Tresor mit logischem Air-Gap

Überblick über Tresore mit logischem Air-Gap

AWS Backup bietet einen sekundären Tresortyp, in dem Kopien von Backups in einem Container mit zusätzlichen Sicherheitsfunktionen gespeichert werden können. Ein Tresor mit logischem Air-Gapped ist ein spezialisierter Tresor, der mehr Sicherheit bietet als ein herkömmlicher Backup-Tresor und die Möglichkeit bietet, den Zugriff auf den Tresor gemeinsam mit anderen Konten zu nutzen, sodass Recovery Time Objectives (RTOs) im Falle eines Vorfalls, der eine schnelle Wiederherstellung von Ressourcen erfordert, schneller und flexibler gestaltet werden können.

Tresore mit logischem Air-Gap sind mit zusätzlichen Schutzfunktionen ausgestattet. Jeder Tresor ist mit einem AWS eigenen Schlüssel verschlüsselt, und jeder Tresor ist mit dem Compliance-Modus von Vault Lock ausgestattet.AWS Backup

Sie können sich für die Integration mit AWS Resource Access Manager(RAM) entscheiden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen AWS Konten (einschließlich Konten in anderen Organisationen) zu nutzen, sodass die im Tresor gespeicherten Backups von einem Konto wiederhergestellt werden können, mit dem der Tresor gemeinsam genutzt wird, falls dies für die Wiederherstellung nach Datenverlust oder für Wiederherstellungstests erforderlich ist. Als Teil dieser zusätzlichen Sicherheit speichert ein Tresor mit logischem Air-Gap seine Backups in einem AWS Backup diensteigenen Konto (was dazu führt, dass Backups in AWS CloudTrail Protokollen als außerhalb Ihrer Organisation gemeinsam genutzt angezeigt werden).

Sie können die Speicherpreise für Backups unterstützter Dienste in einem Tresor mit logischem Air-Gap auf der Seite mit den Preisen einsehen.AWS Backup

Informationen zu Verfügbarkeit von Features nach Ressource den Ressourcentypen, die Sie in einen Tresor mit logischem Air-Gap kopieren können, finden Sie unter.

Anwendungsfall für Tresore mit logischem Air-Gap

Ein logischer Air-Gapped Vault ist ein sekundärer Tresor, der als Teil einer Datenschutzstrategie dient. Dieser Tresor kann dazu beitragen, die Aufbewahrungsstrategie und die Wiederherstellung Ihres Unternehmens zu verbessern, wenn Sie einen Tresor für Ihre Backups benötigen

• Wird automatisch mit einer Tresorsperre im Compliance-Modus eingerichtet

• Wird verschlüsselt mit einem AWS eigenen Schlüssel geliefert

• Enthält Backups, die somit mit einem anderen Konto als dem Konto AWS RAM, das das Backup erstellt hat, geteilt und von dort wiederhergestellt werden können

Überlegungen und Einschränkungen

• Regionsübergreifendes Kopieren in oder aus einem Tresor mit logischem Air-Gap ist derzeit nicht für Backups verfügbar, die Amazon Aurora, Amazon DocumentDB und Amazon Neptune enthalten.

• Ein Backup, das ein oder mehrere Amazon EBS-Volumes enthält und in einen Tresor mit logischem Air-Gap kopiert wird, muss kleiner als 16 TB sein. Größere Backups für diesen Ressourcentyp werden nicht unterstützt.

• EC2 Amazon-Angebote EC2 sind zulässig AMIs. Wenn diese Einstellung in Ihrem Konto aktiviert ist, fügen Sie den Alias Ihrer aws-backup-vault Zulassungsliste hinzu.

  Wenn dieser Alias nicht enthalten ist, schlagen Kopiervorgänge von einem Tresor mit logischem Air-Gap in einen Backup-Tresor und Wiederherstellungsvorgänge von EC2 Instances aus einem Tresor mit logischem Air-Gap fehl und es wird eine Fehlermeldung wie „Source AMI ami-xxxxxx not found in Region“ angezeigt.

• Der ARN (Amazon Resource Name) eines Wiederherstellungspunkts, der in einem Tresor mit logischem Air-Gap gespeichert ist, wird anstelle des zugrunde liegenden Ressourcentyps verwendet. backup Wenn der ursprüngliche ARN beispielsweise mit beginntarn:aws:ec2:region::image/ami-*, dann ist dies der ARN des Wiederherstellungspunkts im Tresor mit logischem Air-Gapped. arn:aws:backup:region:account-id:recovery-point:*

  Sie können den CLI-Befehl verwenden list-recovery-points-by-backup-vault, um den ARN zu ermitteln.

Vergleich und Gegenüberstellung mit einem Standard-Backup-Tresor

Ein Backup-Tresor ist der primäre und standardmäßige Tresortyp, der in AWS Backup verwendet wird. Jedes Backup wird beim Erstellen in einem Backup-Tresor gespeichert. Sie können ressourcenbasierte Richtlinien zuweisen, um die im Tresor gespeicherten Backups zu verwalten, z. B. den Lebenszyklus von im Tresor gespeicherten Backups.

Ein logischer Air-Gapped Vault ist ein spezialisierter Tresor mit zusätzlicher Sicherheit und flexibler gemeinsamer Nutzung für eine kürzere Wiederherstellungszeit (Recovery Time Objective, RTO). In diesem Tresor werden Kopien von Backups gespeichert, die ursprünglich in einem Standard-Backup-Tresor erstellt und gespeichert wurden.

Backup-Tresore werden mit einem Schlüssel verschlüsselt, einem Sicherheitsmechanismus, der den Zugriff auf die vorgesehenen Benutzer beschränkt. Diese Schlüssel können vom Kunden verwaltet oder AWS verwaltet werden. Informationen zum Verschlüsselungsverhalten bei Kopieraufträgen, einschließlich des Kopierens in einen Tresor mit logischem Air-Gap, finden Sie unter Kopierverschlüsselung.

Darüber hinaus kann ein Backup-Tresor durch eine Tresorsperre zusätzliche Sicherheit bieten. Logischerweise sind Tresore mit Air-Gaps im Compliance-Modus mit einem Tresorschloss ausgestattet.

Funktion	Sicherungstresor	Tresor mit logischem Air-Gap
AWS Backup Audit Manager	Sie können AWS Backup Audit Manager verwendenSteuerelemente und Abhilfemaßnahmen, um Ihre Backup-Tresore zu überwachen.	Stellen Sie sicher, dass zusätzlich zu den für Standardtresoren verfügbaren Kontrollen eine Sicherungskopie einer bestimmten Ressource nach einem von Ihnen festgelegten Zeitplan in mindestens einen Tresor mit logischem Air-Gap kopiert wurde.
Backup-Erstellung	Wenn ein Backup erstellt wird, wird es als Wiederherstellungspunkt gespeichert.	Backups werden bei der Erstellung nicht in diesem Tresor gespeichert.
Backup-Speicher	Kann erste Backups von Ressourcen und Kopien von Backups speichern	Kann Kopien von Backups von anderen Tresoren speichern
Fakturierung	Speicher- und Datenübertragungsgebühren für Ressourcen, die vollständig von "verwaltet werden, AWS Backup fallen unter AWS Backup" an. Speicher- und Datenübertragungsgebühren für andere Arten von Ressourcen fallen im Rahmen der jeweiligen Dienste an. Beispielsweise werden Amazon EBS-Backups unter „Amazon EBS“ angezeigt; Amazon S3 S3-Backups werden unter "AWS Backup“ angezeigt.	Alle Abrechnungsgebühren für diese Tresore (Speicherung oder Datenübertragung) werden unter "" ausgewiesen.AWS Backup
Regionen	Verfügbar in allen Regionen, in denen tätig ist AWS Backup	Verfügbar in den meisten Regionen, die von unterstützt werden AWS Backup. Derzeit nicht verfügbar in Asien-Pazifik (Malaysia), Kanada West (Calgary), China (Peking), China (Ningxia), AWS GovCloud (US-Ost) oder AWS GovCloud (US-West).
Ressourcen	Kann Kopien von Backups für die meisten Ressourcentypen speichern, die kontoübergreifendes Kopieren unterstützen.	Ressourcen, die in diesen Tresor kopiert werden können, finden Sie in der Verfügbarkeit von Features nach Ressource Spalte Tresor mit logischem Air-Gapped unter.
Wiederherstellen	Backups können mit demselben Konto wiederhergestellt werden, zu dem der Tresor gehört.	Backups können mit einem anderen Konto als dem, zu dem der Tresor gehört, wiederhergestellt werden, wenn der Tresor mit diesem separaten Konto geteilt wird.
Sicherheit	Kann optional mit einem Schlüssel verschlüsselt werden (kundenseitig verwaltet oder von AWS verwaltet) Wahlweise kann eine Tresorsperre im Compliance- oder Governance-Modus verwendet werden	Ist mit einem AWS eigenen Schlüssel verschlüsselt Ist immer mit einer Tresorsperre im Compliance-Modus gesperrt
Teilen	Zugriff kann über Richtlinien und AWS Organizations verwaltet werden. Nicht kompatibel mit AWS RAM	Kann optional mit AWS RAM über mehrere Konten hinweg gemeinsam genutzt werden

Erstellen Sie einen Tresor mit logischem Air-Gap

Sie können einen Tresor mit logischem Air-Gap entweder über die AWS Backup Konsole oder über eine Kombination aus AWS Backup und AWS RAM CLI-Befehlen erstellen.

Jeder Logic Air-Gapped ist im Compliance-Modus mit einer Tresorsperre ausgestattet. Weitere Informationen finden Sie unterAWS Backup Vault Lock, um die für Ihren Betrieb am besten geeigneten Werte für die Aufbewahrungsdauer zu ermitteln

Console

Erstellen eines logischen Air-Gapped Vault von der Konsole aus

1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

2. Wählen Sie im Navigationsbereich Tresore aus.

3. Beide Tresortypen werden angezeigt. Wählen Sie Neuen Tresor erstellen aus.

4. Geben Sie einen Namen für Ihren Sicherungstresor ein. Sie können den Namen Ihres Tresors so wählen, dass er angibt, was in ihm gespeichert wird, oder so, dass die Suche nach den benötigten Sicherungen erleichtert wird. Geben Sie ihm beispielsweise den Namen FinancialBackups.

5. Wählen Sie das Optionsfeld für Logically Air-Gapped Vault aus.

6. Legen Sie den Mindestaufbewahrungszeitraum fest.

   Dieser Wert (in Tagen, Monaten oder Jahren) ist der kürzeste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die kürzer sind als dieser Wert, können nicht in diesen Tresor kopiert werden.

   Der zulässige Mindestwert ist Tage. 7 Werte für Monate und Jahre entsprechen diesem Mindestwert.

7. Legen Sie den Höchstaufbewahrungszeitraum fest.

   Dieser Wert (in Tagen, Monaten oder Jahren) ist der längste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die diesen Wert überschreiten, können nicht in diesen Tresor kopiert werden.

8. (Optional) Fügen Sie Tags hinzu, die Ihnen helfen, Ihren logischen Air-Gapped Vault zu suchen und zu identifizieren. Beispielsweise können Sie den Tag BackupType:Financial hinzufügen.

9. Wählen Sie Tresor erstellen aus.

10. Überprüfen Sie die Einstellungen. Wenn alle Einstellungen wie gewünscht angezeigt werden, wählen Sie Logischen luftdicht verschlossenen Tresor erstellen aus.

11. Die Konsole leitet Sie zur Detailseite Ihres neuen Tresors weiter. Vergewissern Sie sich, dass die Tresordetails wie gewünscht festgelegt sind.

12. Wählen Sie Tresore aus, um die Tresore in Ihrem Konto anzuzeigen. Ihr Tresor mit logischem Air-Gap wird angezeigt. Der KMS-Schlüssel ist etwa 1 bis 3 Minuten nach der Erstellung des Tresors verfügbar. Aktualisieren Sie die Seite, um den zugehörigen Schlüssel zu sehen. Sobald der Schlüssel sichtbar ist, ist der Tresor verfügbar und kann verwendet werden.

AWS CLI

Erstellen Sie über die CLI einen Tresor mit logischem Air-Gapped

Sie können es verwenden AWS CLI , um programmgesteuert Operationen für Tresore mit logischem Air-Gap auszuführen. Jede CLI ist spezifisch für den AWS Dienst, aus dem sie stammt. Befehlen, die sich auf Freigaben beziehen, wird aws ram vorangestellt. Allen anderen Befehlen sollte aws backup vorangestellt werden.

