault.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opzioni programmatiche aggiuntive per archivi con intercapedine logiche

Il comando CLI list-backup-vaults può essere modificato per elencare tutti i vault di proprietà e presenti nell'account:

aws backup list-backup-vaults
--region us-east-1

Per elencare solo i vault logicamente isolati, aggiungi il parametro

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Includi il parametro by-shared per filtrare l'elenco di archivi restituito in modo da mostrare solo gli archivi condivisi con intercapedine logiche. La risposta includerà informazioni sul tipo di chiave di crittografia per ogni archivio condiviso.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Esempio di risposta che mostra le informazioni sul tipo di chiave di crittografia:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

Comprensione dei tipi di chiavi di crittografia per gli archivi con intercapedine logiche

Gli archivi con intercapedine logiche supportano diversi tipi di chiavi di crittografia e queste informazioni sono visibili tramite una console. AWS Backup APIs Quando gli archivi vengono condivisi tramite AWS RAM o MPA, le informazioni sul tipo di chiave di crittografia vengono conservate e rese visibili agli account con cui il vault è condiviso. Questa trasparenza aiuta a comprendere la configurazione di crittografia dei vault e a prendere decisioni informate sulle operazioni di backup e ripristino.

Valori del tipo di chiave di crittografia

Il EncryptionKeyType campo può avere i seguenti valori:

  • AWS_OWNED_KMS_KEY- Il vault è crittografato con una chiave AWS di proprietà. Questo è il metodo di crittografia predefinito per gli archivi con intercapedine logiche quando non viene specificata alcuna chiave gestita dal cliente.

  • CUSTOMER_MANAGED_KMS_KEY- Il vault è crittografato con una chiave KMS gestita dal cliente e controllata dall'utente. Questa opzione fornisce un controllo aggiuntivo sulle chiavi di crittografia e sulle politiche di accesso.

Nota

Politica chiave per la creazione di vault con intercapedine logiche crittografate CMK

Quando si crea un vault con intercapedine logiche con una chiave gestita dal cliente, è necessario applicare la politica gestita al ruolo dell'account. AWSAWSBackupFullAccess Questa policy include Allow azioni che consentono di interagire con AWS KMS la creazione AWS Backup di sovvenzioni sulle chiavi KMS durante le operazioni di backup, copia e archiviazione. Inoltre, è necessario assicurarsi che la politica relativa alle chiavi gestite dai clienti (se utilizzata) includa le autorizzazioni specifiche richieste.

  • La CMK deve essere condivisa con l'account in cui si trova il vault con intercapedine logiche

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

Politica chiave per la copia/ripristino

Per evitare errori nei lavori, rivedi la tua politica AWS KMS chiave per assicurarti che includa tutte le autorizzazioni richieste e non contenga dichiarazioni di negazione che potrebbero bloccare le operazioni. Si applicano le seguenti condizioni:

  • Per tutti gli scenari di copia, CMKs devono essere condivisi con il ruolo di copia di origine

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • Quando si esegue la copia da un archivio airgap logico crittografato CMK a un archivio di backup, il CMK deve essere condiviso anche con l'account di destinazione SLR

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • Quando si esegue la copia o il ripristino da un account di ripristino utilizzando un vault condiviso con sistema logico airgapped RAM/MPA 

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

Ruolo IAM

Quando eseguono operazioni di copia del vault con sistema logico, i clienti possono utilizzare il sistema, che include la policy gestita. AWSBackupDefaultServiceRole AWSAWSBackupServiceRolePolicyForBackup Tuttavia, se i clienti preferiscono implementare un approccio basato sulla politica dei privilegi minimi, la loro politica IAM deve includere un requisito specifico:

  • Il ruolo di copia dell'account di origine deve disporre delle autorizzazioni di accesso sia all'origine che alla destinazione. CMKs

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

Di conseguenza, uno degli errori più comuni dei clienti si verifica durante la copia, quando i clienti non forniscono autorizzazioni sufficienti per i loro ruoli CMKs e per quelli di copia.

