기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 논리적 에어 갭 저장소
## 논리적 에어 갭 저장소에 대한 개요
AWS Backup 는 추가 보안 기능이 있는 컨테이너에 백업을 저장할 수 있는 보조 유형의 볼트를 제공합니다. **논리적 에어 갭 저장소**는 표준적인 백업 저장소보다 향상된 보안 외에도, 다른 계정에 대한 저장소 액세스를 공유할 수 있는 기능을 제공하는 특수 저장소입니다. 이를 통해 리소스의 신속한 복원이 필요한 사고 발생 시에 목표 복구 시간(RTO)을 더 빠르고 유연하게 달성할 수 있습니다.
논리적 에어 갭 저장소에는 추가 보호 기능이 탑재되어 있습니다. 각 저장소는 [AWS 소유 키](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)(기본값) 또는 선택적으로 고객 관리형 KMS 키로 암호화되며 각 저장소에는 [AWS Backup 저장소 잠금](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)의 규정 준수 모드가 탑재되어 있습니다. 암호화 키 유형 정보는 투명성 및 규정 준수 보고를 위해 AWS Backup APIs 및 콘솔을 통해 볼 수 있습니다.
논리적 에어 갭 저장소를 [다자간 승인](multipartyapproval.md)(MPA)과 통합하여 저장소 소유 계정에 액세스할 수 없는 경우에도 저장소의 백업을 복구할 수 있으므로 비즈니스 연속성을 유지하는 데 도움이 됩니다. 또한 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) (RAM)과 통합하여 논리적 에어 갭 저장소를 다른 AWS 계정(다른 조직의 계정 포함)과 공유하도록 선택하여 데이터 손실 복구 또는 복원 [테스트](restore-testing.md)에 필요한 경우 저장소에 저장된 백업을 저장소가 공유되는 계정에서 복원할 수 있습니다. 이 추가 보안의 일환으로 논리적 에어 갭 저장소는 백업을 AWS Backup 서비스 소유 계정에 저장합니다(그 결과 백업은 로그의 속성 항목을 수정하여 조직 외부에서 공유된 것으로 표시됨 AWS CloudTrail ).
논리적 에어 갭 저장소 소유 계정이 해지된 경우(악의적이든 아니든) [해지 후 기간이](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) 끝날 때까지 MPA를 통해 저장소의 백업에 계속 액세스할 수 있습니다(복원 또는 복사). 해지 후 기간이 만료되면 백업에 더 이상 액세스할 수 없습니다. 해지 후 기간 동안 [AWS 계정 관리 설명서를](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) 참조하여 복구 작업 중에 계정을 다시 제어할 수 있습니다.
복원력을 높이려면 동일한 계정 또는 별도의 계정에서 논리적 에어 갭 저장소에 리전 간 복사본을 생성하는 것이 좋습니다. 그러나 단일 복사본만 유지하여 스토리지 비용을 절감하려면 AWS MPA에 온보딩한 후 [기본 백업을 사용하여 논리적 에어 갭 저장소](lag-vault-primary-backup.md)를 사용할 수 있습니다.
논리적 에어 갭 저장소에서 지원되는 서비스 백업에 대한 스토리지 요금은 [AWS Backup 요금](https://aws.amazon.com/backup/pricing/) 페이지에서 확인할 수 있습니다.
논리적 에어 갭 저장소에 복사할 수 있는 리소스 유형은 [리소스별 기능 가용성](backup-feature-availability.md#features-by-resource)를 참조하세요.
