Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Coffre hermétique logiquement
Vue d'ensemble des coffres-forts à espacement d'air logique
AWS Backup propose un type de coffre-fort secondaire qui permet de stocker des copies de sauvegardes dans un conteneur doté de fonctionnalités de sécurité supplémentaires. Un coffre-fort logiquement isolé est un coffre-fort spécialisé qui offre une sécurité accrue par rapport à un coffre-fort de sauvegarde standard, ainsi que la possibilité de partager l'accès au coffre-fort avec d'autres comptes afin que les objectifs de temps de restauration (RTOs) puissent être plus rapides et plus flexibles en cas d'incident nécessitant une restauration rapide des ressources.
Les coffres-forts hermétiques sont dotés de fonctionnalités de protection supplémentaires ; chaque coffre-fort est chiffré à l'aide d'une AWS clé personnelle, et chaque coffre-fort est équipé du mode de conformité de AWS Backup Vault Lock.
Consultez Disponibilité des fonctionnalités par ressource les types de ressources que vous pouvez copier dans un coffre-fort isolé de manière logique.
Rubriques
- Cas d'utilisation pour les coffres-forts à espacement logique
- Comparaison et contraste avec un coffre-fort de sauvegarde standard
- Créez un coffre hermétique de manière logique
- Afficher les détails des coffres-forts ventilés de manière logique
- Copier vers un coffre-fort isolé de manière logique
- Partagez un coffre-fort isolé de manière logique
- Restaurez une sauvegarde à partir d'un coffre-fort isolé de manière logique
- Supprimer un coffre-fort isolé de manière logique
- Options programmatiques supplémentaires pour les coffres-forts à espacement logique
- Résoudre un problème lié à un coffre-fort isolé de manière logique
Cas d'utilisation pour les coffres-forts à espacement logique
Un coffre-fort à isolation logique est un coffre-fort secondaire qui fait partie d'une stratégie de protection des données. Ce coffre-fort peut aider à améliorer la stratégie de rétention et de restauration de votre entreprise lorsque vous souhaitez un coffre-fort pour vos sauvegardes qui
-
Est automatiquement configuré avec un verrou de coffre-fort en mode de conformité
-
Livré crypté avec une AWS clé personnelle
-
Contient des sauvegardes qui, via AWS RAM, peuvent être partagées et restaurées à partir d'un compte différent de celui qui a créé la sauvegarde
Considérations et restrictions
-
La copie entre régions vers ou depuis un coffre-fort logiquement espacé n'est actuellement pas disponible pour les sauvegardes contenant Amazon Aurora, Amazon DocumentDB et Amazon Neptune.
-
Une sauvegarde contenant un ou plusieurs EBS volumes Amazon copiés dans un coffre-fort logiquement espacé doit être inférieure à 16 To ; les sauvegardes de plus grande taille pour ce type de ressource ne sont pas prises en charge.
-
La prise en charge par Amazon S3 des coffres-forts à espacement logique n'est disponible que dans les régions qui ne nécessitent pas d'inscription.
-
Le ARN (Amazon Resource Name) d'un point de récupération stocké dans un coffre-fort logiquement isolé remplacera le type
backup
de ressource sous-jacent. Par exemple, si l'original ARN commence pararn:aws:ec2:
, le point ARN de récupération dans le coffre logiquement espacé sera.region
::image/ami-*arn:aws:backup:
region
:account-id
:recovery-point:*Vous pouvez utiliser la CLI commande
list-recovery-points-by-backup-vault
pour déterminer leARN.
Comparaison et contraste avec un coffre-fort de sauvegarde standard
Un coffre-fort de sauvegarde est le type de coffre-fort principal et standard utilisé dans AWS Backup. Chaque sauvegarde est stockée dans un coffre-fort de sauvegarde lors de sa création. Vous pouvez attribuer des politiques basées sur les ressources pour gérer les sauvegardes stockées dans le coffre-fort, telles que le cycle de vie des sauvegardes stockées dans le coffre-fort.
Un coffre-fort logiquement isolé est un coffre-fort spécialisé offrant une sécurité supplémentaire et un partage flexible pour un temps de restauration plus rapide (). RTO Ce coffre-fort stocke des copies des sauvegardes initialement créées et stockées dans un coffre-fort de sauvegarde standard.
Les coffres-forts de sauvegarde peuvent être chiffrés à l'aide d'une clé, un mécanisme de sécurité qui limite l'accès aux utilisateurs visés. Ces clés peuvent être gérées par le client ou AWS gérées. En outre, un coffre-fort de sauvegarde peut être doté d'une sécurité supplémentaire grâce à un verrou de coffre-fort ; de manière logique, les coffres-forts ventilés sont équipés d'un verrou de coffre-fort en mode conformité.
Pour les types de ressources entièrement gérés par AWS Backup, une sauvegarde ne peut pas être copiée dans un coffre-fort isolé de manière logique si la AWS KMS clé n'a pas été modifiée manuellement ou définie comme KMS clé au moment de la création de la ressource initiale.
Fonctionnalité | Coffre-fort de sauvegarde | Coffre hermétique logiquement |
---|---|---|
AWS Backup Audit Manager | Vous pouvez utiliser AWS Backup Audit Manager Contrôles et mesures correctives pour surveiller vos coffres-forts de sauvegarde. | Assurez-vous qu'une copie d'une sauvegarde d'une ressource spécifique a été copiée dans au moins un coffre-fort logiquement espacé selon un calendrier que vous déterminez, en plus des contrôles disponibles pour les coffres-forts standard. |
Lorsqu'une sauvegarde est créée, elle est stockée en tant que point de restauration. |
Les sauvegardes ne sont pas stockées dans ce coffre lors de leur création. |
|
Peut stocker les sauvegardes initiales des ressources et les copies des sauvegardes |
Peut stocker des copies de sauvegardes provenant d'autres coffres-forts |
|
Facturation |
Les frais de stockage et de transfert de données pour les ressources entièrement gérées AWS Backup par sont indiqués sous « AWS Backup ». Des frais de stockage et de transfert de données pour d'autres types de ressources seront facturés dans le cadre de leurs services respectifs. Par exemple, les EBS sauvegardes Amazon apparaîtront sous EBS « Amazon » ; les sauvegardes Amazon S3 apparaîtront sous « AWS Backup ». |
Tous les frais de facturation liés à ces coffres-forts (stockage ou transfert de données) sont indiqués sous « AWS Backup ». |
Disponible dans toutes les régions dans lesquelles AWS Backup elle opère |
Disponible dans la plupart des régions prises en charge par AWS Backup. Non disponible actuellement au Canada Ouest (Calgary), en Chine (Pékin), en Chine (Ningxia), AWS GovCloud (USA Est) ou AWS GovCloud (USA Ouest). |
|
Peut stocker des copies de sauvegarde pour la plupart des types de ressources qui prennent en charge la copie entre comptes. |
Les copies de FSx sauvegarde Amazon RDS et Amazon ne peuvent actuellement pas être stockées dans ces coffres-forts. |
|
Les sauvegardes peuvent être restaurées par le même compte auquel appartient le coffre-fort. |
Les sauvegardes peuvent être restaurées par un compte différent de celui auquel appartient le coffre-fort si celui-ci est partagé avec ce compte distinct. |
|
(Facultatif) Peut être chiffré avec une clé (gérée par le client ou par AWS ) Peut éventuellement utiliser un verrou de coffre-fort en mode conformité ou gouvernance |
Est chiffré à l'aide d'une cléAWS détenue Est toujours verrouillé à l'aide d'un verrouillage de coffre-fort en mode conformité |
|
L'accès peut être géré via des politiques et AWS Organizations Non compatible avec AWS RAM |
(Facultatif) Peut être partagé entre comptes avec AWS RAM |
Créez un coffre hermétique de manière logique
Vous pouvez créer un coffre hermétique de manière logique via la AWS Backup console ou en combinant les commandes et. AWS Backup AWS RAM CLI
Chaque appareil logiquement ventilé est équipé d'un verrou de coffre-fort en mode conformité. Consultez AWS Backup Verrou de coffre-fort pour vous aider à déterminer les valeurs de période de conservation les plus adaptées à votre activité
Afficher les détails des coffres-forts ventilés de manière logique
Vous pouvez consulter les détails du coffre tels que le résumé, les points de récupération, les ressources protégées, le partage de compte, la politique d'accès et les balises via la AWS Backup console ou le AWS Backup CLI.
