Tresor mit logischem Air-Gap - AWS Backup
Überblick über Tresore mit logischem LuftspaltAnwendungsfall für Tresore mit logischem Air-GapVergleich und Gegenüberstellung mit einem Standard-Backup-TresorErstellen Sie einen Tresor mit logischem Air-GapDetails zum Tresor mit logischem Air-Gap anzeigenIn einen Tresor mit logischem Air-Gap kopierenTeilen Sie einen Tresor mit logischem Air-GapStellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder herLöscht einen Tresor mit logischem Air-GapZusätzliche programmatische Optionen für Tresore mit logischem Air-GapBeheben Sie ein Problem mit einem Tresor mit logischem Air-Gap

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tresor mit logischem Air-Gap

Überblick über Tresore mit logischem Luftspalt

AWS Backup bietet einen sekundären Tresortyp, in dem Kopien von Backups in einem Container mit zusätzlichen Sicherheitsfunktionen gespeichert werden können. Ein Tresor mit logischem Air-Gapped ist ein spezialisierter Tresor, der mehr Sicherheit bietet als ein herkömmlicher Backup-Tresor und die Möglichkeit bietet, den Zugriff auf den Tresor gemeinsam mit anderen Konten zu nutzen, sodass Recovery Time Objectives (RTOs) im Falle eines Vorfalls, der eine schnelle Wiederherstellung von Ressourcen erfordert, schneller und flexibler gestaltet werden können.

Tresore mit logischem Air-Gap sind mit zusätzlichen Schutzfunktionen ausgestattet. Jeder Tresor ist mit einem AWS eigenen Schlüssel verschlüsselt, und jeder Tresor ist mit dem Compliance-Modus von Vault Lock ausgestattet.AWS Backup

Sie können sich für die Integration mit AWS Resource Access Manager(RAM) entscheiden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen AWS Konten (einschließlich Konten in anderen Organisationen) zu nutzen, sodass die im Tresor gespeicherten Backups von einem Konto wiederhergestellt werden können, mit dem der Tresor gemeinsam genutzt wird, falls dies für die Wiederherstellung nach Datenverlust oder für Wiederherstellungstests erforderlich ist.

Sie können die Speicherpreise für Backups unterstützter Dienste in einem Tresor mit logischem Air-Gap auf der Seite mit den Preisen einsehen.AWS Backup

Informationen zu Verfügbarkeit von Features nach Ressource den Ressourcentypen, die Sie in einen Tresor mit logischem Air-Gap kopieren können, finden Sie unter.

Anwendungsfall für Tresore mit logischem Air-Gap

Ein logischer Air-Gapped Vault ist ein sekundärer Tresor, der als Teil einer Datenschutzstrategie dient. Dieser Tresor kann dazu beitragen, die Aufbewahrungsstrategie und Wiederherstellung Ihres Unternehmens zu verbessern, wenn Sie einen Tresor für Ihre Backups benötigen, der

  • Wird automatisch mit einer Tresorsperre im Compliance-Modus eingerichtet

  • Wird mit einem AWS eigenen Schlüssel verschlüsselt geliefert

  • Enthält Backups, die somit mit einem anderen Konto als dem Konto AWS RAM, das das Backup erstellt hat, geteilt und von dort wiederhergestellt werden können

Überlegungen und Einschränkungen

  • Regionsübergreifendes Kopieren in oder aus einem Tresor mit logischem Air-Gap ist derzeit nicht für Backups verfügbar, die Amazon Aurora, Amazon DocumentDB und Amazon Neptune enthalten.

  • Ein Backup, das ein oder mehrere EBS Amazon-Volumes enthält und in einen Tresor mit logischem Air-Gap kopiert wird, muss kleiner als 16 TB sein. Größere Backups für diesen Ressourcentyp werden nicht unterstützt.

  • Amazon S3 S3-Unterstützung für Tresore mit logischem Air-Gap ist nur in Regionen verfügbar, für die kein Opt-In erforderlich ist.

  • Der ARN (Amazon-Ressourcenname) eines Wiederherstellungspunkts, der in einem Tresor mit logischem Air-Gap gespeichert ist, wird anstelle des zugrunde liegenden Ressourcentyps verwendet. backup Wenn das Original beispielsweise mit ARN beginntarn:aws:ec2:region::image/ami-*, dann ist es der ARN des Wiederherstellungspunkts im Tresor mit logischem Air-Gap. arn:aws:backup:region:account-id:recovery-point:*

    Sie können den CLI Befehl verwenden, um den list-recovery-points-by-backup-vaultzu ermitteln. ARN

Vergleich und Gegenüberstellung mit einem Standard-Backup-Tresor

Ein Backup-Tresor ist der primäre und standardmäßige Tresortyp, der in AWS Backup verwendet wird. Jedes Backup wird beim Erstellen in einem Backup-Tresor gespeichert. Sie können ressourcenbasierte Richtlinien zuweisen, um die im Tresor gespeicherten Backups zu verwalten, z. B. den Lebenszyklus von im Tresor gespeicherten Backups.

Ein Tresor mit logischem Air-Gap ist ein spezialisierter Tresor mit zusätzlicher Sicherheit und flexibler gemeinsamer Nutzung für eine schnellere Wiederherstellungszeit (). RTO In diesem Tresor werden Kopien von Backups gespeichert, die ursprünglich in einem Standard-Backup-Tresor erstellt und gespeichert wurden.

Backup-Tresore können mit einem Schlüssel verschlüsselt werden, einem Sicherheitsmechanismus, der den Zugriff auf vorgesehene Benutzer beschränkt. Diese Schlüssel können vom Kunden verwaltet oder verwaltet werden. AWS Darüber hinaus kann ein Backup-Tresor durch ein Tresorschloss zusätzliche Sicherheit bieten. Logischerweise sind Tresore mit Air-Gaps im Compliance-Modus mit einem Tresorschloss ausgestattet.

Bei Ressourcentypen, die vollständig von verwaltet werden AWS Backup, kann ein Backup nicht in einen Tresor mit logischem Air-Gap kopiert werden, wenn der AWS KMS Schlüssel nicht bei der Erstellung der ursprünglichen Ressource manuell geändert oder als KMS Schlüssel festgelegt wurde.

Funktion Sicherungstresor Tresor mit logischem Air-Gap
AWS Backup Audit Manager Sie können AWS Backup Audit Manager verwendenSteuerelemente und Abhilfemaßnahmen, um Ihre Backup-Tresore zu überwachen. Stellen Sie sicher, dass zusätzlich zu den für Standardtresoren verfügbaren Kontrollen eine Sicherungskopie einer bestimmten Ressource nach einem von Ihnen festgelegten Zeitplan in mindestens einen Tresor mit logischem Air-Gap kopiert wurde.

Backup-Erstellung

Wenn ein Backup erstellt wird, wird es als Wiederherstellungspunkt gespeichert.

Backups werden bei der Erstellung nicht in diesem Tresor gespeichert.

Backup-Speicher

Kann erste Backups von Ressourcen und Kopien von Backups speichern

Kann Kopien von Backups von anderen Tresoren speichern

Fakturierung

Speicher- und Datenübertragungsgebühren für Ressourcen, die vollständig von "verwaltet werden, AWS Backup fallen unter AWS Backup" an. Speicher- und Datenübertragungsgebühren für andere Arten von Ressourcen fallen im Rahmen der jeweiligen Dienste an.

Beispielsweise werden EBS Amazon-Backups unter EBS „Amazon“ angezeigt; Amazon S3-Backups werden unter "AWS Backup“ angezeigt.

Alle Abrechnungsgebühren für diese Tresore (Speicherung oder Datenübertragung) werden unter "AWS Backup" ausgewiesen.

Regionen

Verfügbar in allen Regionen, in denen tätig ist AWS Backup

Verfügbar in den meisten Regionen, die von unterstützt werden AWS Backup. Derzeit nicht verfügbar in Asien-Pazifik (Malaysia), Kanada West (Calgary), China (Peking), China (Ningxia), AWS GovCloud (USA-Ost) oder AWS GovCloud (US-West).