**Topics**
+ [논리적 에어 갭 저장소에 대한 개요](#lag-overview)
+ [논리적 에어 갭 저장소의 사용 사례](#lag-usecase)
+ [표준 백업 저장소와 비교 및 대조](#lag-compare-and-contrast)
+ [논리적 에어 갭 저장소 생성](#lag-create)
+ [논리적 에어 갭 저장소의 세부 정보 보기](#lag-view)
+ [논리적 에어 갭 저장소에서 백업 생성](#lag-creation)
+ [논리적 에어 갭 저장소 공유](#lag-share)
+ [논리적 에어 갭 저장소에서 백업 복원](#lag-restore)
+ [논리적 에어 갭 저장소 삭제](#lag-delete)
+ [논리적 에어 갭 저장소에 대한 추가 프로그래밍 옵션](#lag-programmatic)
+ [논리적 에어 갭 저장소의 암호화 키 유형 이해](#lag-encryption-key-types)
+ [서비스 소유 키 사용](#lag-service-owned-key)
+ [보안 자동 수정 고려 사항](#lag-security-auto-remediation)
+ [논리적 에어 갭 저장소의 문제 해결](#lag-troubleshoot)
+ [논리적 에어 갭 저장소에 대한 기본 백업](lag-vault-primary-backup.md)
+ [논리적 에어 갭 저장소에 대한 다자간 승인](multipartyapproval.md)
## 논리적 에어 갭 저장소의 사용 사례
논리적 에어 갭 저장소는 데이터 보호 전략의 일환으로 사용되는 보조 저장소입니다. 이 저장소는 다음과 같은 백업용 저장소가 필요한 경우, 조직의 보존 전략과 복구 기능을 향상하는 데 도움이 될 수 있습니다.
+ [규정 준수 모드](vault-lock.md)에서 저장소 잠금으로 자동 설정되는 저장소
+ 기본적으로는 AWS 소유 키로 암호화를 제공합니다. 선택적으로 고객 관리형 키를 제공할 수 있습니다.
+ AWS RAM 또는 MPA를 통해 백업을 생성한 계정과 다른 계정과 공유하고 복원할 수 있는 백업을 포함합니다.
**고려 사항 및 제한 사항**
+ 암호화되지 않은 Amazon Aurora, Amazon DocumentDB 및 Amazon Neptune 클러스터는 암호화되지 않은 DB 클러스터 스냅샷의 암호화를 지원하지 않으므로 논리적 에어 갭 저장소에 대해 지원되지 않습니다.
+ Amazon EC2는 [EC2 허용 AMI](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) 제공합니다. 계정에서 이 설정이 활성화된 경우 허용 목록에 별칭 `aws-backup-vault`을 추가합니다.
이 별칭이 포함되지 않은 경우 논리적 에어 갭 저장소에서 백업 저장소로 작업을 복사하고 논리적 에어 갭 저장소에서 EC2 인스턴스의 복원 작업은 "Source AMI ami-xxxxxx not found in Region"과 같은 오류 메시지와 함께 실패합니다.
+ 논리적 에어 갭 저장소에 저장된 복구 시점의 ARN(Amazon 리소스 이름)은 기본 리소스 유형 대신 `backup`을 갖게 됩니다. 예를 들어, 원래 ARN이 `arn:aws:ec2:region::image/ami-*`로 시작하는 경우 논리적 에어 갭 저장소에서 복구 시점의 ARN은 `arn:aws:backup:region:account-id:recovery-point:*`가 됩니다.
[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html) CLI 명령을 사용하여 ARN을 확인할 수 있습니다.
## 표준 백업 저장소와 비교 및 대조
**백업 저장소**는 AWS Backup에서 사용되는 기본 및 표준 유형의 저장소입니다. 백업이 생성될 때 각 백업은 백업 저장소에 저장됩니다. 리소스 기반 정책을 할당하여 저장소에 저장된 백업을 관리(예: 저장소 내에 저장된 백업의 수명 주기)할 수 있습니다.
**논리적 에어 갭 저장소**는 복구 시간(RTO) 단축을 위한 추가적인 보안 및 유연한 공유 기능을 갖춘 특수 저장소입니다. 이 저장소는 기본 백업 또는 처음에 생성되어 표준 백업 저장소 내에 저장된 백업의 복사본을 저장합니다.