Copier vers un coffre-fort isolé de manière logique
Les coffres-forts à isolation logique ne peuvent être que la cible de destination d'une tâche de copie dans un plan de sauvegarde ou une cible pour une tâche de copie à la demande.
Chiffrement compatible
Une tâche de copie réussie d'un coffre-fort de sauvegarde vers un coffre-fort logiquement isolé nécessite une clé de chiffrement déterminée par le type de ressource copié.
Lorsque vous copiez une sauvegarde d'un type de ressource entièrement géré, la sauvegarde source dans le (coffre de sauvegarde standard) peut être chiffrée par une clé gérée par le client ou par une clé AWS gérée.
Lorsque vous copiez une sauvegarde d'autres types de ressources (celles qui ne sont pas entièrement gérées), la sauvegarde et la ressource sauvegardée doivent être chiffrées à l'aide d'une clé gérée par le client. AWS les clés gérées pour les types de ressources ne sont pas prises en charge pour les copies.
Copiez vers un coffre-fort isolé de manière logique via un plan de sauvegarde
Vous pouvez copier une sauvegarde (point de restauration) d'un coffre-fort de sauvegarde standard vers un coffre-fort isolé de manière logique en créant un nouveau plan de sauvegarde ou en mettant à jour un plan existant dans la AWS Backup
console ou via les AWS CLI commandes et. create-backup-plan
update-backup-plan
Vous pouvez copier une sauvegarde d'un coffre-fort logiquement espacé vers un autre coffre-fort logiquement espacé à la demande (ce type de sauvegarde ne peut pas être planifié dans un plan de sauvegarde). Vous pouvez copier une sauvegarde d'un coffre-fort isolé de manière logique vers un coffre-fort de sauvegarde standard, à condition que la copie soit chiffrée à l'aide d'une clé gérée par le client.
Copie de sauvegarde à la demande vers un coffre-fort isolé de manière logique
Pour créer une copie unique à la demande d'une sauvegarde dans un coffre-fort logiquement isolé, vous pouvez effectuer une copie à partir d'un coffre-fort de sauvegarde standard. Des copies entre régions ou entre comptes sont disponibles si le type de ressource prend en charge le type de copie.
Disponibilité des copies
Une copie d'une sauvegarde peut être créée à partir du compte auquel appartient le coffre-fort. Les comptes avec lesquels le coffre a été partagé ont la possibilité de consulter ou de restaurer une sauvegarde, mais pas d'en créer une copie.
Seuls les types de ressources prenant en charge la copie entre régions ou entre comptes peuvent être inclus.
Pour plus d'informations, consultez Copie d'une sauvegarde, Sauvegarde entre régions et Sauvegarde entre comptes.
Partagez un coffre-fort isolé de manière logique
Vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager un coffre-fort isolé de manière logique avec les autres comptes que vous désignez.
Un coffre-fort peut être partagé avec un compte de son organisation ou avec un compte d'une autre organisation. Le coffre-fort ne peut pas être partagé avec l'ensemble d'une organisation, mais uniquement avec des comptes au sein de l'organisation.
Seuls les comptes dotés de IAM privilèges spécifiques peuvent partager et gérer le partage de comptes.