Visualizzazione dei tipi di chiavi di crittografia

È possibile visualizzare le informazioni sul tipo di chiave di crittografia sia tramite la AWS Backup console che a livello di programmazione utilizzando o. AWS CLI SDKs

Console: quando si visualizzano casseforti con sistema logico nella AWS Backup console, il tipo di chiave di crittografia viene visualizzato nella pagina dei dettagli del vault nella sezione delle informazioni di sicurezza.

AWS CLI/API: il tipo di chiave di crittografia viene restituito nella risposta delle seguenti operazioni quando si eseguono interrogazioni su vault con airgap logico:

  • list-backup-vaults(incluso per gli archivi condivisi) --by-shared

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

Considerazioni sulla crittografia dei vault

Quando lavorate con archivi con intercapedine logiche e tipi di chiavi di crittografia, tenete presente quanto segue:

  • Selezione delle chiavi durante la creazione: è possibile specificare facoltativamente una chiave KMS gestita dal cliente durante la creazione di un vault con intercapedine logica. Se non viene specificata, verrà utilizzata una chiave di proprietà. AWS

  • Visibilità del vault condiviso: gli account con cui è condiviso un archivio possono visualizzare il tipo di chiave di crittografia ma non possono modificare la configurazione di crittografia.

  • Informazioni sui punti di ripristino: il tipo di chiave di crittografia è disponibile anche quando si visualizzano i punti di ripristino all'interno di archivi con intercapedine logiche.

  • Operazioni di ripristino: la comprensione del tipo di chiave di crittografia consente di pianificare le operazioni di ripristino e comprendere eventuali requisiti di accesso.

  • Conformità: le informazioni sul tipo di chiave di crittografia supportano i requisiti di rendicontazione e verifica della conformità fornendo trasparenza sui metodi di crittografia utilizzati per i dati di backup.

Risolvi un problema relativo al vault con sistema logico di airgap

Se riscontri errori durante il flusso di lavoro, consulta i seguenti errori di esempio e le risoluzioni suggerite:

AccessDeniedException

Errore: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Possibile causa: il parametro non --backup-vault-account-id è stato incluso quando una delle seguenti richieste è stata eseguita su un archivio condiviso dalla RAM:

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Risoluzione: riprova il comando che ha restituito l'errore, ma includi il parametro --backup-vault-account-id che specifica l'account proprietario del vault.

OperationNotPermittedException

Errore: OperationNotPermittedException viene restituito dopo una chiamata. CreateResourceShare

Possibile causa: se si tenta di condividere una risorsa, ad esempio un vault logicamente isolato, con un'altra organizzazione, è possibile che si verifichi questa eccezione. Un vault può essere condiviso con un account di un'altra organizzazione, ma non può essere condiviso con l'altra organizzazione stessa.

Risoluzione: riprova l'operazione, ma specifica un account come valore per principals anziché un'organizzazione o un'unità organizzativa.

Tipo di chiave di crittografia non visualizzato

Problema: il tipo di chiave di crittografia non è visibile quando si visualizza un archivio logicamente isolato o i relativi punti di ripristino.

Possibili cause:

  • Stai visualizzando un archivio precedente creato prima dell'aggiunta del supporto per i tipi di chiavi di crittografia

  • Stai utilizzando una versione precedente del AWS CLI o dell'SDK

  • La risposta dell'API non include il campo del tipo di chiave di crittografia

Risoluzione:

  • Aggiorna il tuo AWS CLI alla versione più recente

  • Per gli archivi più vecchi, il tipo di chiave di crittografia verrà compilato automaticamente e dovrebbe apparire nelle successive chiamate API

  • Verifica di utilizzare le operazioni API corrette che restituiscono informazioni sul tipo di chiave di crittografia

  • Per gli archivi condivisi, verifica che il vault sia condiviso correttamente tramite AWS Resource Access Manager

«FAILED» VaultState con log in AccessDeniedException CloudTrail

Errore in CloudTrail: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

Possibili cause:

  • Il vault è stato creato utilizzando una chiave gestita dal cliente, ma il ruolo assunto non dispone dell' CreateGrant autorizzazione sulla politica chiave richiesta per utilizzare la chiave per la creazione del vault

Risoluzione: