Sauvegardes principales vers des coffres-forts à isolation logique

Aperçu

La fonction de sauvegarde principale du coffre-fort logiquement espacé vous permet de spécifier un coffre-fort logiquement espacé comme destination de sauvegarde principale au sein du même compte, pour les tâches de sauvegarde planifiées et à la demande. Il n'est donc plus nécessaire de conserver des copies séparées à la fois dans un coffre-fort de sauvegarde standard et dans un coffre-fort à espacement logique, ce qui réduit les coûts et simplifie les flux de travail tout en préservant les avantages de sécurité liés à l'espacement logique.

Vous pouvez attribuer un coffre-fort logiquement isolé comme cible principale dans les plans de sauvegarde, les politiques à l'échelle de l'entreprise ou les sauvegardes à la demande. Auparavant, pour effectuer une sauvegarde dans un coffre-fort à espacement logique, vous deviez d'abord créer une sauvegarde dans un coffre-fort de sauvegarde, puis la copier dans un coffre-fort à espacement logique. Cette fonctionnalité permet, selon le type de ressource, de AWS Backup créer des sauvegardes directement dans votre coffre-fort logiquement espacé ou de gérer automatiquement des sauvegardes temporaires qui sont copiées dans votre coffre-fort logiquement espacé puis supprimées.

Le comportement dépend de deux facteurs :

• Si le type de ressource est pris en charge par un coffre-fort à espacement logique.

• Si le type de ressource prend en charge AWS Backup la gestion complète.

Avertissement

Nous vous recommandons d'intégrer vos coffres-forts à espacement logique avec l'approbation multipartite (MPA) si vous optez pour cette fonctionnalité. Cela permet de récupérer les sauvegardes dans le coffre-fort même si le compte propriétaire du coffre-fort est inaccessible.

Il n'y a pas de nouveau prix pour cette fonctionnalité. Vous êtes uniquement facturé pour les sauvegardes stockées dans des coffres-forts hermétiques et pour les instantanés temporaires (pendant leur période de conservation dans le système) pour les ressources applicables aux tarifs en vigueur. Consultez AWS Backup Tarification pour plus d’informations.

Comment ça marche

Vous pouvez intégrer cette fonctionnalité en mettant à jour votre plan de sauvegarde existant ou en en créant un nouveau et en ajoutant un ARN de coffre-fort logiquement espacé (nom du champ :TargetLogicallyAirGappedBackupVaultArn) comme cible de sauvegarde principale. Vous pouvez effectuer cette opération via la AWS Backup console ou via les commandes de la AWS Backup CLI.

"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",

Lorsque vous spécifiez à la fois un coffre-fort de sauvegarde et un coffre-fort logiquement espacé comme cibles pour vos tâches de sauvegarde, AWS Backup déterminez le flux de travail approprié en fonction du type de ressource et de la configuration de chiffrement.

Ressources prises en charge pour la sauvegarde principale vers des coffres-forts logiquement espacés

Pour consulter la liste complète des ressources prises en charge pour les coffres-forts à espacement logique, consultez la section Disponibilité des fonctionnalités. AWS Backup Toutes les ressources qui prennent en charge les coffres-forts à espacement logique suivent le principe qui consiste à ne conserver qu'une seule copie de votre sauvegarde, plutôt que d'en stocker deux copies distinctes lorsque cette fonctionnalité est utilisée.

Avertissement

Le support des ressources qui ne sont pas actuellement prises en charge pour cette fonctionnalité sera peut-être activé à l'avenir. Lorsque cela se produit, votre ressource nouvellement prise en charge commencera automatiquement à être sauvegardée dans le coffre-fort logiquement isolé en utilisant le flux de travail illustré ci-dessus.

Considérations et limites :

• Même compte et même région uniquement : votre coffre-fort logiquement isolé doit se trouver dans le même AWS compte et dans la même région que vos ressources pour utiliser cette fonctionnalité. Vous ne pouvez pas créer de sauvegardes directement entre comptes ou entre régions. Nous vous recommandons de sauvegarder vos données dans un coffre-fort isolé de manière logique situé dans la même région afin de permettre une restauration plus rapide sans avoir besoin d'une copie. Si vous avez besoin d'une copie de vos données dans une deuxième région à des fins de reprise après sinistre (DR), nous recommandons soit une réplication interrégionale de vos ressources principales pour un basculement rapide, soit des copies des points de restauration entre régions vers un coffre-fort de sauvegarde verrouillé.

• Contraintes liées à l'utilisation de clés AWS gérées — Les ressources ne supportant pas AWS Backup la gestion complète et chiffrées AWS à l'aide de clés gérées (par exempleaws/ebs,aws/rds) ne peuvent pas être copiées dans des coffres-forts séparés de manière logique. Ces ressources doivent être chiffrées à l'aide d'une clé KMS gérée par le client ou ne pas être chiffrées. Les ressources permettant une AWS Backup gestion complète ne sont pas soumises à cette contrainte.

• Fréquence des sauvegardes et copies simultanées : pour les ressources ne permettant pas une AWS Backup gestion complète, assurez-vous que votre fréquence de sauvegarde laisse suffisamment de temps pour que les copies soient effectuées. Si les sauvegardes sont planifiées plus fréquemment que les copies ne peuvent être terminées, les tâches de copie seront mises en file d'attente et risquent d'échouer. Pour obtenir des conseils sur les limites de copies simultanées, consultez la section Quotas.

• Compatibilité avec le cycle de vie : la période de conservation spécifiée dans votre plan de sauvegarde doit être compatible avec les périodes de conservation minimale et maximale configurées pour votre coffre-fort à espacement logique.

• Coffres-forts de sauvegarde verrouillés : si le verrouillage du coffre-fort de sauvegarde cible est activé, les points de restauration temporaires ne peuvent pas être supprimés manuellement et seront conservés jusqu'à ce que la copie soit terminée ou que la période de conservation expire.

• Tests de restauration, indexation et analyse : les tests de restauration, l'indexation des points de restauration et l'analyse des programmes malveillants ignorent les points de restauration temporaires ayant un DELETE_AFTER_COPY cycle de vie. L'indexation des points de restauration ne prend pas en charge les points de récupération dans un coffre-fort logiquement espacé. L'analyse des programmes malveillants ne prend pas en charge les analyses planifiées des points de restauration copiés, y compris les copies automatiques effectuées dans le cadre des sauvegardes principales vers un coffre-fort isolé de manière logique.

Ressources permettant une AWS Backup gestion complète

Certains types de ressources, tels qu'Amazon EFS, Amazon S3, Amazon DynamoDB AWS Backup doté de fonctionnalités avancées, etc., qui prennent en charge la gestion AWS Backup complète, peuvent être sauvegardés directement dans votre coffre-fort logiquement espacé. Aucun point de récupération n'est créé dans votre coffre-fort de sauvegarde et aucune opération de copie n'est requise. Toutes les actions de copie planifiées dans votre plan de sauvegarde utilisent le point de récupération de votre coffre-fort logiquement isolé comme source.

Les ressources qui prennent en charge la sauvegarde continue, telles qu'Amazon S3, peuvent également effectuer une sauvegarde continue directement dans un coffre-fort isolé de manière logique.

Pour obtenir une liste des types de ressources prenant en charge AWS Backup la gestion complète et les coffres-forts à espacement logique, voir Disponibilité des fonctionnalités par ressource dans les colonnes intitulées « Gestion complète » et « Coffre-fort à espacement logique ».

Ressource ne prenant pas en charge AWS Backup la gestion complète

Les ressources telles qu'Amazon EBS/EC2, Amazon Aurora et Amazon FSx ne peuvent pas être sauvegardées directement dans des coffres-forts espacés de manière logique. Pour ces types de ressources, AWS Backup crée un point de restauration temporaire dans votre coffre-fort de sauvegarde, puis le copie automatiquement dans votre coffre-fort isolé de manière logique.

Le point de restauration temporaire possède un paramètre de cycle de vie spécial appeléDELETE_AFTER_COPY. Une fois que la copie vers votre coffre-fort logiquement espacé est terminée avec succès, le point de récupération temporaire est AWS Backup automatiquement supprimé. Toutes les autres actions de copie planifiées de votre plan de sauvegarde démarrent en parallèle avec la copie vers votre coffre-fort logiquement espacé et n'ont aucune incidence sur votre expérience de copie actuelle.