백업 저장소는 의도한 사용자의 액세스를 제한하는 보안 메커니즘인 키로 암호화됩니다. 이러한 키는 고객 관리형 또는 AWS 관리형일 수 있습니다. 논리적 에어 갭 저장소로의 복사를 포함하여 복사 작업 중 암호화 동작은 [암호화 복사](encryption.md#copy-encryption)를 참조하세요.
또한 백업 저장소는 저장소 잠금을 통해 보안을 강화할 수 있습니다. 논리적 에어 갭 저장소는 규정 준수 모드의 저장소 잠금이 탑재되어 있습니다.
백업 저장소와 마찬가지로 논리적 에어 갭 저장소는 Amazon EC2 백업에 대한 [제한된 태그](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)도 지원합니다.
| 기능 | 백업 저장소 | 논리적 에어 갭 저장소 |
| --- | --- | --- |
| [AWS Backup 감사 관리자](aws-backup-audit-manager.md) | AWS Backup Audit Manager[컨트롤 및 문제 해결](controls-and-remediation.md)를 사용하여 백업 볼트를 모니터링할 수 있습니다. | 특정 리소스의 백업이 표준 [저장소에 사용할 수 있는 제어 외에도 사용자가 결정한 일정에 따라 논리적 에어 갭](controls-and-remediation.md#resources-in-lag-vault-control) 저장소에 저장되어 있는지 확인합니다. |
| [결제](https://aws.amazon.com/backup/pricing/) | AWS Backup 에서 완전히 관리하는 리소스에 대한 스토리지 및 데이터 전송 요금은 'AWS Backup' 아래에서 발생합니다. 다른 리소스 유형의 스토리지 및 데이터 전송 요금은 해당 개별 서비스 아래에서 발생합니다. 예를 들어, Amazon EBS 백업은 'Amazon EBS' 아래에 표시되고 Amazon S3 백업은 'AWS Backup' 아래에 표시됩니다. | 이러한 저장소의 모든 청구 요금(스토리지 또는 데이터 전송)은 'AWS Backup' 아래에서 발생합니다. |
| [리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | 가 AWS Backup 실행되는 모든 리전에서 사용 가능 | 에서 지원하는 대부분의 리전에서 사용할 수 있습니다 AWS Backup. 현재 아시아 태평양(말레이시아), 캐나다 서부(캘거리), 멕시코(중부), 아시아 태평양(태국), 아시아 태평양(타이베이), 아시아 태평양(뉴질랜드), 중국(베이징), 중국(닝샤), AWS GovCloud(미국 동부) 또는 AWS GovCloud(미국 서부)에서는 사용할 수 없습니다. |
| [리소스](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | 교차 계정 복사를 지원하는 대부분의 리소스 유형에 대한 백업 사본을 저장할 수 있습니다. | 이 저장소에 복사할 수 있는 리소스는 [리소스별 기능 가용성](backup-feature-availability.md#features-by-resource)의 논리적 에어 갭 저장소 열을 참조하세요. |
| [복원](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | 백업은 저장소가 속한 동일한 계정으로 복원할 수 있습니다. | 저장소가 별도의 계정과 공유되는 경우, 백업은 저장소가 속한 계정이 아닌 다른 계정으로 복원할 수 있습니다. |
| [보안](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | 선택에 따라 키를 사용하여 암호화 가능(고객 관리형 또는 AWS 관리형) 규정 준수 또는 거버넌스 모드에서 저장소 잠금을 선택적으로 사용할 수 있음 | [AWS 소유 키](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) 또는 고객 관리형 키로 암호화할 수 있습니다. 규정 준수 모드에서는 항상 [ 저장소 잠금](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)을 사용하여 잠김 AWS RAM 또는 MPA를 통해 볼트를 공유할 때 암호화 키 유형 정보가 보존되고 표시됩니다. |
| [공유 중](#lag-share) | 정책 및 [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html)를 통해 액세스를 관리할 수 있음 와 호환되지 않음 AWS RAM | 선택에 따라 [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)을 사용하여 계정 간에 공유할 수 있음 |
## 논리적 에어 갭 저장소 생성
AWS Backup 콘솔을 통해 또는 AWS Backup 및 AWS RAM CLI 명령의 조합을 통해 논리적 에어 갭 저장소를 생성할 수 있습니다.
각 논리적 에어 갭 저장소에는 규정 준수 모드에서 저장소 잠금이 장착되어 있습니다. 작업에 가장 적합한 보존 기간 값을 결정하는 데 도움이 되도록 [AWS Backup 볼트 잠금](vault-lock.md)을 참조하세요.
------
#### [ Console ]
**콘솔에서 논리적 에어 갭 저장소 생성**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 탐색 창에서 **저장소**를 선택합니다.
1. 두 가지 유형의 저장소가 모두 표시됩니다. **새 저장소 생성**을 선택합니다.
1. 백업 저장소의 이름을 입력합니다. 저장소에 저장할 내용이 잘 반영되도록 저장소의 이름을 지정하거나 필요한 백업을 보다 쉽게 검색할 수 있도록 만들 수 있습니다. 예를 들어, 이름을 `FinancialBackups`로 지정할 수 있습니다.
1. **논리적 에어 갭 저장소**의 라디오 버튼을 선택합니다.
1. *(선택 사항)* 암호화 키를 선택합니다. 암호화에 대한 추가 제어를 위해 고객 관리형 KMS 키를 선택하거나 기본 AWS소유 키(권장)를 사용할 수 있습니다.
1. **최소 보존 기간**을 설정합니다.
이 값(일, 월 또는 년)은 이 저장소에 백업을 보존할 수 있는 가장 짧은 기간입니다. 보존 기간이 이 값보다 짧은 백업은 이 저장소에 복사할 수 없습니다.
허용되는 최솟값은 `7`일입니다. 월과 연의 값은 이 최솟값을 충족합니다.
1. **최대 보존 기간**을 설정합니다.
이 값(일, 월 또는 년)은 이 저장소에 백업을 보존할 수 있는 가장 긴 기간입니다. 보존 기간이 이 값보다 큰 백업은 이 저장소에 복사할 수 없습니다.
1. *(선택 사항)* **암호화 키를** 설정합니다.
볼트에 사용할 키를 지정합니다. **AWS 소유 키(에서 관리 AWS Backup)**를 선택하거나 AWS 소유 키를 사용하여 access. AWS Backup recommds가 있는 다른 계정에 속하는 **고객 관리**형 키의 ARN을 입력할 수 있습니다.
1. *(선택 사항)* 논리적 에어 갭 저장소를 검색하고 식별하는 데 도움이 되는 태그를 추가합니다. 예를 들어, `BackupType:Financial` 태그를 추가할 수 있습니다.
1. **저장소 생성**을 선택합니다.
1. 설정을 검토합니다. 모든 설정이 의도한 대로 표시되면 **논리적 에어 갭 저장소 생성**을 선택합니다.
1. 콘솔에서 새 저장소의 세부 정보 페이지로 이동합니다. 저장소 세부 정보가 예상과 같은지 확인합니다.
1. 계정의 저장소를 보려면 **저장소**를 선택합니다. 논리적 에어 갭 저장소가 표시됩니다. KMS 키는 저장소 생성 후 약 1\$13분 지나서 사용할 수 있습니다. 페이지를 새로 고침하여 연결된 키를 확인합니다. 키가 표시되면 저장소는 가용한 상태가 되므로 사용할 수 있습니다.
------
#### [ AWS CLI ]
CLI에서 논리적 에어 갭 저장소 생성
AWS CLI 를 사용하여 논리적 에어 갭 저장소에 대한 작업을 프로그래밍 방식으로 수행할 수 있습니다. 각 CLI는 해당 CLI가 시작되는 AWS 서비스에 따라 다릅니다. 공유와 관련된 명령은 앞에 `aws ram`이 추가되고, 다른 모든 명령은 앞에 `aws backup`이 추가됩니다.
다음 파라미터를 통해 수정한 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html) CLI 명령을 사용합니다.
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```
선택적 `--encryption-key-arn` 파라미터를 사용하면 볼트 암호화를 위한 고객 관리형 KMS 키를 지정할 수 있습니다. 제공되지 않은 경우 볼트는 AWS소유 키를 사용합니다.
논리적 에어 갭 저장소를 생성하는 CLI 명령의 예:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```
고객 관리형 암호화를 사용하여 논리적 에어 갭 저장소를 생성하는 CLI 명령의 예:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```
생성 작업 후의 자세한 내용은 [CreateLogicallyAirGappedBackupVault API 응답 요소](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html)를 참조하세요. 작업이 성공하면 새로운 논리적 에어 갭 저장소의 VaultState는 `CREATING`입니다.
생성이 완료되고 KMS 암호화 키가 할당되면 VaultState가 `AVAILABLE`로 전환됩니다. 가용한 상태가 되면 저장소를 사용할 수 있습니다. `VaultState`는 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html) 또는 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)를 직접적으로 호출하여 검색할 수 있습니다.
------
## 논리적 에어 갭 저장소의 세부 정보 보기
AWS Backup 콘솔 또는 CLI를 통해 요약, 복구 시점, 보호된 리소스, 계정 공유, 액세스 정책 및 태그와 같은 볼트 세부 정보를 볼 수 있습니다 AWS Backup .
------
#### [ Console ]
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **저장소**를 선택합니다.
1. 볼트에 대한 설명 아래에는 **이 계정에서 생성한 볼트**, **RAM을 통해 공유된 볼트**, **다자간 승인을 통해 액세스할 수 있는 볼트**의 세 가지 목록이 있습니다. 저장소를 보려면 원하는 탭을 선택합니다.
1. **저장소 이름** 아래에서 저장소 이름을 클릭하여 세부 정보 페이지를 엽니다. 요약, 복구 시점, 보호된 리소스, 계정 공유, 액세스 정책, 태그 세부 정보를 볼 수 있습니다.
계정 유형에 따라 세부 정보가 표시됩니다. 저장소를 소유한 계정은 계정 공유를 볼 수 있으며, 저장소를 소유하지 않은 계정은 계정 공유를 볼 수 없습니다. 공유 볼트의 경우 암호화 키 유형(AWS소유 또는 고객 관리형 KMS 키)이 볼트 요약에 표시됩니다.
------
#### [ AWS CLI ]
CLI를 통해 논리적 에어 갭 저장소의 세부 정보 보기
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html) CLI 명령을 사용하여 저장소에 대한 세부 정보를 얻을 수 있습니다. `backup-vault-name` 파라미터는 필수 사항이지만, `region`은 선택 사항입니다.
```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```
응답 예시:
```
{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```
**참고**
논리적 에어 갭 저장소를 사용할 수 없는 리전에서는 `VaultType` 필드가 API 응답에 포함되지 않습니다.
------
## 논리적 에어 갭 저장소에서 백업 생성
논리적 에어 갭 저장소는 백업 계획의 복사 작업 대상이거나 온디맨드 복사 작업의 대상일 수 있습니다. 기본 백업 대상으로도 사용할 수 있습니다. [논리적 에어 갭 저장소에 대한 기본 백업을 참조하세요](lag-vault-primary-backup.md).
**호환되는 암호화**
백업 저장소에서 논리적 에어 갭 저장소로 복사 작업을 성공적으로 수행하려면 복사되는 리소스 유형에 따라 결정되는 암호화 키가 필요합니다.
[완전 관리형 리소스 유형의](backup-feature-availability.md#features-by-resource) 백업을 생성하거나 복사할 때 고객 관리형 키 또는 AWS 관리형 키로 소스 리소스를 암호화할 수 있습니다.
다른 리소스 유형([완전히 관리되지 않는](backup-feature-availability.md#features-by-resource) 유형)의 백업을 생성하거나 복사하는 경우 소스는 고객 관리형 키로 암호화되어야 합니다.완전히 AWS 관리되지 않는 리소스에 대한 관리형 키는 지원되지 않습니다.
**백업 계획을 통해 논리적 에어 갭 저장소에 백업 생성 또는 복사**
새 백업 계획을 [생성하거나 콘솔에서 또는 및 명령을 통해 기존 백업 계획을 업데이트하여 표준 백업 저장소에서 논리적 에어 갭 저장소로 백업](creating-a-backup-plan.md)(복구 지점)을 복사할 수 있습니다[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html). [백업 계획 업데이트](updating-a-backup-plan.md) AWS Backup AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) 또한 백업을 기본 대상으로 사용하여 논리적 에어 갭 저장소에서 직접 생성할 수도 있습니다. 자세한 내용은 [논리적 에어 갭 저장소에 대한 기본 백업](lag-vault-primary-backup.md)을 참조하세요.
온디맨드 방식으로 한 논리적 에어 갭 저장소에서 다른 논리적 에어 갭 저장소로 백업을 복사할 수 있습니다(이러한 유형의 백업은 백업 계획에서 예약할 수 없음). 고객 관리형 키로 복사본을 암호화하는 한, 논리적 에어 갭 저장소에서 표준 백업 저장소로 백업을 복사할 수 있습니다.
**논리적 에어 갭 저장소로 온디맨드 백업 복사**
논리적 에어 갭 저장소에 백업의 일회성 [온디맨드](recov-point-create-on-demand-backup.md) 복사본을 생성하려면 표준 백업 저장소에서 복사하면 됩니다. 리소스 유형이 복사 유형을 지원하는 경우, 교차 리전 복사본이나 교차 계정 복사본을 사용할 수 있습니다.
**복사본 가용성**
저장소가 속한 계정으로부터 백업 복사본을 생성할 수 있습니다. 저장소가 공유된 계정은 백업을 보거나 복원할 수는 있지만, 복사본을 생성할 수는 없습니다.
[교차 리전 복사나 교차 계정 복사를 지원하는 리소스 유형](backup-feature-availability.md#features-by-resource)만 포함될 수 있습니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **저장소**를 선택합니다.
1. 저장소 세부 정보 페이지에는 해당 저장소 내의 모든 복구 시점이 표시됩니다. 복사하려는 복구 시점 옆에 체크 표시를 합니다.
1. **작업**을 선택한 다음, 드롭다운 메뉴에서 **복사**를 선택합니다.
1. 다음 화면에서 대상의 세부 정보를 입력합니다.
1. 대상 리전을 지정합니다.
1. 대상 백업 저장소 드롭다운 메뉴에 적합한 대상 저장소가 표시됩니다. 유형이 `logically air-gapped vault`인 항목을 선택합니다.
1. 모든 세부 정보가 기본 설정으로 설정되면 **복사**를 선택합니다.
콘솔의 **작업** 페이지에서 **복사** 작업을 선택하여 현재의 복사 작업을 볼 수 있습니다.
------
#### [ AWS CLI ]
[start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html)을 사용하여 백업 저장소의 기존 백업을 논리적 에어 갭 저장소로 복사할 수 있습니다.
CLI 입력 샘플:
```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```
------
자세한 내용은 [ 백업 복사](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [ 교차 리전 백업](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html), [ 교차 계정 백업](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html)을 참조하세요.
## 논리적 에어 갭 저장소 공유
AWS Resource Access Manager (RAM)을 사용하여 지정한 다른 계정과 논리적 에어 갭 저장소를 공유할 수 있습니다. 볼트를 공유할 때 암호화 키 유형 정보(AWS소유 또는 고객 관리형 KMS 키)가 보존되고 볼트가 공유되는 계정에 표시됩니다.
저장소는 자기 조직의 계정 또는 다른 조직의 계정과 공유할 수 있습니다. 이 저장소는 전체 조직과 공유할 수 없으며, 특정 조직 내 계정과만 공유할 수 있습니다.
특정 IAM 권한이 있는 계정만 저장소를 공유하고 저장소 공유를 관리할 수 있습니다.
를 사용하여 공유하려면 다음이 있어야 AWS RAM합니다.
+ 에 액세스할 수 있는 두 개 이상의 계정 AWS Backup
+ 공유하려는 저장소 소유 계정에는 필요한 RAM 권한이 있어야 합니다. 이 절차를 수행하려면 `ram:CreateResourceShare` 권한이 필요합니다. `AWSResourceAccessManagerFullAccess` 정책에는 다음과 같은 모든 필요한 RAM 관련 권한이 포함되어 있습니다.
+ `backup:DescribeBackupVault`
+ `backup:DescribeRecoveryPoint`
+ `backup:GetRecoveryPointRestoreMetadata`
+ `backup:ListProtectedResourcesByBackupVault`
+ `backup:ListRecoveryPointsByBackupVault`
+ `backup:ListTags`
+ `backup:StartRestoreJob`
+ 논리적 에어 갭 저장소 1개 이상
------
#### [ Console ]
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **저장소**를 선택합니다.
1. 저장소의 설명 아래에는 **이 계정이 소유한 저장소**와 **이 계정으로 공유하는 저장소**라는 두 가지 목록이 있습니다. 이 계정이 소유한 저장소는 공유할 수 있습니다.
1. **저장소 이름** 아래에서 논리적 에어 갭 저장소의 이름을 선택하여 세부 정보 페이지를 엽니다.
1. **계정 공유** 창에 저장소를 공유 중인 계정이 표시됩니다.
1. 다른 계정과 공유를 시작하거나 이미 공유 중인 계정을 편집하려면 **공유 관리를** 선택합니다.
1. **공유 관리를** 선택하면 AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 리소스를 공유하는 단계는 RAM *AWS 사용 설명서*의 [AWS RAM에서 리소스 공유 생성을](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 참조하세요.
1. 공유를 수신하기 위한 초대를 수락하도록 초대된 계정은 12시간 이내에 초대를 수락해야 합니다. *AWS RAM 사용 설명서*의 [ 리소스 공유 초대 수락 및 거부](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)를 참조하세요.
1. 공유 단계가 완료되고 수락되면 **계정 공유 = "공유함 - 아래 계정 공유 표 참조**" 아래에 저장소 요약 페이지가 표시됩니다.
------
#### [ AWS CLI ]
AWS RAM 는 CLI 명령를 사용합니다`create-resource-share`. 이 명령에 대한 액세스는 충분한 권한이 있는 계정에만 제공됩니다. CLI 단계는 [ Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)을 참조하세요.
1\$14단계는 논리적 에어 갭 저장소를 소유한 계정을 사용하여 수행됩니다. 5\$18단계는 논리적 에어 갭 저장소를 공유할 계정을 사용하여 수행됩니다.
1. 소유한 계정으로 로그인하거나, 소스 계정에 액세스할 수 있는 충분한 보안 인증을 가진 조직의 사용자에게 이 단계를 완료해 달라고 요청합니다.
1. 이전에 리소스 공유를 생성했고 추가적인 리소스를 추가하려는 경우, 새 저장소의 ARN과 함께 CLI `associate-resource-share`를 대신 사용하세요.
1. RAM을 통해 공유할 수 있는 충분한 권한이 있는 역할의 보안 인증을 가져옵니다. [이를 CLI에 입력합니다](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new).
1. 이 절차를 수행하려면 `ram:CreateResourceShare` 권한이 필요합니다. [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess) 정책에는 모든 RAM 관련 권한이 포함되어 있습니다.
1. [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html)를 사용합니다.
1. 논리적 에어 갭 저장소의 ARN을 포함합니다.