Ressourcen

Kann Kopien von Backups für die meisten Ressourcentypen speichern, die kontoübergreifendes Kopieren unterstützen.

FSxBackup-Kopien von Amazon RDS und Amazon können derzeit nicht in diesen Tresoren gespeichert werden.

Wiederherstellen

Backups können mit demselben Konto wiederhergestellt werden, zu dem der Tresor gehört.

Backups können mit einem anderen Konto als dem, zu dem der Tresor gehört, wiederhergestellt werden, wenn der Tresor mit diesem separaten Konto geteilt wird.

Sicherheit

Kann optional mit einem Schlüssel verschlüsselt werden (kundenseitig verwaltet oder von AWS verwaltet)

Wahlweise kann eine Tresorsperre im Compliance- oder Governance-Modus verwendet werden

Ist mit einem AWS eigenen Schlüssel verschlüsselt

Ist immer mit einer Tresorsperre im Compliance-Modus gesperrt

Teilen

Zugriff kann über Richtlinien und AWS Organizations verwaltet werden.

Nicht kompatibel mit AWS RAM

Kann optional mit AWS RAM über mehrere Konten hinweg gemeinsam genutzt werden

Erstellen Sie einen Tresor mit logischem Air-Gap

Sie können einen Tresor mit logischem Air-Gap entweder über die AWS Backup Konsole oder durch eine Kombination aus und -Befehlen erstellen. AWS Backup AWS RAM CLI

Jeder Logic Air-Gapped ist im Compliance-Modus mit einer Tresorsperre ausgestattet. Weitere Informationen finden Sie unterAWS Backup Vault Lock, um die für Ihren Betrieb am besten geeigneten Werte für die Aufbewahrungsdauer zu ermitteln

Console
Erstellen eines logischen Air-Gapped Vault von der Konsole aus

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im Navigationsbereich Tresore aus.

  3. Beide Tresortypen werden angezeigt. Wählen Sie Neuen Tresor erstellen aus.

  4. Geben Sie einen Namen für Ihren Sicherungstresor ein. Sie können den Namen Ihres Tresors so wählen, dass er angibt, was in ihm gespeichert wird, oder so, dass die Suche nach den benötigten Sicherungen erleichtert wird. Geben Sie ihm beispielsweise den Namen FinancialBackups.

  5. Wählen Sie das Optionsfeld für Logically Air-Gapped Vault aus.

  6. Legen Sie den Mindestaufbewahrungszeitraum fest.

    Dieser Wert (in Tagen, Monaten oder Jahren) ist der kürzeste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die kürzer sind als dieser Wert, können nicht in diesen Tresor kopiert werden.

    Der zulässige Mindestwert ist Tage. 7 Werte für Monate und Jahre entsprechen diesem Minimum.

  7. Legen Sie den Höchstaufbewahrungszeitraum fest.

    Dieser Wert (in Tagen, Monaten oder Jahren) ist der längste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die diesen Wert überschreiten, können nicht in diesen Tresor kopiert werden.

  8. (Optional) Fügen Sie Tags hinzu, die Ihnen helfen, Ihren logischen Air-Gapped Vault zu suchen und zu identifizieren. Beispielsweise können Sie den Tag BackupType:Financial hinzufügen.

  9. Wählen Sie Tresor erstellen aus.

  10. Überprüfen Sie die Einstellungen. Wenn alle Einstellungen wie gewünscht angezeigt werden, wählen Sie Logischen luftdicht verschlossenen Tresor erstellen aus.

  11. Die Konsole leitet Sie zur Detailseite Ihres neuen Tresors weiter. Vergewissern Sie sich, dass die Tresordetails wie gewünscht festgelegt sind.

  12. Wählen Sie Tresore aus, um die Tresore in Ihrem Konto anzuzeigen. Ihr Tresor mit logischem Air-Gap wird angezeigt. Der KMS Schlüssel wird etwa 1 bis 3 Minuten nach der Erstellung des Tresors verfügbar sein. Aktualisieren Sie die Seite, um den zugehörigen Schlüssel zu sehen. Sobald der Schlüssel sichtbar ist, ist der Tresor verfügbar und kann verwendet werden.

AWS CLI

Erstellen Sie einen Tresor mit logischem Air-Gap aus CLI

Sie können es verwenden AWS CLI , um programmgesteuert Operationen für Tresore mit logischem Air-Gap auszuführen. Jeder CLI ist spezifisch für den Dienst, aus dem AWS er stammt. Befehlen, die sich auf Freigaben beziehen, wird aws ram vorangestellt. Allen anderen Befehlen sollte aws backup vorangestellt werden.

Verwenden Sie den CLI Befehl create-logically-air-gapped-backup-vault, der mit den folgenden Parametern geändert wurde:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

CLIBeispielbefehl zum Erstellen eines Tresors mit logischem Air-Gap:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Informationen nach dem Erstellungsvorgang finden Sie unter CreateLogicallyAirGappedBackupVault APIAntwortelemente. Wenn der Vorgang erfolgreich war, wird im neuen Tresor mit logischem Air-Gap der Wert „Aus“ angezeigt. VaultState CREATING

Sobald die Erstellung abgeschlossen ist und der KMS verschlüsselte Schlüssel zugewiesen wurde, VaultState erfolgt der Übergang zu. AVAILABLE Sobald der Tresor verfügbar ist, kann er verwendet werden. VaultStatekann telefonisch DescribeBackupVaultoder abgerufen werden ListBackupVaults.

Details zum Tresor mit logischem Air-Gap anzeigen

Sie können die Tresordetails wie eine Zusammenfassung, die Wiederherstellungspunkte, die geschützten Ressourcen, die gemeinsame Nutzung von Konten, die Zugriffsrichtlinien und Tags in der AWS Backup Konsole oder im einsehen. AWS Backup CLI

Console

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

  3. Unter den Beschreibungen der Tresore finden Sie zwei Listen: Tresore, die diesem Konto gehören und Mit diesem Konto geteilte Tresore. Wählen Sie die gewünschte Registerkarte aus, um die Tresore anzuzeigen.

  4. Klicken Sie unter Tresorname auf den Namen des Tresors, um die Detailseite zu öffnen. Sie können die Zusammenfassung, die Wiederherstellungspunkte, die geschützten Ressourcen, die Kontofreigabe, die Zugriffsrichtlinie und Tag-Details einsehen.

    Die Details werden je nach Kontotyp angezeigt: Konten, die einen Tresor besitzen, können die gemeinsame Nutzung von Konten anzeigen; Konten, die keinen Tresor besitzen, können die gemeinsame Nutzung von Konten nicht anzeigen.

AWS CLI

Einzelheiten zu einem Tresor mit logischem Air-Gap anzeigen CLI

Der CLI Befehl describe-backup-vaultkann verwendet werden, um Details zu einem Tresor abzurufen. Der Parameter backup-vault-name ist erforderlich; region ist optional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Beispiel für eine Antwort:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

In einen Tresor mit logischem Air-Gap kopieren

Logische Air-Gapped Vaults können nur ein Kopierauftragsziel in einem Backup-Plan oder ein Ziel für einen On-Demand-Kopierauftrag sein.

Kompatible Verschlüsselung

Für einen erfolgreichen Kopiervorgang von einem Backup-Tresor in einen Tresor mit logischem Air-Gap ist ein Verschlüsselungsschlüssel erforderlich, der durch den zu kopierenden Ressourcentyp bestimmt wird.

Wenn Sie ein Backup eines vollständig verwalteten Ressourcentyps kopieren, kann das Quell-Backup im (Standard-Backup-Tresor) mit einem vom Kunden verwalteten Schlüssel oder einem verwalteten Schlüssel verschlüsselt werden. AWS

Wenn Sie ein Backup anderer Ressourcentypen kopieren (solche, die nicht vollständig verwaltet werden), müssen sowohl das Backup als auch die Ressource, die es gesichert hat, mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden. AWS verwaltete Schlüssel für die Ressourcentypen werden für Kopien nicht unterstützt.

Über einen Backup-Plan in einen Tresor mit logischem Air-Gap kopieren

Sie können ein Backup (einen Wiederherstellungspunkt) von einem Standard-Backup-Tresor in einen Tresor mit logischem Air-Gap kopieren, indem Sie in der AWS Backup Konsole oder mithilfe der Befehle und einen neuen Backup-Plan erstellen oder einen vorhandenen aktualisieren. AWS CLI create-backup-planupdate-backup-plan

Sie können bei Bedarf ein Backup von einem Tresor mit logischem Air-Gap in einen anderen Tresor mit logischem Air-Gap kopieren (diese Art von Backup kann nicht in einem Backup-Plan geplant werden). Sie können ein Backup von einem Tresor mit logischem Air-Gap in einen Standard-Backup-Tresor kopieren, sofern die Kopie mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist.

On-Demand-Backup-Kopie in einen Tresor mit logischem Air-Gap

Um eine einmalige On-Demand-Kopie eines Backups in einen Tresor mit logischem Air-Gap zu erstellen, können Sie aus einem Standard-Backup-Tresor kopieren. Regions- oder kontoübergreifende Kopien sind verfügbar, wenn der Ressourcentyp den Kopiertyp unterstützt.

Verfügbarkeit kopieren

Eine Kopie eines Backups kann von dem Konto aus erstellt werden, zu dem der Tresor gehört. Konten, mit denen der Tresor gemeinsam genutzt wurde, haben die Möglichkeit, ein Backup anzusehen oder wiederherzustellen, aber keine Kopie zu erstellen.

Es können nur Ressourcentypen berücksichtigt werden, die regionsübergreifendes oder kontoübergreifendes Kopieren unterstützen.

Console

  1. Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com

  2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

  3. Auf der Tresordetailseite werden alle Wiederherstellungspunkte innerhalb dieses Tresors angezeigt. Aktivieren Sie das Kontrollkästchen neben dem Wiederherstellungspunkt, den Sie kopieren möchten.

  4. Wählen Sie Aktionen und dann im Dropdown-Menü Kopieren aus.

  5. Geben Sie auf dem nächsten Bildschirm die Details des Ziels ein.

    1. Geben Sie die Zielregion an.

    2. Das Dropdown-Menü für den Ziel-Backup-Tresor zeigt die geeigneten Zieltresore an. Wählen Sie einen vom Typ logically air-gapped vault aus.

  6. Wählen Sie Kopieren aus, sobald alle Details Ihren Präferenzen entsprechen.

Auf der Seite Aufträge in der Konsole können Sie Kopieraufträge auswählen, um die aktuellen Kopieraufträge einzusehen.

AWS CLI

Wird verwendet start-copy-job, um ein vorhandenes Backup in einem Backup-Tresor in einen Tresor mit logischem Air-Gap zu kopieren.

Eingabebeispiel: CLI

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Weitere Informationen finden Sie unter Kopieren eines Backups, Erstellen von Backup-Kopien über AWS-Regionen hinweg und Erstellen von Backup-Kopien über AWS-Konten hinweg.

Teilen Sie einen Tresor mit logischem Air-Gap

Sie können AWS Resource Access Manager (RAM) verwenden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen von Ihnen angegebenen Konten zu nutzen.

Ein Tresor kann mit einem Konto in seiner Organisation oder mit einem Konto in einer anderen Organisation geteilt werden. Der Tresor kann nicht mit einer gesamten Organisation geteilt werden, sondern nur mit Konten innerhalb der Organisation.

Nur Konten mit bestimmten IAM Rechten können Konten gemeinsam nutzen und verwalten.

Stellen Sie sicher AWS RAM, dass Sie über Folgendes verfügen, um Inhalte mit anderen zu teilen:

  • Zwei oder mehr Konten, auf die zugegriffen werden kann AWS Backup

  • Ein Konto, das einen Tresor besitzt und das Sie teilen möchten, verfügt über die erforderlichen Berechtigungen. RAM Die Berechtigung ram:CreateResourceShare ist für dieses Verfahren erforderlich. Die Richtlinie AWSResourceAccessManagerFullAccess enthält alle erforderlichen zugehörigen Berechtigungen: RAM

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Mindestens einen logischen Air-Gapped Vault

Console

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im linken Navigationsbereich die Option Tresore aus.