Verwenden Sie den CLI-Befehl create-logically-air-gapped-backup-vault, der mit den folgenden Parametern geändert wurde:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

Beispiel für einen CLI-Befehl zum Erstellen eines Tresors mit logischem Air-Gapped:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Informationen nach dem Erstellungsvorgang finden Sie unter CreateLogicallyAirGappedBackupVault API-Antwortelemente. Wenn der Vorgang erfolgreich war, wird im neuen Tresor mit logischem Air-Gap der Wert „Aus“ angezeigt. VaultState CREATING

Sobald die Erstellung abgeschlossen ist und der KMS-verschlüsselte Schlüssel zugewiesen wurde, VaultState erfolgt der Übergang zu. AVAILABLE Sobald der Tresor verfügbar ist, kann er verwendet werden. VaultStatekann telefonisch DescribeBackupVaultoder abgerufen werden ListBackupVaults.

Details zum Tresor mit logischem Air-Gap anzeigen

Sie können die Tresordetails wie Zusammenfassung, Wiederherstellungspunkte, geschützte Ressourcen, Kontofreigabe, Zugriffsrichtlinien und Tags über die AWS Backup Konsole oder die AWS Backup CLI einsehen.

Console

1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

3. Unter den Beschreibungen der Tresore finden Sie zwei Listen: Tresore, die diesem Konto gehören und Mit diesem Konto geteilte Tresore. Wählen Sie die gewünschte Registerkarte aus, um die Tresore anzuzeigen.

4. Klicken Sie unter Tresorname auf den Namen des Tresors, um die Detailseite zu öffnen. Sie können die Zusammenfassung, die Wiederherstellungspunkte, die geschützten Ressourcen, die Kontofreigabe, die Zugriffsrichtlinie und Tag-Details einsehen.

   Die Details werden je nach Kontotyp angezeigt: Konten, die einen Tresor besitzen, können die gemeinsame Nutzung von Konten anzeigen; Konten, die keinen Tresor besitzen, können die gemeinsame Nutzung von Konten nicht anzeigen.

AWS CLI

Details eines Tresors mit logischem Air-Gap über CLI anzeigen

Der CLI-Befehl describe-backup-vaultkann verwendet werden, um Details zu einem Tresor abzurufen. Der Parameter backup-vault-name ist erforderlich; region ist optional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Beispiel für eine Antwort:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

In einen Tresor mit logischem Air-Gap kopieren

Logische Air-Gapped Vaults können nur ein Kopierauftragsziel in einem Backup-Plan oder ein Ziel für einen On-Demand-Kopierauftrag sein.

Kompatible Verschlüsselung

Für einen erfolgreichen Kopiervorgang von einem Backup-Tresor in einen Tresor mit logischem Air-Gap ist ein Verschlüsselungsschlüssel erforderlich, der durch den zu kopierenden Ressourcentyp bestimmt wird.

Wenn Sie ein Backup eines vollständig verwalteten Ressourcentyps kopieren, kann das Quell-Backup im (Standard-Backup-Tresor) mit einem vom Kunden verwalteten Schlüssel oder einem verwalteten Schlüssel verschlüsselt werden. AWS

Wenn Sie ein Backup anderer Ressourcentypen kopieren (solche, die nicht vollständig verwaltet werden), müssen sowohl das Backup als auch die Ressource, die es gesichert hat, mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden. AWS verwaltete Schlüssel für die Ressourcentypen werden für Kopien nicht unterstützt.

Über einen Backup-Plan in einen Tresor mit logischem Air-Gap kopieren

Sie können ein Backup (Recovery Point) von einem Standard-Backup-Tresor in einen Tresor mit logischem Air-Gap kopieren, indem Sie in der AWS Backup Konsole oder mithilfe der Befehle und einen neuen Backup-Plan erstellen oder einen vorhandenen aktualisieren. AWS CLI create-backup-planupdate-backup-plan

Sie können bei Bedarf ein Backup von einem Tresor mit logischem Air-Gap in einen anderen Tresor mit logischem Air-Gap kopieren (diese Art von Backup kann nicht in einem Backup-Plan geplant werden). Sie können ein Backup von einem Tresor mit logischem Air-Gap in einen Standard-Backup-Tresor kopieren, sofern die Kopie mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist.

On-Demand-Backup-Kopie in einen Tresor mit logischem Air-Gap

Um eine einmalige On-Demand-Kopie eines Backups in einen Tresor mit logischem Air-Gap zu erstellen, können Sie aus einem Standard-Backup-Tresor kopieren. Regions- oder kontoübergreifende Kopien sind verfügbar, wenn der Ressourcentyp den Kopiertyp unterstützt.

Verfügbarkeit kopieren

Eine Kopie eines Backups kann von dem Konto aus erstellt werden, zu dem der Tresor gehört. Konten, mit denen der Tresor gemeinsam genutzt wurde, haben die Möglichkeit, ein Backup anzusehen oder wiederherzustellen, aber keine Kopie zu erstellen.

Es können nur Ressourcentypen berücksichtigt werden, die regionsübergreifendes oder kontoübergreifendes Kopieren unterstützen.

Console

1. Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com

2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

3. Auf der Tresordetailseite werden alle Wiederherstellungspunkte innerhalb dieses Tresors angezeigt. Aktivieren Sie das Kontrollkästchen neben dem Wiederherstellungspunkt, den Sie kopieren möchten.

4. Wählen Sie Aktionen und dann im Dropdown-Menü Kopieren aus.

5. Geben Sie auf dem nächsten Bildschirm die Details des Ziels ein.

   1. Geben Sie die Zielregion an.

   2. Das Dropdown-Menü für den Ziel-Backup-Tresor zeigt die geeigneten Zieltresore an. Wählen Sie einen vom Typ logically air-gapped vault aus.

6. Wählen Sie Kopieren aus, sobald alle Details Ihren Präferenzen entsprechen.

Auf der Seite Aufträge in der Konsole können Sie Kopieraufträge auswählen, um die aktuellen Kopieraufträge einzusehen.

AWS CLI

Verwenden Sie start-copy-job, um ein vorhandenes Backup in einem Backup-Tresor in einen logischen Air-Gapped Vault zu kopieren.

CLI-Beispieleingabe:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Weitere Informationen finden Sie unter Kopieren eines Backups, Erstellen von Backup-Kopien über AWS-Regionen hinweg und Erstellen von Backup-Kopien über AWS-Konten hinweg.

Teilen Sie einen Tresor mit logischem Air-Gap

Sie können AWS Resource Access Manager (RAM) verwenden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen von Ihnen angegebenen Konten zu nutzen.

Ein Tresor kann mit einem Konto in seiner Organisation oder mit einem Konto in einer anderen Organisation geteilt werden. Der Tresor kann nicht mit einer gesamten Organisation geteilt werden, sondern nur mit Konten innerhalb der Organisation.

Nur Konten mit bestimmten IAM-Rechten können Tresore gemeinsam nutzen und verwalten.

Stellen Sie für die gemeinsame Nutzung sicher AWS RAM, dass Sie über Folgendes verfügen:

• Zwei oder mehr Konten, auf die zugegriffen werden kann AWS Backup

• Ein Konto, das einen Tresor besitzt und das teilen möchte, verfügt über die erforderlichen RAM-Berechtigungen. Die Berechtigung ram:CreateResourceShare ist für dieses Verfahren erforderlich. Die Richtlinie AWSResourceAccessManagerFullAccess enthält alle erforderlichen RAM-bezogenen Berechtigungen:

  • backup:DescribeBackupVault

  • backup:DescribeRecoveryPoint

  • backup:GetRecoveryPointRestoreMetadata

  • backup:ListProtectedResourcesByBackupVault

  • backup:ListRecoveryPointsByBackupVault

  • backup:ListTags

  • backup:StartRestoreJob

• Mindestens einen logischen Air-Gapped Vault

Console

1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

3. Unter den Beschreibungen der Tresore finden Sie zwei Listen: Tresore, die diesem Konto gehören und Mit diesem Konto geteilte Tresore. Tresore, die dem Konto gehören, können gemeinsam genutzt werden.

4. Wählen Sie unter Tresorname den Namen des logischen Air-Gapped Vault aus, um die Detailseite zu öffnen.

5. Im Bereich Kontofreigabe wird angezeigt, mit welchen Konten der Tresor geteilt wird.

6. Um mit der Freigabe für ein anderes Konto zu beginnen oder Konten zu bearbeiten, die bereits gemeinsam genutzt werden, wählen Sie Freigabe verwalten aus.

7. Die AWS RAM Konsole wird geöffnet, wenn „Teilen verwalten“ ausgewählt ist. Anweisungen zur gemeinsamen Nutzung einer Ressource mithilfe von AWS RAM finden Sie unter Erstellen einer Ressourcenfreigabe im AWSAWS RAM im RAM-Benutzerhandbuch.

8. Das Konto, das aufgefordert wurde, eine Einladung anzunehmen, um eine Freigabe zu erhalten, hat 12 Stunden Zeit, die Einladung anzunehmen. Weitere Informationen finden Sie unter Annehmen und Ablehnen von Einladungen zur Ressourcenfreigabe im AWS -RAM-Benutzerhandbuch.

9. Wenn die Schritte für die Freigabe abgeschlossen und akzeptiert wurden, wird die Seite mit der Tresorübersicht unter Gemeinsame Nutzung von Konten = Geteilt – siehe Tabelle zur gemeinsamen Nutzung von Konten unten angezeigt.

AWS CLI

AWS RAM verwendet den CLI-Befehlcreate-resource-share. Der Zugriff auf diesen Befehl ist nur für Konten mit ausreichenden Berechtigungen verfügbar. Die CLI-Schritte finden Sie unter Erstellen einer Ressourcenfreigabe in AWS RAM.

Die Schritte 1 bis 4 werden mit dem Konto ausgeführt, dem der logische Air-Gapped Vault gehört. Die Schritte 5 bis 8 werden mit dem Konto ausgeführt, für das der logische Air-Gapped Vault freigegeben werden soll.

1. Melden Sie sich bei dem Eigentümerkonto an ODER fordern Sie einen Benutzer in Ihrer Organisation, der über ausreichende Anmeldeinformationen für den Zugriff auf das Quellkonto verfügt, auf, diese Schritte durchzuführen.

   1. Wenn zuvor eine Ressourcenfreigabe erstellt wurde und Sie ihr eine zusätzliche Ressource hinzufügen möchten, verwenden Sie stattdessen die CLI associate-resource-share mit dem ARN des neuen Tresors.

2. Rufen Sie die Anmeldeinformationen einer Rolle mit ausreichenden Berechtigungen für die Freigabe über RAM ab. Geben Sie diese in die CLI ein.

   1. Die Berechtigung ram:CreateResourceShare ist für dieses Verfahren erforderlich. Die Richtlinie AWSResourceAccessManagerFullAccessenthält alle RAM-bezogenen Berechtigungen.

3. Verwenden Sie create-resource-share.

   1. Geben Sie den ARN des logischen Air-Gapped Vault an.

   2. Beispieleingabe:

      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1

   3. Beispielausgabe:

      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }

4. Kopieren Sie den Ressourcenfreigabe-ARN in die Ausgabe (benötigt für nachfolgende Schritte). Geben Sie den ARN an den Betreiber des Kontos weiter, das Sie einladen, die Freigabe zu erhalten.

5. Abrufen des Ressourcenfreigabe-ARN

   1. Wenn Sie die Schritte 1 bis 4 nicht durchgeführt haben, holen Sie sich das resourceShareArn von demjenigen, der es getan hat.

   2. Beispiel: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

6. Übernehmen Sie in der CLI die Anmeldeinformationen des Empfängerkontos.

7. Rufen Sie mit get-resource-share-invitations die Ressourcenfreigabeeinladung ab. Weitere Informationen finden Sie unter Annehmen und Ablehnen von Ressourcenfreigabeeinladungen im AWS RAM -Benutzerhandbuch.

8. Nehmen Sie die Einladung im Zielkonto (Wiederherstellungskonto) an.

   1. Verwenden Sie accept-resource-share-invitation (reject-resource-share-invitation auch möglich).

Sie können AWS RAM CLI-Befehle verwenden, um gemeinsam genutzte Elemente anzuzeigen:

• Ressourcen, die Sie geteilt haben:

  aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

• Zeigen Sie dem Schulleiter:

  aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

• Ressourcen, die von anderen Konten gemeinsam genutzt werden:

  aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Stellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder her

Sie können ein in einem Tresor mit logischem Air-Gap gespeichertes Backup entweder von dem Konto aus wiederherstellen, dem der Tresor gehört, oder von einem beliebigen Konto, mit dem der Tresor gemeinsam genutzt wird.

Informationen zum Wiederherstellen eines Wiederherstellungspunkts über die Konsole finden Sie unter Wiederherstellung eines Backups. AWS Backup

Sobald ein Backup aus einem Tresor mit logischem Air-Gap für Ihr Konto freigegeben wurde, können Sie es start-restore-jobzur Wiederherstellung verwenden.

Eine CLI-Beispieleingabe kann den folgenden Befehl und die folgenden Parameter enthalten:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Wichtig

Amazon EC2 stellt Verschlüsselung wieder her

Wiederherstellungspunkte, die in einem Tresor mit logischem Air-Gap EC2 AMIs gespeichert sind, den Sie in einen Wiederherstellungsauftrag aufnehmen möchten, werden mit ihren EBS-Snapshots wiederhergestellt. Diese Snapshots werden auf Volumes wiederhergestellt, die automatisch mit dem von Amazon verwalteten Schlüssel verschlüsselt werden, der mit dem Konto verknüpft ist, das den Wiederherstellungsauftrag ausführt.

Dies unterscheidet sich von Backups von in Standard-Backup-Tresoren EC2 AMIs gespeicherten Backups, bei denen Benutzer entweder AMIs über die EC2 Konsole oder CLI Daten wiederherstellen und ihre eigenen KMS-Schlüssel für die Volumenverschlüsselung für einen Wiederherstellungsauftrag angeben können.

Löschen Sie einen Tresor mit logischem Air-Gap

Siehe Löschen eines Tresors. Tresore können nicht gelöscht werden, wenn sie noch Backups (Wiederherstellungspunkte) enthalten. Stellen Sie sicher, dass der Tresor keine Backups enthält, bevor Sie einen Löschvorgang starten.

Beim Löschen eines Tresors wird auch der dem Tresor zugeordnete Schlüssel sieben Tage nach dem Löschen des Tresors gemäß der Richtlinie zum Löschen von Schlüsseln gelöscht.

Der folgende CLI-Beispielbefehl delete-backup-vault kann verwendet werden, um einen Tresor zu löschen.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Zusätzliche programmatische Optionen für Tresore mit logischem Air-Gap

Der CLI-Befehl list-backup-vaults kann so geändert werden, dass er alle Tresore auflistet, die dem Konto gehören und in diesem vorhanden sind:

aws backup list-backup-vaults
--region us-east-1

Um nur die logischen Air-Gapped Vaults aufzulisten, fügen Sie diesen Parameter hinzu:

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Fügen Sie den Parameter hinzuby-shared, um die zurückgegebene Tresorliste so zu filtern, dass nur gemeinsam genutzte Tresore mit logischem Air-Gap angezeigt werden.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Beheben Sie ein Problem mit einem Tresor mit logischem Air-Gap

Wenn Sie während Ihres Workflows auf Fehler stoßen, sehen Sie sich die folgenden Beispielfehler und Lösungsvorschläge an:

AccessDeniedException

Fehler: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Mögliche Ursache: Der Parameter --backup-vault-account-id war nicht enthalten, als eine der folgenden Anforderungen in einem vom RAM gemeinsam genutzten Tresor ausgeführt wurde:

• describe-backup-vault

• describe-recovery-point

• get-recovery-point-restore-metadata

• list-protected-resources-by-backup-vault

• list-recovery-points-by-backup-vault

Lösung: Wiederholen Sie den Befehl, der den Fehler zurückgegeben hat, geben Sie jedoch den Parameter an, der --backup-vault-account-id das Konto angibt, dem der Tresor gehört.

OperationNotPermittedException

Fehler: OperationNotPermittedException wird nach einem CreateResourceShare Anruf zurückgegeben.

Mögliche Ursache: Wenn Sie versuchen, eine Ressource, z. B. einen Tresor mit logischem Air-Gap, mit einer anderen Organisation gemeinsam zu nutzen, tritt möglicherweise diese Ausnahme auf. Ein Tresor kann mit einem Konto in einer anderen Organisation geteilt werden, aber er kann nicht mit der anderen Organisation selbst geteilt werden.

Lösung: Versuchen Sie den Vorgang erneut, geben Sie jedoch ein Konto als Wert für principals anstelle einer Organisation oder Organisationseinheit an.