Pour partager en utilisant AWS RAM, assurez-vous de disposer des éléments suivants :
-
Deux comptes ou plus pouvant accéder AWS Backup
-
Le compte propriétaire du coffre-fort qui a l'intention de partager dispose des autorisations nécessaires. RAM L'autorisation
ram:CreateResourceShare
est nécessaire pour cette procédure. La politiqueAWSResourceAccessManagerFullAccess
contient toutes les autorisations RAM associées nécessaires :-
backup:DescribeBackupVault
-
backup:DescribeRecoveryPoint
-
backup:GetRecoveryPointRestoreMetadata
-
backup:ListProtectedResourcesByBackupVault
-
backup:ListRecoveryPointsByBackupVault
-
backup:ListTags
-
backup:StartRestoreJob
-
-
Au moins un coffre-fort à isolation logique
Restaurez une sauvegarde à partir d'un coffre-fort isolé de manière logique
Vous pouvez restaurer une sauvegarde stockée dans un coffre-fort isolé de manière logique à partir du compte propriétaire du coffre-fort ou de tout compte avec lequel le coffre-fort est partagé.
Reportez-vous à la section Restauration d'une sauvegarde pour savoir comment restaurer un point de restauration via la AWS Backup console.
Une fois qu'une sauvegarde a été partagée depuis un coffre-fort logiquement isolé vers votre compte, vous pouvez l'utiliser start-restore-job
Un exemple CLI d'entrée peut inclure la commande et les paramètres suivants :
aws backup start-restore-job --recovery-point-arn
arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"} --idempotency-token TokenNumber --resource-type ResourceType --iam-role arn:aws:iam::number:role/service-role/servicerole --region us-east-1
Supprimer un coffre-fort isolé de manière logique
Consultez Supprimer un coffre-fort de sauvegarde pour supprimer un coffre-fort. Les coffres-forts ne peuvent pas être supprimés s'ils contiennent encore des sauvegardes (points de récupération). Assurez-vous que le coffre-fort ne contient aucune sauvegarde avant de lancer une opération de suppression.
La suppression d'un coffre-fort entraîne également la suppression de la clé associée au coffre-fort sept jours après sa suppression, conformément à la politique de suppression des clés.
L'exemple de CLI commande suivant delete-backup-vault
aws backup delete-backup-vault --region us-east-1 --backup-vault-name
testvaultname
Options programmatiques supplémentaires pour les coffres-forts à espacement logique
La CLI commande list-backup-vaults
peut être modifiée pour répertorier tous les coffres-forts détenus et présents dans le compte :
aws backup list-backup-vaults --region us-east-1
Pour répertorier uniquement les coffres-forts à isolation logique, ajoutez le paramètre
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
Incluez le paramètre by-shared
permettant de filtrer la liste renvoyée des coffres-forts afin d'afficher uniquement les coffres-forts partagés logiquement espacés.
aws backup list-backup-vaults --region us-east-1 --by-shared
Résoudre un problème lié à un coffre-fort isolé de manière logique
Si vous rencontrez des erreurs au cours de votre flux de travail, consultez les exemples d'erreurs suivants et les solutions suggérées :
AccessDeniedException
Erreur : An error occured (AccessDeniedException) when calling
the [command] operation: Insufficient privileges to perform this action."
Cause possible : Le paramètre n'--backup-vault-account-id
a pas été inclus lorsque l'une des demandes suivantes a été exécutée sur un coffre partagé par RAM :
describe-backup-vault
describe-recovery-point
get-recovery-point-restore-metadata
list-protected-resources-by-backup-vault
list-recovery-points-by-backup-vault
Solution : Réessayez la commande qui a renvoyé l'erreur, mais incluez le paramètre --backup-vault-account-id
qui indique le compte propriétaire du coffre-fort.
OperationNotPermittedException
Erreur : OperationNotPermittedException
est renvoyé après un CreateResourceShare
appel.
Cause possible : si vous avez tenté de partager une ressource, telle qu'un coffre-fort isolé de manière logique, avec une autre organisation, vous pouvez obtenir cette exception. Un coffre-fort peut être partagé avec un compte d'une autre organisation, mais il ne peut pas être partagé avec l'autre organisation elle-même.
Solution : Réessayez l'opération, mais spécifiez un compte comme valeur au principals
lieu d'une organisation ou d'une unité d'organisation.