  3. Unter den Beschreibungen der Tresore finden Sie zwei Listen: Tresore, die diesem Konto gehören und Mit diesem Konto geteilte Tresore. Tresore, die dem Konto gehören, können gemeinsam genutzt werden.

  4. Wählen Sie unter Tresorname den Namen des logischen Air-Gapped Vault aus, um die Detailseite zu öffnen.

  5. Im Bereich Kontofreigabe wird angezeigt, mit welchen Konten der Tresor geteilt wird.

  6. Um mit der Freigabe für ein anderes Konto zu beginnen oder Konten zu bearbeiten, die bereits gemeinsam genutzt werden, wählen Sie Freigabe verwalten aus.

  7. Die AWS RAM Konsole wird geöffnet, wenn „Teilen verwalten“ ausgewählt ist. Anweisungen zum Teilen einer Ressource mithilfe von AWS RAM finden Sie unter Erstellen einer gemeinsamen Ressource AWS RAM im AWS RAMBenutzerhandbuch.

  8. Das Konto, das aufgefordert wurde, eine Einladung anzunehmen, um eine Freigabe zu erhalten, hat 12 Stunden Zeit, die Einladung anzunehmen. Weitere Informationen finden Sie im AWS RAMBenutzerhandbuch unter Annehmen und Ablehnen von Einladungen zur gemeinsamen Nutzung von Ressourcen.

  9. Wenn die Schritte für die Freigabe abgeschlossen und akzeptiert wurden, wird die Seite mit der Tresorübersicht unter Gemeinsame Nutzung von Konten = Geteilt – siehe Tabelle zur gemeinsamen Nutzung von Konten unten angezeigt.

AWS CLI

AWS RAM verwendet den CLI Befehlcreate-resource-share. Der Zugriff auf diesen Befehl ist nur für Konten mit ausreichenden Berechtigungen verfügbar. Weitere CLI Schritte finden Sie unter Erstellen einer Ressourcenfreigabe. AWS RAM

Die Schritte 1 bis 4 werden mit dem Konto ausgeführt, dem der logische Air-Gapped Vault gehört. Die Schritte 5 bis 8 werden mit dem Konto ausgeführt, für das der logische Air-Gapped Vault freigegeben werden soll.

  1. Melden Sie sich bei dem Eigentümerkonto an ODER fordern Sie einen Benutzer in Ihrer Organisation, der über ausreichende Anmeldeinformationen für den Zugriff auf das Quellkonto verfügt, auf, diese Schritte durchzuführen.

    1. Wenn zuvor eine Ressourcenfreigabe erstellt wurde und Sie ihr eine zusätzliche Ressource hinzufügen möchten, verwenden Sie sie CLI associate-resource-share stattdessen zusammen mit der ARN des neuen Tresors.

  2. Ruft die Anmeldeinformationen einer Rolle ab, die über RAM ausreichende Berechtigungen zum Teilen verfügt. Geben Sie diese in das CLI ein.

    1. Die Berechtigung ram:CreateResourceShare ist für dieses Verfahren erforderlich. Die Richtlinie AWSResourceAccessManagerFullAccessenthält alle RAM zugehörigen Berechtigungen.

  3. Verwenden create-resource-share.

    1. Schließt den ARN Tresor mit logischem Luftspalt ein.

    2. Beispieleingabe:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Beispielausgabe:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Kopieren Sie den Ressourcenanteil ARN in die Ausgabe (der für nachfolgende Schritte benötigt wird). Geben Sie das ARN an den Kontobetreiber weiter, den Sie zum Erhalt der Aktie einladen möchten.

  5. Besorgen Sie sich den Ressourcenanteil ARN

    1. Falls Sie die Schritte 1 bis 4 nicht durchgeführt haben, holen Sie sich das resourceShareArn von demjenigen, der es getan hat.

    2. Beispiel: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. Gehen Sie in der CLI von den Anmeldeinformationen des Empfängerkontos aus.

