Coffre hermétique logiquement

Vue d'ensemble des coffres-forts à espacement d'air logique

AWS Backup propose un type de coffre-fort secondaire qui permet de stocker des copies de sauvegardes dans un conteneur doté de fonctionnalités de sécurité supplémentaires. Un coffre-fort logiquement isolé est un coffre-fort spécialisé qui offre une sécurité accrue par rapport à un coffre-fort de sauvegarde standard, ainsi que la possibilité de partager l'accès au coffre-fort avec d'autres comptes afin que les objectifs de temps de restauration (RTOs) puissent être plus rapides et plus flexibles en cas d'incident nécessitant une restauration rapide des ressources.

Les coffres-forts hermétiques sont dotés de fonctionnalités de protection supplémentaires ; chaque coffre-fort est chiffré à l'aide d'une AWS clé personnelle, et chaque coffre-fort est équipé du mode de conformité de AWS Backup Vault Lock.

Vous pouvez choisir d'intégrer AWS Resource Access Manager(RAM) pour partager un coffre-fort logiquement isolé avec d'autres AWS comptes (y compris les comptes d'autres organisations) afin que les sauvegardes stockées dans le coffre-fort puissent être restaurées à partir d'un compte avec lequel le coffre-fort est partagé, si nécessaire pour la récupération des données perdues ou les tests de restauration.

Vous pouvez consulter les tarifs de stockage pour les sauvegardes des services pris en charge dans un coffre-fort isolé de manière logique sur la AWS Backup page de tarification.

Consultez Disponibilité des fonctionnalités par ressource les types de ressources que vous pouvez copier dans un coffre-fort isolé de manière logique.

Cas d'utilisation pour les coffres-forts à espacement logique

Un coffre-fort à isolation logique est un coffre-fort secondaire qui fait partie d'une stratégie de protection des données. Ce coffre-fort peut aider à améliorer la stratégie de rétention et de restauration de votre entreprise lorsque vous souhaitez un coffre-fort pour vos sauvegardes qui

• Est automatiquement configuré avec un verrou de coffre-fort en mode de conformité

• Livré crypté avec une AWS clé personnelle

• Contient des sauvegardes qui, via AWS RAM, peuvent être partagées et restaurées à partir d'un compte différent de celui qui a créé la sauvegarde

Considérations et restrictions

• La copie entre régions vers ou depuis un coffre-fort logiquement espacé n'est actuellement pas disponible pour les sauvegardes contenant Amazon Aurora, Amazon DocumentDB et Amazon Neptune.

• Une sauvegarde contenant un ou plusieurs EBS volumes Amazon copiés dans un coffre-fort logiquement espacé doit être inférieure à 16 To ; les sauvegardes de plus grande taille pour ce type de ressource ne sont pas prises en charge.

• La prise en charge par Amazon S3 des coffres-forts à espacement logique n'est disponible que dans les régions qui ne nécessitent pas d'inscription.

• Le ARN (Amazon Resource Name) d'un point de récupération stocké dans un coffre-fort logiquement isolé remplacera le type backup de ressource sous-jacent. Par exemple, si l'original ARN commence pararn:aws:ec2:region::image/ami-*, le point ARN de récupération dans le coffre logiquement espacé sera. arn:aws:backup:region:account-id:recovery-point:*

  Vous pouvez utiliser la CLI commande list-recovery-points-by-backup-vaultpour déterminer leARN.

Comparaison et contraste avec un coffre-fort de sauvegarde standard

Un coffre-fort de sauvegarde est le type de coffre-fort principal et standard utilisé dans AWS Backup. Chaque sauvegarde est stockée dans un coffre-fort de sauvegarde lors de sa création. Vous pouvez attribuer des politiques basées sur les ressources pour gérer les sauvegardes stockées dans le coffre-fort, telles que le cycle de vie des sauvegardes stockées dans le coffre-fort.

Un coffre-fort logiquement isolé est un coffre-fort spécialisé offrant une sécurité supplémentaire et un partage flexible pour un temps de restauration plus rapide (). RTO Ce coffre-fort stocke des copies des sauvegardes initialement créées et stockées dans un coffre-fort de sauvegarde standard.

Les coffres-forts de sauvegarde peuvent être chiffrés à l'aide d'une clé, un mécanisme de sécurité qui limite l'accès aux utilisateurs visés. Ces clés peuvent être gérées par le client ou AWS gérées. En outre, un coffre-fort de sauvegarde peut être doté d'une sécurité supplémentaire grâce à un verrou de coffre-fort ; de manière logique, les coffres-forts ventilés sont équipés d'un verrou de coffre-fort en mode conformité.

Pour les types de ressources entièrement gérés par AWS Backup, une sauvegarde ne peut pas être copiée dans un coffre-fort isolé de manière logique si la AWS KMS clé n'a pas été modifiée manuellement ou définie comme KMS clé au moment de la création de la ressource initiale.

Fonctionnalité	Coffre-fort de sauvegarde	Coffre hermétique logiquement
AWS Backup Audit Manager	Vous pouvez utiliser AWS Backup Audit Manager Contrôles et mesures correctives pour surveiller vos coffres-forts de sauvegarde.	Assurez-vous qu'une copie d'une sauvegarde d'une ressource spécifique a été copiée dans au moins un coffre-fort logiquement espacé selon un calendrier que vous déterminez, en plus des contrôles disponibles pour les coffres-forts standard.
Création d'une sauvegarde	Lorsqu'une sauvegarde est créée, elle est stockée en tant que point de restauration.	Les sauvegardes ne sont pas stockées dans ce coffre lors de leur création.
Stockage d'une sauvegarde	Peut stocker les sauvegardes initiales des ressources et les copies des sauvegardes	Peut stocker des copies de sauvegardes provenant d'autres coffres-forts
Facturation	Les frais de stockage et de transfert de données pour les ressources entièrement gérées AWS Backup par sont indiqués sous « AWS Backup ». Des frais de stockage et de transfert de données pour d'autres types de ressources seront facturés dans le cadre de leurs services respectifs. Par exemple, les EBS sauvegardes Amazon apparaîtront sous EBS « Amazon » ; les sauvegardes Amazon S3 apparaîtront sous « AWS Backup ».	Tous les frais de facturation liés à ces coffres-forts (stockage ou transfert de données) sont indiqués sous « AWS Backup ».
Régions	Disponible dans toutes les régions dans lesquelles AWS Backup elle opère	Disponible dans la plupart des régions prises en charge par AWS Backup. Non disponible actuellement au Canada Ouest (Calgary), en Chine (Pékin), en Chine (Ningxia), AWS GovCloud (USA Est) ou AWS GovCloud (USA Ouest).
Ressources	Peut stocker des copies de sauvegarde pour la plupart des types de ressources qui prennent en charge la copie entre comptes.	Les copies de FSx sauvegarde Amazon RDS et Amazon ne peuvent actuellement pas être stockées dans ces coffres-forts.
Restaurer	Les sauvegardes peuvent être restaurées par le même compte auquel appartient le coffre-fort.	Les sauvegardes peuvent être restaurées par un compte différent de celui auquel appartient le coffre-fort si celui-ci est partagé avec ce compte distinct.
Sécurité	(Facultatif) Peut être chiffré avec une clé (gérée par le client ou par AWS ) Peut éventuellement utiliser un verrou de coffre-fort en mode conformité ou gouvernance	Est chiffré à l'aide d'une cléAWS détenue Est toujours verrouillé à l'aide d'un verrouillage de coffre-fort en mode conformité
Partage	L'accès peut être géré via des politiques et AWS Organizations Non compatible avec AWS RAM	(Facultatif) Peut être partagé entre comptes avec AWS RAM

Créez un coffre hermétique de manière logique

Vous pouvez créer un coffre hermétique de manière logique via la AWS Backup console ou en combinant les commandes et. AWS Backup AWS RAM CLI

Chaque appareil logiquement ventilé est équipé d'un verrou de coffre-fort en mode conformité. Consultez AWS Backup Verrou de coffre-fort pour vous aider à déterminer les valeurs de période de conservation les plus adaptées à votre activité

Console

Création d'un coffre-fort à isolation logique à partir de la console

1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

2. Dans le volet de navigation, sélectionnez Coffres-forts.

3. Les deux types de coffres-forts s'affichent. Sélectionnez Créer un nouveau coffre-fort.

4. Saisissez un nom pour votre coffre-fort de sauvegarde. Le nom de votre coffre-fort peut refléter ce que vous allez y stocker, ou faciliter la recherche des sauvegardes dont vous avez besoin. Vous pouvez par exemple nommer le coffre-fort FinancialBackups.

5. Sélectionnez le bouton radio pour Logic AirGapped Vault.

6. Définissez la Période de conservation minimale.

   Cette valeur (en jours, mois ou années) correspond à la durée la plus courte pendant laquelle une sauvegarde peut être conservée dans ce coffre-fort. Les sauvegardes dont la période de rétention est inférieure à cette valeur ne peuvent pas être copiées dans ce coffre-fort.

   La valeur minimale autorisée est de 7 jours. Les valeurs pour les mois et les années respectent ce minimum.

7. Définissez la Période de conservation maximale.

   Cette valeur (en jours, mois ou années) correspond à la durée la plus longue pendant laquelle une sauvegarde peut être conservée dans ce coffre-fort. Les sauvegardes dont la période de rétention est supérieure à cette valeur ne peuvent pas être copiées dans ce coffre-fort.

8. (Facultatif) Ajoutez des balises qui vous aideront à rechercher et à identifier votre coffre-fort à isolation logique. Par exemple, vous pouvez ajouter une balise BackupType:Financial.

9. Sélectionnez Créer un verrouillage de coffre.

10. Passez en revue les paramètres. Si tous les paramètres s'affichent comme prévu, sélectionnez Créer un coffre-fort logiquement isolé.

11. La console vous redirigera vers la page de détails de votre nouveau coffre-fort. Vérifiez que les détails du coffre-fort sont conformes aux attentes.

12. Sélectionnez Coffres-forts pour afficher les coffres-forts de votre compte. Votre coffre hermétique sera affiché de manière logique. La KMS clé sera disponible environ 1 à 3 minutes après la création du coffre. Actualisez la page pour voir la clé associée. Une fois que la clé est visible, le coffre est disponible et peut être utilisé.

AWS CLI

Créez un coffre hermétique logiquement à partir de CLI

Vous pouvez l'utiliser AWS CLI pour effectuer des opérations de manière programmatique pour des coffres-forts à espacement logique. Chacune CLI est spécifique au AWS service dont elle provient. Les commandes liées au partage sont précédées par aws ram ; toutes les autres commandes doivent être précédées par aws backup.

Utilisez la CLI commande create-logically-air-gapped-backup-vault, modifiée avec les paramètres suivants :

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

Exemple de CLI commande pour créer un coffre-fort isolé de manière logique :

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Voir les éléments de CreateLogicallyAirGappedBackupVault API réponse pour plus d'informations après l'opération de création. Si l'opération est réussie, le nouveau coffre logiquement espacé portera le code de. VaultState CREATING

Une fois la création terminée et la clé KMS cryptée attribuée, la VaultState transition versAVAILABLE. Une fois disponible, le coffre peut être utilisé. VaultStatepeut être récupéré en appelant DescribeBackupVaultou ListBackupVaults.

Afficher les détails des coffres-forts ventilés de manière logique

Vous pouvez consulter les détails du coffre tels que le résumé, les points de récupération, les ressources protégées, le partage de compte, la politique d'accès et les balises via la AWS Backup console ou le AWS Backup CLI.

Console

1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

2. Sélectionnez Coffres-forts dans le panneau de navigation de gauche.

3. Sous les descriptions des coffres-forts figurent deux listes, Coffres-forts appartenant à ce compte et Coffres-forts partagés avec ce compte. Sélectionnez l'onglet souhaité pour afficher les coffres-forts.

4. Sous Nom du coffre-fort, cliquez sur le nom du coffre-fort pour ouvrir la page de détails. Vous pouvez consulter le résumé, les points de récupération, les ressources protégées, le partage de compte, la stratégie d'accès et les détails des balises.

   Les détails s'affichent en fonction du type de compte : les comptes qui possèdent un coffre-fort peuvent consulter le partage des comptes ; les comptes qui ne possèdent pas de coffre-fort ne pourront pas consulter le partage de compte.

AWS CLI

Consultez les détails d'un coffre-fort isolé de manière logique via CLI

La CLI commande describe-backup-vaultpeut être utilisée pour obtenir des informations sur un coffre. Le paramètre backup-vault-name est obligatoire ; region il est facultatif.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Exemple de réponse :

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Copier vers un coffre-fort isolé de manière logique

Les coffres-forts à isolation logique ne peuvent être que la cible de destination d'une tâche de copie dans un plan de sauvegarde ou une cible pour une tâche de copie à la demande.

Chiffrement compatible

Une tâche de copie réussie d'un coffre-fort de sauvegarde vers un coffre-fort logiquement isolé nécessite une clé de chiffrement déterminée par le type de ressource copié.

Lorsque vous copiez une sauvegarde d'un type de ressource entièrement géré, la sauvegarde source dans le (coffre de sauvegarde standard) peut être chiffrée par une clé gérée par le client ou par une clé AWS gérée.

Lorsque vous copiez une sauvegarde d'autres types de ressources (celles qui ne sont pas entièrement gérées), la sauvegarde et la ressource sauvegardée doivent être chiffrées à l'aide d'une clé gérée par le client. AWS les clés gérées pour les types de ressources ne sont pas prises en charge pour les copies.

Copiez vers un coffre-fort isolé de manière logique via un plan de sauvegarde

Vous pouvez copier une sauvegarde (point de restauration) d'un coffre-fort de sauvegarde standard vers un coffre-fort isolé de manière logique en créant un nouveau plan de sauvegarde ou en mettant à jour un plan existant dans la AWS Backup console ou via les AWS CLI commandes et. create-backup-planupdate-backup-plan

Vous pouvez copier une sauvegarde d'un coffre-fort logiquement espacé vers un autre coffre-fort logiquement espacé à la demande (ce type de sauvegarde ne peut pas être planifié dans un plan de sauvegarde). Vous pouvez copier une sauvegarde d'un coffre-fort isolé de manière logique vers un coffre-fort de sauvegarde standard, à condition que la copie soit chiffrée à l'aide d'une clé gérée par le client.

Copie de sauvegarde à la demande vers un coffre-fort isolé de manière logique

Pour créer une copie unique à la demande d'une sauvegarde dans un coffre-fort logiquement isolé, vous pouvez effectuer une copie à partir d'un coffre-fort de sauvegarde standard. Des copies entre régions ou entre comptes sont disponibles si le type de ressource prend en charge le type de copie.

Disponibilité des copies

Une copie d'une sauvegarde peut être créée à partir du compte auquel appartient le coffre-fort. Les comptes avec lesquels le coffre a été partagé ont la possibilité de consulter ou de restaurer une sauvegarde, mais pas d'en créer une copie.

Seuls les types de ressources prenant en charge la copie entre régions ou entre comptes peuvent être inclus.

Console

1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

2. Sélectionnez Coffres-forts dans le panneau de navigation de gauche.

3. Sur la page détaillée du coffre-fort, tous les points de récupération de ce coffre-fort sont affichés. Cochez la case à côté du point de récupération que vous souhaitez copier.

4. Puis sélectionnez Actions et Copier dans le menu déroulant.

5. Sur l'écran suivant, saisissez les détails de la destination.

   1. Spécifiez la région de destination.

   2. Le menu déroulant du coffre-fort de sauvegarde de destination affiche les coffres-forts de destination éligibles. Sélectionnez-en un avec le type logically air-gapped vault

6. Sélectionnez Copier une fois que tous les détails sont définis selon vos préférences.

Sur la page Tâches de la console, vous pouvez sélectionner des tâches de copie pour voir les tâches de copie en cours.

AWS CLI

start-copy-jobÀ utiliser pour copier une sauvegarde existante dans un coffre-fort de sauvegarde vers un coffre-fort isolé de manière logique.

Exemple de CLI saisie :

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Pour plus d'informations, consultez Copie d'une sauvegarde, Sauvegarde entre régions et Sauvegarde entre comptes.

Partagez un coffre-fort isolé de manière logique

Vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager un coffre-fort isolé de manière logique avec les autres comptes que vous désignez.

Un coffre-fort peut être partagé avec un compte de son organisation ou avec un compte d'une autre organisation. Le coffre-fort ne peut pas être partagé avec l'ensemble d'une organisation, mais uniquement avec des comptes au sein de l'organisation.

Seuls les comptes dotés de IAM privilèges spécifiques peuvent partager et gérer le partage de comptes.

Pour partager en utilisant AWS RAM, assurez-vous de disposer des éléments suivants :

• Deux comptes ou plus pouvant accéder AWS Backup

• Le compte propriétaire du coffre-fort qui a l'intention de partager dispose des autorisations nécessaires. RAM L'autorisation ram:CreateResourceShare est nécessaire pour cette procédure. La politique AWSResourceAccessManagerFullAccess contient toutes les autorisations RAM associées nécessaires :

  • backup:DescribeBackupVault

  • backup:DescribeRecoveryPoint

  • backup:GetRecoveryPointRestoreMetadata

  • backup:ListProtectedResourcesByBackupVault

  • backup:ListRecoveryPointsByBackupVault

  • backup:ListTags

  • backup:StartRestoreJob

• Au moins un coffre-fort à isolation logique

Console

1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

2. Sélectionnez Coffres-forts dans le panneau de navigation de gauche.

3. Sous les descriptions des coffres-forts figurent deux listes, Coffres-forts appartenant à ce compte et Coffres-forts partagés avec ce compte. Les coffres-forts appartenant au compte peuvent être partagés.

4. Sous Nom du coffre-fort, cliquez sur le nom du coffre-fort à isolation logique pour ouvrir la page de détails.

5. Le volet Partage de comptes indique avec quels comptes le coffre-fort est partagé.

6. Pour commencer à partager avec un autre compte ou pour modifier des comptes déjà partagés, sélectionnez Gérer le partage.

7. La AWS RAM console s'ouvre lorsque l'option Gérer le partage est sélectionnée. Pour connaître les étapes à suivre pour partager une ressource en utilisant AWS RAM, voir Création d'un partage de ressources AWS RAM dans le Guide de AWS RAM l'utilisateur.

8. Le compte invité à accepter une invitation afin de recevoir un partage dispose de 12 heures pour accepter l'invitation. Consultez la section Acceptation et rejet des invitations de partage de ressources dans le guide de AWS RAM l'utilisateur.

9. Si les étapes de partage sont terminées et acceptées, la page récapitulative du coffre-fort s'affichera sous Partage de compte = « Partagé – voir le tableau de partage de compte ci-dessous ».

AWS CLI

AWS RAM utilise la CLI commandecreate-resource-share. L'accès à cette commande n'est disponible que pour les comptes disposant d'autorisations suffisantes. Reportez-vous à la section Création d'un partage de ressources AWS RAM pour connaître les CLI étapes à suivre.

Les étapes 1 à 4 sont effectuées avec le compte propriétaire du coffre-fort à isolation logique. Les étapes 5 à 8 sont effectuées avec le compte avec lequel le coffre-fort à isolation logique sera partagé.

1. Connectez-vous au compte propriétaire OU demandez à un utilisateur de votre organisation disposant d'informations d'identification suffisantes d'accéder au compte source afin d'effectuer ces étapes.

   1. Si un partage de ressources a déjà été créé et que vous souhaitez y ajouter une ressource supplémentaire, utilisez-le CLI associate-resource-share plutôt avec le ARN nouveau coffre.

2. Récupérez les informations d'identification d'un rôle disposant d'autorisations suffisantes pour les partager viaRAM. Saisissez-les dans le CLI.

   1. L'autorisation ram:CreateResourceShare est nécessaire pour cette procédure. La politique AWSResourceAccessManagerFullAccesscontient toutes les RAM autorisations associées.

3. Utiliser create-resource-share.

   1. Incluez ARN le coffre hermétiquement fermé.

   2. Exemple d'entrée :

      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1

   3. Exemple de sortie :

      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }

4. Copiez le partage de ressources ARN dans la sortie (nécessaire pour les étapes suivantes). Donnez-le ARN à l'opérateur du compte que vous invitez à recevoir le partage.

5. Obtenir le partage des ressources ARN

   1. Si vous n'avez pas effectué les étapes 1 à 4, obtenez-les auprès resourceShareArn de la personne qui l'a fait.

   2. Exemple : arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

6. Dans leCLI, supposons les informations d'identification du compte du destinataire.

7. Recevez une invitation à partager des ressources avec get-resource-share-invitations. Pour plus d'informations, consultez Acceptation et refus des invitations dans le Guide de l'utilisateur AWS RAM .

8. Acceptez l'invitation sur le compte de destination (de récupération).

   1. Utiliser accept-resource-share-invitation (ou également reject-resource-share-invitation).

Vous pouvez utiliser des AWS RAM CLI commandes pour afficher les éléments partagés :

• Ressources que vous avez partagées :

  aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

• Afficher le principal :

  aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

• Ressources partagées par d'autres comptes :

  aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Restaurez une sauvegarde à partir d'un coffre-fort isolé de manière logique

Vous pouvez restaurer une sauvegarde stockée dans un coffre-fort isolé de manière logique à partir du compte propriétaire du coffre-fort ou de tout compte avec lequel le coffre-fort est partagé.

Reportez-vous à la section Restauration d'une sauvegarde pour savoir comment restaurer un point de restauration via la AWS Backup console.

Une fois qu'une sauvegarde a été partagée depuis un coffre-fort logiquement isolé vers votre compte, vous pouvez l'utiliser start-restore-jobpour la restaurer.

Un exemple CLI d'entrée peut inclure la commande et les paramètres suivants :

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Supprimer un coffre-fort isolé de manière logique

Consultez Supprimer un coffre-fort de sauvegarde pour supprimer un coffre-fort. Les coffres-forts ne peuvent pas être supprimés s'ils contiennent encore des sauvegardes (points de récupération). Assurez-vous que le coffre-fort ne contient aucune sauvegarde avant de lancer une opération de suppression.

La suppression d'un coffre-fort entraîne également la suppression de la clé associée au coffre-fort sept jours après sa suppression, conformément à la politique de suppression des clés.

L'exemple de CLI commande suivant delete-backup-vaultpeut être utilisé pour supprimer un coffre.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Options programmatiques supplémentaires pour les coffres-forts à espacement logique

La CLI commande list-backup-vaultspeut être modifiée pour répertorier tous les coffres-forts détenus et présents dans le compte :

aws backup list-backup-vaults
--region us-east-1

Pour répertorier uniquement les coffres-forts à isolation logique, ajoutez le paramètre

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Incluez le paramètre by-shared permettant de filtrer la liste renvoyée des coffres-forts afin d'afficher uniquement les coffres-forts partagés logiquement espacés.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Résoudre un problème lié à un coffre-fort isolé de manière logique

Si vous rencontrez des erreurs au cours de votre flux de travail, consultez les exemples d'erreurs suivants et les solutions suggérées :

AccessDeniedException

Erreur : An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Cause possible : Le paramètre n'--backup-vault-account-ida pas été inclus lorsque l'une des demandes suivantes a été exécutée sur un coffre partagé par RAM :

• describe-backup-vault

• describe-recovery-point

• get-recovery-point-restore-metadata

• list-protected-resources-by-backup-vault

• list-recovery-points-by-backup-vault

Solution : Réessayez la commande qui a renvoyé l'erreur, mais incluez le paramètre --backup-vault-account-id qui indique le compte propriétaire du coffre-fort.

OperationNotPermittedException

Erreur : OperationNotPermittedException est renvoyé après un CreateResourceShare appel.

Cause possible : si vous avez tenté de partager une ressource, telle qu'un coffre-fort isolé de manière logique, avec une autre organisation, vous pouvez obtenir cette exception. Un coffre-fort peut être partagé avec un compte d'une autre organisation, mais il ne peut pas être partagé avec l'autre organisation elle-même.

Solution : Réessayez l'opération, mais spécifiez un compte comme valeur au principals lieu d'une organisation ou d'une unité d'organisation.