Si la copie vers votre coffre-fort logiquement espacé échoue, le point de restauration temporaire est conservé dans votre coffre-fort de sauvegarde conformément à la période de conservation que vous avez spécifiée. Cela garantit que vous disposez toujours d'un point de restauration utilisable après la fin d'une tâche de sauvegarde. Si le point de récupération est ensuite copié manuellement dans le coffre-fort isolé de manière logique, il est automatiquement nettoyé conformément à la règle. DELETE_AFTER_COPY

Avertissement

Les ressources chiffrées AWS à l'aide de clés gérées (par exemple,aws/ebs) ne sont pas prises en charge pour la copie vers des coffres-forts logiquement espacés. Ces ressources doivent être chiffrées à l'aide d'une clé gérée par le AWS Key Management Service client ou non chiffrées. Les ressources permettant une AWS Backup gestion complète ne sont pas soumises à cette contrainte.

Supprimer après le cycle de vie de la copie

Les points de restauration temporaires ont un nouvel attribut de cycle de vie appelé DeleteAfterEvent avec une valeur deDELETE_AFTER_COPY. Cet attribut indique que le point de récupération sera automatiquement supprimé une fois toutes les tâches de copie terminées ou après la période de conservation que vous avez spécifiée, selon la première éventualité.

Un point de récupération temporaire est supprimé lorsque toutes les conditions suivantes sont réunies :

• Toutes les tâches de copie automatiques et planifiées sont terminées.

• Une tâche de copie est terminée vers votre coffre-fort cible logiquement espacé avec une période de conservation au moins aussi longue que le point de récupération de la source.

Si vous devez empêcher la suppression manuelle du point de restauration temporaire pendant que les copies sont en cours, envisagez d'utiliser un coffre-fort de sauvegarde verrouillé comme coffre-fort de sauvegarde cible.

Sauvegarde continue pour les ressources ne prenant pas en charge AWS Backup la gestion complète

Pour les ressources telles qu'Amazon Aurora, si vous activez la sauvegarde continue, si vous AWS Backup créez un point de restauration continu dans votre coffre-fort de sauvegarde et que vous prenez un instantané temporaire qui est copié dans votre coffre-fort à espacement logique. L'instantané temporaire est toujours supprimé une fois la copie terminée, que la copie soit réussie ou non, car vous conservez un point de restauration continu dans votre coffre-fort de sauvegarde.

Si vous ne souhaitez pas créer de point de restauration continue pour Amazon Aurora dans votre coffre-fort de sauvegarde, mais souhaitez un point de restauration continu pour Amazon S3 dans votre coffre-fort isolé de manière logique, vous pouvez désactiver le paramètre de sauvegarde continue (EnableContinuousBackup) dans le plan actuel et activer S3 Continuous à partir d'un autre plan.

Pour en savoir plus sur le stockage de sauvegarde Aurora, consultez Comprendre l'utilisation du stockage de sauvegarde Amazon Aurora.

Ressources non prises en charge

Si un type de ressource n'est pas pris en charge par des coffres-forts séparés de manière logique, ou si une ressource non entièrement gérée est chiffrée à l'aide d'une clé AWS gérée, AWS Backup crée la sauvegarde uniquement dans votre coffre-fort de sauvegarde. Aucune copie vers votre coffre-fort logiquement espacé n'est tentée. La tâche de sauvegarde s'achève correctement avec un message indiquant pourquoi la sauvegarde n'a pas été transférée dans votre coffre-fort logiquement espacé.

Considérations de coût

• Cette fonctionnalité n'entraîne pas de nouveaux frais. Vous ne payez que pour le stockage dans vos coffres-forts.

• Pour les ressources permettant une AWS Backup gestion complète, la conservation des sauvegardes uniquement dans votre coffre-fort à espacement logique peut entraîner des économies importantes par rapport à la conservation de deux copies de sauvegarde à la fois dans un coffre-fort de sauvegarde et dans un coffre-fort à espacement logique.

• Pour les ressources ne permettant pas une AWS Backup gestion complète, vous êtes facturé à la fois pour le point de restauration temporaire dans votre coffre-fort de sauvegarde et pour les points de restauration dans votre coffre-fort à espacement logique.

  • Vous pouvez toujours réaliser d'importantes économies en conservant une seule copie de sauvegarde, mais ces économies peuvent varier en fonction de la fréquence des sauvegardes et du taux de modification.

  • Des fréquences de sauvegarde plus faibles permettent généralement de réaliser des économies plus importantes, car les points de restauration temporaires occupent le stockage pendant un pourcentage plus court de votre période de facturation.

  • Certaines ressources ont des durées de facturation minimales, ce qui augmente les coûts liés aux points de récupération temporaires.

• Désactivez les balises ou la récupération de ACLs métadonnées dans votre configuration de sauvegarde si vous n'utilisez pas ces fonctionnalités S3. Cela permet de réduire les appels d'API et les frais associés pour les vérifications de métadonnées lors des opérations de copie.

Configuration de la sauvegarde principale du coffre-fort ventilé de manière logique

Vous pouvez configurer une sauvegarde principale du coffre-fort logiquement espacée par le biais de la AWS Backup console, de ou AWS Organizations des AWS CLI politiques AWS CloudFormation de sauvegarde.

Configuration d'un plan de sauvegarde

Console

Pour configurer une sauvegarde principale du coffre-fort à espacement logique pour un plan de sauvegarde

1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

2. Dans le volet de navigation, choisissez Backup plans, puis Create backup plan ou sélectionnez un plan de sauvegarde existant à modifier.

3. Dans la section Configuration des règles de sauvegarde, spécifiez les paramètres de vos règles de sauvegarde.

4. Pour Backup Vault, choisissez le coffre-fort de sauvegarde dans lequel les points de restauration temporaires seront stockés (pour les ressources non entièrement gérées) ou où les sauvegardes seront stockées si elles ne peuvent pas être placées dans votre coffre-fort logiquement isolé.

5. Pour le coffre-fort à espacement logique (facultatif), choisissez le coffre-fort à espacement logique dans lequel vous souhaitez stocker vos sauvegardes.

   Note

   Le coffre-fort logiquement isolé doit se trouver dans le même compte et dans la même région que votre coffre-fort de sauvegarde.

6. Configurez les autres paramètres des règles de sauvegarde, y compris les options de cycle de vie et de copie.

7. Choisissez Créer un plan ou Enregistrer les modifications.

AWS CLI

Utilisez la commande CLI create-backup-planpour créer un nouveau plan ou update-backup-planpour mettre à jour un plan existant, et incluez le TargetLogicallyAirGappedBackupVaultArn paramètre dans votre règle de sauvegarde.

Exemple de commande CLI pour créer un plan de sauvegarde à l'aide d'un document JSON :

aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json

Exemple de commande CLI pour créer un plan de sauvegarde directement dans la CLI :

aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'

Configuration de la sauvegarde à la demande

Console

Pour configurer une sauvegarde principale du coffre-fort à espacement logique pour une sauvegarde à la demande

1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

2. Dans le panneau de navigation, choisissez Protected resources (Ressources protégées).

3. Sur la page Ressources protégées, choisissez Créer une sauvegarde à la demande.

4. Sélectionnez le type de ressource et l'ARN de ressource que vous souhaitez sauvegarder.

5. Pour Backup vault, choisissez le coffre de sauvegarde.

6. Pour le coffre-fort à espacement logique (facultatif), choisissez le coffre-fort à espace d'air logique dans lequel vous souhaitez stocker la sauvegarde.

7. Configurez les autres paramètres et choisissez Créer une sauvegarde à la demande.

AWS CLI

Utilisez la start-backup-job commande avec le nouveau --logically-air-gapped-backup-vault-arn paramètre :

aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35

Surveillez de manière logique la sauvegarde principale du coffre-fort ventilé

Vous pouvez surveiller l'état de vos sauvegardes et de vos tâches de copie à l'aide de la AWS Backup console ou EventBridge des événements Amazon. AWS CLI

Surveiller les tâches de sauvegarde

Surveillez l'état des tâches de sauvegarde (DescribeBackupJob) pour vous assurer que vos ressources restent protégées. L'échec d'une tâche de sauvegarde indique qu'aucun point de restauration n'a été créé.

• Vérifiez l'emplacement de création du point de récupération : lorsqu'une tâche de sauvegarde est terminée avec succès, vous disposez d'un point de restauration dans votre coffre-fort de sauvegarde cible ou dans votre coffre-fort cible logiquement séparé. Vérifiez le BackupVaultArn champ pour déterminer où le point de récupération a été créé.

• Vérifier l'état de la tâche : si une ressource n'est pas prise en charge par des coffres-forts espacés de manière logique, la tâche de sauvegarde se termine par un « MessageCategory de » LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED et un message d'état expliquant pourquoi la sauvegarde a plutôt été créée dans votre coffre-fort de sauvegarde.

• Vérifier le type de point de récupération temporaire : pour vérifier si un point de récupération est temporaire, recherchez le RecoveryPointLifecycle.DeleteAfterEvent champ dont la valeur est deDELETE_AFTER_COPY.

Surveiller les tâches de copie

Surveillez les tâches de copie (ListCopyJobs) vers votre coffre-fort hermétique de manière logique pour détecter les défaillances. En cas d'échec d'une tâche de copie, votre point de restauration reste dans votre coffre-fort de sauvegarde standard, sans protection logique du coffre-fort.

• Vérifier l'état de la tâche de copie : vous pouvez surveiller l'état de la tâche de copie à l'aide de l'Copy Job State Change EventBridge événement existant. Vous pouvez éventuellement filtrer sur le coffre-fort de destination (destinationBackupVaultArn) pour vous concentrer sur les copies du coffre-fort espacées de manière logique.

• Vérifier les copies pour un point de récupération source : utilisez l'ListCopyJobsAPI avec le nouveau BySourceRecoveryPointArn filtre pour rechercher toutes les tâches de copie associées à un point de récupération spécifique, y compris les copies automatiques vers votre coffre-fort logiquement espacé et les copies planifiées vers d'autres destinations.

• Vérifier la suppression du point de récupération temporaire : suivre l'achèvement de la suppression du point de récupération temporaire. Si l'état de la tâche de copie est RUNNING défini, le point de récupération n'a pas encore été supprimé. Si la copie se trouve dans votre coffre-fort logiquement espacéFAILED, le point de récupération sera conservé pendant la période de conservation que vous avez spécifiée.

Note

Les enregistrements des tâches de copie expirent et sont supprimés 30 jours après leur fin. Après cette période, vous ne pourrez plus l'utiliser ListCopyJobs pour déterminer le statut historique de la copie.

Surveiller le point de récupération

Surveillez les points de EXPIRED récupération (ListRecoveryPointsByBackupVault), ce qui peut indiquer que vous n'avez pas AWS Backup pu les supprimer (peut-être en raison d'autorisations manquantes). EXPIREDles points de récupération peuvent avoir des répercussions financières.

• Vérifier l'état du point de récupération : utilisez l' EventBridge événement de changement d'état du point de restauration existant pour surveiller les expirations.

• Vérifier la suppression du point de récupération temporaire : si un point de récupération n'DeleteAfterEvent: DELETE_AFTER_COPYa pas été supprimé, utilisez l'ListCopyJobsAPI pour en déterminer la raison, comme indiqué ci-dessus.

Intégration et migration

Si vous utilisez actuellement des actions de copie pour copier des sauvegardes vers un coffre-fort à espacement logique, vous pouvez migrer vers une sauvegarde principale du coffre-fort à espacement logique afin de réduire les coûts. Vous pouvez également migrer vos sauvegardes continues Amazon S3 existantes d'un coffre-fort de sauvegarde vers un coffre-fort à espacement logique. Ce guide explique les conditions préalables et les étapes requises pour migrer vers la fonction de sauvegarde principale du coffre-fort logiquement espacé.

Conditions préalables et meilleures pratiques

Avant de pouvoir utiliser efficacement la fonction de sauvegarde principale du coffre-fort logiquement espacé, il existe des conditions préalables et des meilleures pratiques recommandées.

Conditions préalables

À l'heure actuelle, un coffre-fort isolé logiquement utilisé comme cible de sauvegarde principale ne prend en charge que les sauvegardes effectuées au sein du même AWS compte et de la même AWS région que vos ressources de sauvegarde. Logiquement, les sauvegardes des coffres-forts sont stockées dans des comptes de service distincts, ce qui permet de les isoler entre comptes et entre organisations sans qu'il soit nécessaire de les copier sur des comptes distincts. Si vous avez besoin de sauvegardes interrégionales, continuez à utiliser le coffre-fort isolé de manière logique comme destination de copie. Avant de migrer vers cette fonctionnalité, assurez-vous de répondre aux exigences suivantes :

• Exigences relatives à la région et au compte

  • Votre coffre hermétique doit se trouver dans le même AWS compte et dans la même région que vos ressources

• Compatibilité des ressources

  • Vérifiez que vos ressources sont prises en charge par des coffres-forts espacés de manière logique dans Disponibilité des fonctionnalités par ressource.

  • Vérifiez si vos ressources prennent en charge AWS Backup la gestion complète ou non. L'expérience de création de sauvegardes séparées diffère entre ces deux types de ressources, même si le résultat est similaire pour les deux.

• Exigences en matière de chiffrement

  • Les ressources qui ne prennent pas en charge AWS Backup la gestion complète doivent être déchiffrées ou chiffrées à l'aide de clés gérées par le client (CMKs). AWS Les ressources chiffrées par clé gérée (AMK) ne sont pas prises en charge par un coffre-fort logiquement espacé.

Bonnes pratiques

• Commencez par une migration pilote de ressources non critiques.

• Vérifiez et ajustez les fréquences de sauvegarde en fonction des performances des tâches de copie.

• Mettez en œuvre une surveillance complète avant la migration complète.

• Vérifiez régulièrement la création de points de récupération dans les coffres-forts prévus.

Planification de votre migration

• Passez en revue les plans et politiques de sauvegarde existants.

• Identifiez les ressources qui prennent en charge AWS Backup la gestion complète et celles qui ne le sont pas.

  • Ressources prenant en charge AWS Backup la gestion complète (par exemple, EFS, S3) : peuvent être sauvegardées directement dans un coffre-fort à espacement logique

  • Ressources ne prenant pas en charge AWS Backup la gestion complète (par exemple EC2, EBS, FSx) : nécessitent une sauvegarde temporaire dans un coffre-fort de sauvegarde avant d'être copiées dans un coffre-fort à espacement logique

• Passez en revue votre volume et votre fréquence de sauvegarde actuels et assurez-vous que votre configuration est conforme aux limites de copies simultanées pour toutes les ressources ne permettant pas une AWS Backup gestion complète.

  • Ignorez cette étape si vous effectuez déjà des copies vers un coffre-fort isolé de manière logique à la même fréquence que les sauvegardes de votre coffre-fort standard.

  • Envisagez d'ajuster la fréquence des sauvegardes, si nécessaire, pour éviter la mise en file d'attente des tâches de copie.

  • En cas de mise en file d'attente des tâches de copie, vous disposerez toujours d'un point de restauration utilisable dans votre coffre-fort de sauvegarde standard en attendant que la copie soit terminée dans votre coffre-fort logiquement espacé. Cependant, ce point de récupération ne fournira pas le niveau de protection qu'offre le coffre-fort Logically Airgapped.

Ressources soutenant le processus de migration AWS Backup de la gestion complète

Pour des ressources entièrement gérées, vous pouvez effectuer des sauvegardes directement dans votre coffre-fort isolé de manière logique sans avoir à effectuer d'opérations de copie.

Pour les sauvegardes basées sur des instantanés

Ce processus s'applique à tous les scénarios de capture instantanée, que votre coffre-fort de sauvegarde soit verrouillé ou non. Lors de la migration d'un plan de sauvegarde existant ou de l'utilisation d'un coffre-fort de sauvegarde existant (principal) et d'un coffre-fort logiquement espacé (copie) dans un nouveau plan de sauvegarde :

1. Conservez votre coffre-fort de sauvegarde existant ou ajoutez-le comme cible de sauvegarde (TargetBackupVaultName). Ce coffre-fort ne stockera aucune sauvegarde mais doit être fourni pour des raisons de rétrocompatibilité.

2. Mettez à jour votre plan de sauvegarde pour inclure le coffre-fort logiquement isolé (TargetLogicallyAirGappedBackupVaultArn), existant dans le même compte, en tant que cible principale.

3. Passez en revue toute action de copie existante vers un autre coffre-fort logiquement espacé pour déterminer si elle est toujours nécessaire. Vous pouvez également déplacer ce coffre en tant que cible principale à l'étape 2 s'il se trouve dans le même compte.

Pour les sauvegardes continues d'Amazon S3

Le coffre-fort isolé de manière logique en tant que cible de sauvegarde principale prend en charge la sauvegarde continue pour Amazon S3. Toutefois, vous ne pouvez conserver qu'un seul point de restauration continue actif par ressource dans un seul coffre. Si vous disposez d'un point de restauration continue Amazon S3 actif, vous devez le dissocier ou le supprimer avant d'en créer un nouveau dans un autre coffre-fort. L'ajout d'une cible de coffre-fort isolée de manière logique (provenant du même compte) à votre plan de sauvegarde, avec un point de restauration continue Amazon S3 actif existant, entraînera l'échec de la tâche de sauvegarde continue.

Pour migrer votre point de restauration continue Amazon S3 vers votre coffre-fort isolé de manière logique à partir d'un coffre-fort de sauvegarde déverrouillé :

1. Mettez à jour votre plan de sauvegarde pour ajouter une action de copie à votre coffre-fort logiquement isolé. Cela réduira le coût de génération de la sauvegarde initiale dans votre coffre-fort logiquement isolé. Ignorez cette étape si vous effectuez déjà une copie dans votre coffre-fort local logiquement espacé.

2. Vérifiez qu'au moins une copie instantanée est terminée correctement dans votre coffre-fort logiquement espacé avant de continuer.

3. Dissociez le point de restauration continue Amazon S3 existant. Appelez l'DisassociateRecoveryPointAPI pour modifier le statut du point de récupération de AVAILABLE à STOPPÉ. Cette action préserve vos données de sauvegarde existantes tout en empêchant l'ajout de nouvelles données.

4. Mettez à jour le plan de sauvegarde pour ajouter un coffre-fort logiquement espacé (TargetLogicallyAirGappedBackupVaultArn) comme cible de sauvegarde.

5. Supprimez toutes les actions de copie précédentes du plan.

6. Lors de la prochaine exécution du plan de sauvegarde, un nouveau point de restauration continue sera créé dans votre coffre-fort logiquement isolé. Ce point de restauration sera incrémentiel, en fonction du cliché copié à l'étape 1.

Pour migrer votre point de restauration continue Amazon S3 vers votre coffre-fort isolé de manière logique à partir d'un coffre-fort de sauvegarde verrouillé :

1. Mettez à jour votre plan de sauvegarde pour ajouter une action de copie à votre coffre-fort logiquement isolé. Cela réduira le coût de génération de la sauvegarde initiale dans votre coffre-fort logiquement isolé. Ignorez cette étape si vous effectuez déjà une copie dans votre coffre-fort local logiquement espacé.

2. Vérifiez qu'au moins une copie instantanée est terminée correctement dans votre coffre-fort logiquement espacé avant de continuer. Assurez-vous que le cliché copié est conservé pendant une période suffisamment longue pour rester disponible jusqu'à ce que vous ayez terminé toutes les étapes.

3. Ajoutez le coffre logiquement espacé comme cible principale et supprimez toute action de copie.

   1. Cette étape est nécessaire car les coffres-forts verrouillés ne prennent pas en charge la dissociation des points de restauration continue.

   2. Votre point de restauration continue existant dans le coffre de sauvegarde verrouillé continuera à accumuler des données jusqu'à leur expiration conformément à leur cycle de vie.

   3. Les nouvelles tâches de sauvegarde en continu échoueront car il ne peut exister qu'un seul point de restauration continue actif par ressource. Étant donné que ces tâches échouent, aucune action de copie ne sera exécutée.

4. Attendez que le point de restauration continue existant expire. Après expiration, un nouveau point de restauration continue sera créé dans le coffre hermétiquement fermé. Ce point de restauration sera incrémentiel en fonction de l'instantané copié à partir de l'étape 1, à condition que le cliché existe toujours dans votre coffre-fort isolé de manière logique.

5. Toutes les données accumulées dans votre coffre-fort standard seront perdues à leur expiration. Seules les données sauvegardées après la création du nouveau point de restauration dans le coffre logiquement aéré seront conservées.

Ressources ne prenant pas en charge le processus AWS Backup de migration de gestion complet

Les ressources qui ne sont pas entièrement gérées nécessitent une opération de copie vers le coffre-fort logiquement espacé. Le processus crée un point de récupération temporaire (facturable) dans votre coffre-fort de sauvegarde standard, qui est automatiquement copié dans votre coffre-fort isolé de manière logique, puis supprimé une fois la copie terminée. Lorsque vous mettez à jour votre plan de sauvegarde pour inclure une cible de coffre-fort logiquement isolée :

• Les tâches de sauvegarde créeront un point de restauration dans votre coffre de sauvegarde. Cela a un cycle de vie dicté par l'DELETE_AFTER_COPYévénement.

• Une tâche de copie initie automatiquement le transfert du point de récupération vers votre coffre-fort isolé de manière logique.

• Une fois la copie terminée avec succès, le point de récupération temporaire de votre coffre-fort est supprimé.

• Si la copie échoue, le point de récupération temporaire est conservé pendant une durée maximale en fonction de la période de conservation que vous avez spécifiée, ce qui garantit que vous disposez d'un point de récupération utilisable.

Résolution des problèmes

La tâche de sauvegarde ou de copie échoue en raison d'une erreur d'incompatibilité du cycle de vie

Erreur pour les tâches de sauvegarde : Backup job failed because the lifecycle is outside the valid range for backup vault.

Erreur pour les tâches de copie : Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.

Cause possible : les tâches de sauvegarde ou de copie échouent car la période de conservation est incompatible avec les paramètres de rétention minimaux ou maximaux du coffre-fort logiquement espacé.

Solution : mettez à jour votre plan de sauvegarde pour spécifier une période de conservation comprise entre les périodes de rétention minimale et maximale configurées pour votre coffre-fort isolé de manière logique.

Les tâches de sauvegarde continue échouent lorsque « la sauvegarde continue est déjà activée »

Erreur : Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.

Cause possible : les tâches de sauvegarde en continu échouent car il existe déjà un point de restauration continue pour la ressource dans un autre coffre.

Solution : Chaque ressource ne peut avoir qu'un seul point de restauration continue. Si votre coffre-fort de sauvegarde est déverrouillé, dissociez le point de restauration continue existant à l'aide de la disassociate-recovery-pointcommande. Si votre coffre-fort de sauvegarde est verrouillé, attendez que le point de restauration continue existant expire conformément à son cycle de vie.

La tâche de sauvegarde se termine avec le message « Complété avec des problèmes » - Type de ressource non pris en charge

Message : Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.

Cause possible : les tâches de sauvegarde pour les ressources non prises en charge et non entièrement gérées affichent le message « Terminé avec des problèmes » avec un message indiquant que la ressource n'est pas prise en charge.

Solution : les types de ressources qui ne sont pas pris en charge seront uniquement sauvegardés dans le coffre de sauvegarde. Si vous souhaitez conserver ces sauvegardes dans votre coffre-fort de sauvegarde, aucune action n'est requise. Si vous préférez ne pas mélanger des ressources non prises en charge à votre coffre-fort logiquement isolé, vous pouvez :

• Supprimez la ressource ou la cible du coffre-fort logiquement espacé de votre plan de sauvegarde pour ces ressources et continuez à sauvegarder uniquement dans votre coffre-fort de sauvegarde. Vous pouvez ensuite ajouter la ressource dans le cadre d'un autre plan.

La tâche de sauvegarde s'achève avec le message « Complété avec des problèmes » - Clé de chiffrement non prise en charge

Message : Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.

Cause possible : les tâches de sauvegarde pour les ressources non prises en charge et non entièrement gérées affichent le message « Terminé avec des problèmes » avec un message indiquant que la ressource est cryptée à l'aide d'une clé AWS gérée.

Résolution : Les ressources non entièrement gérées chiffrées à l'aide de clés AWS gérées ne peuvent pas être copiées dans des coffres-forts séparés de manière logique. Si vous souhaitez conserver ces sauvegardes dans votre coffre-fort de sauvegarde, aucune action n'est requise. Si vous préférez ne pas mélanger des ressources non prises en charge à votre coffre-fort logiquement isolé, vous pouvez :

• Chiffrez à nouveau vos ressources avec une clé KMS gérée par le client, ou

• Supprimez la ressource ou la cible du coffre-fort logiquement espacé de votre plan de sauvegarde pour ces ressources et continuez à sauvegarder uniquement dans votre coffre-fort de sauvegarde. Vous pouvez ensuite ajouter la ressource dans le cadre d'un autre plan.

Les points de récupération restent en EXPIRED état

Cause possible : les points de restauration temporaires passent à EXPIRED l'état mais ne sont pas supprimés.

Résolution : AWS Backup il se peut que les autorisations nécessaires pour supprimer les points de récupération ne soient pas disponibles. Vérifiez que votre rôle de sauvegarde dispose des autorisations IAM nécessaires. Vous devrez peut-être supprimer manuellement les points expired de récupération.

Les tâches de copie sont mises en file d'attente ou échouent en raison d'une fréquence de sauvegarde élevée

Cause possible : les tâches de copie vers des coffres-forts à espacement logique sont mises en file d'attente ou échouent car les sauvegardes sont planifiées plus fréquemment que les copies ne peuvent être effectuées.

Solution : Réduisez la fréquence de vos sauvegardes ou ajustez votre calendrier de sauvegarde pour laisser plus de temps entre les sauvegardes. Consultez la documentation sur AWS Backup les quotas pour plus d'informations sur les limites de copies simultanées.