  7. Rufen Sie mit get-resource-share-invitations die Ressourcenfreigabeeinladung ab. Weitere Informationen finden Sie unter Annehmen und Ablehnen von Ressourcenfreigabeeinladungen im AWS RAM -Benutzerhandbuch.

  8. Nehmen Sie die Einladung im Zielkonto (Wiederherstellungskonto) an.

    1. Verwenden Sie accept-resource-share-invitation (reject-resource-share-invitation auch möglich).

Sie können AWS RAM CLI Befehle verwenden, um gemeinsam genutzte Elemente anzuzeigen:

  • Ressourcen, die Sie geteilt haben:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Zeigen Sie dem Schulleiter:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Ressourcen, die von anderen Konten gemeinsam genutzt werden:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Stellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder her

Sie können ein in einem Tresor mit logischem Air-Gap gespeichertes Backup entweder von dem Konto aus wiederherstellen, dem der Tresor gehört, oder von einem beliebigen Konto, mit dem der Tresor gemeinsam genutzt wird.

Informationen zum Wiederherstellen eines Wiederherstellungspunkts über die Konsole finden Sie unter Wiederherstellung eines Backups. AWS Backup

Sobald ein Backup aus einem Tresor mit logischem Air-Gap für Ihr Konto freigegeben wurde, können Sie es start-restore-jobzur Wiederherstellung verwenden.

Eine CLI Beispieleingabe kann den folgenden Befehl und die folgenden Parameter enthalten:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Löscht einen Tresor mit logischem Air-Gap

Informationen zum Löschen eines Tresors finden Sie unter Löschen eines Backup-Tresors. Tresore können nicht gelöscht werden, wenn sie noch Backups (Wiederherstellungspunkte) enthalten. Stellen Sie sicher, dass der Tresor keine Backups enthält, bevor Sie einen Löschvorgang starten.

Beim Löschen eines Tresors wird auch der dem Tresor zugeordnete Schlüssel sieben Tage nach dem Löschen des Tresors gemäß der Richtlinie zum Löschen von Schlüsseln gelöscht.

Der folgende CLI Beispielbefehl delete-backup-vaultkann verwendet werden, um einen Tresor zu löschen.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Zusätzliche programmatische Optionen für Tresore mit logischem Air-Gap

Der CLI Befehl list-backup-vaultskann so geändert werden, dass er alle Tresore auflistet, die dem Konto gehören und in diesem Konto vorhanden sind:

aws backup list-backup-vaults
--region us-east-1

Um nur die logischen Air-Gapped Vaults aufzulisten, fügen Sie diesen Parameter hinzu:

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Fügen Sie den Parameter hinzuby-shared, um die zurückgegebene Tresorliste so zu filtern, dass nur gemeinsam genutzte Tresore mit logischem Air-Gap angezeigt werden.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Beheben Sie ein Problem mit einem Tresor mit logischem Air-Gap

Wenn Sie während Ihres Workflows auf Fehler stoßen, sehen Sie sich die folgenden Beispielfehler und Lösungsvorschläge an:

AccessDeniedException

Fehler: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Mögliche Ursache: Der Parameter --backup-vault-account-id war nicht enthalten, als eine der folgenden Anforderungen in einem Tresor ausgeführt wurde, der gemeinsam genutzt wurde vonRAM:

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Lösung: Wiederholen Sie den Befehl, der den Fehler zurückgegeben hat, geben Sie jedoch den Parameter an, der --backup-vault-account-id das Konto angibt, dem der Tresor gehört.

OperationNotPermittedException

Fehler: OperationNotPermittedException wird nach einem CreateResourceShare Anruf zurückgegeben.

Mögliche Ursache: Wenn Sie versuchen, eine Ressource, z. B. einen Tresor mit logischem Air-Gap, mit einer anderen Organisation gemeinsam zu nutzen, tritt möglicherweise diese Ausnahme auf. Ein Tresor kann mit einem Konto in einer anderen Organisation geteilt werden, aber er kann nicht mit der anderen Organisation selbst geteilt werden.

Lösung: Versuchen Sie den Vorgang erneut, geben Sie jedoch ein Konto als Wert für principals anstelle einer Organisation oder Organisationseinheit an.