1. 입력 예:
```
aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1
```
1. 출력 예:
```
{
"resourceShare":{
"resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name":"MyLogicallyAirGappedVault",
"owningAccountId":"123456789012",
"allowExternalPrincipals":true,
"status":"ACTIVE",
"creationTime":"2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
}
}
```
1. 출력에 리소스 공유 ARN을 복사합니다(이후 단계에 필요). 공유를 수신하기 위해 초대하는 계정의 운영자에게 ARN을 제공합니다.
1. 리소스 공유 ARN 받기
1. 1\$14단계를 수행하지 않았다면 수행한 사람을 통해 resourceShareArn을 받습니다.
1. 예시: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`
1. CLI에서는 수신자 계정의 보안 인증을 수임합니다.
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html)를 사용하여 리소스 공유 초대를 받습니다. 자세한 내용은 *AWS RAM 사용 설명서*의 [ Accepting and rejecting invitations](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)를 참조하세요.
1. 대상(복구) 계정의 초대를 수락합니다.
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html)을 사용합니다([https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)도 사용 가능).
AWS RAM CLI 명령을 사용하여 공유 항목을 볼 수 있습니다.
+ 공유한 리소스:
`aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ 보안 주체 표시:
`aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ 다른 계정이 공유하는 리소스:
`aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`
------
## 논리적 에어 갭 저장소에서 백업 복원
논리적 에어 갭 저장소에 저장된 백업을 저장소를 소유한 계정이나 저장소를 공유한 계정으로 복원할 수 있습니다.
AWS Backup 콘솔을 통해 복구 시점을 복원하는 방법에 대한 자세한 내용은 [백업 복원](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html)을 참조하세요.
논리적 에어 갭 저장소에서 자신의 계정으로 백업을 공유한 후에는 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)을 사용하여 해당 백업을 복원할 수 있습니다.
CLI 입력 샘플에는 다음의 명령 및 파라미터가 포함될 수 있습니다.
```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```
## 논리적 에어 갭 저장소 삭제
[저장소 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)를 참조하세요. 저장소에 백업(복구 시점)이 아직 포함되어 있는 경우 저장소를 삭제할 수 없습니다. 삭제 작업을 시작하기 전에 저장소에 백업이 남아 있지 않은지 확인하세요.
저장소를 삭제하면 키 삭제 정책에 따라 저장소가 삭제된 후 7일 지나면 저장소와 연결된 키도 삭제됩니다.
아래의 CLI 명령 샘플 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)를 사용하여 저장소를 삭제할 수 있습니다.
```
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```
## 논리적 에어 갭 저장소에 대한 추가 프로그래밍 옵션
CLI 명령 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)를 수정하여 계정이 소유하고 있고 계정에 존재하는 모든 저장소를 나열할 수 있습니다.
```
aws backup list-backup-vaults
--region us-east-1
```
논리적 에어 갭 저장소만 나열하려면 다음 파라미터를 추가합니다.
```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```
반환된 저장소 목록을 필터링하여 공유된 논리적 에어 갭 저장소만 표시하려면 `by-shared` 파라미터를 포함합니다. 응답에는 각 공유 볼트에 대한 암호화 키 유형 정보가 포함됩니다.
```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```
암호화 키 유형 정보를 보여주는 응답의 예:
```
{
"BackupVaultList": [
{
"BackupVaultName": "shared-logically air-gapped-vault",
"BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30
}
]
}
```
**참고**
논리적 에어 갭 저장소를 사용할 수 없는 리전에서는 `VaultType` 필드가 API 응답에 포함되지 않습니다.
## 논리적 에어 갭 저장소의 암호화 키 유형 이해
논리적 에어 갭 저장소는 다양한 암호화 키 유형을 지원하며이 정보는 AWS Backup APIs. 볼트가 AWS RAM 또는 MPA를 통해 공유되면 암호화 키 유형 정보가 보존되고 볼트가 공유되는 계정에 표시됩니다. 이러한 투명성은 볼트의 암호화 구성을 이해하고 백업 및 복원 작업에 대해 정보에 입각한 결정을 내리는 데 도움이 됩니다.
### 암호화 키 유형 값
`EncryptionKeyType` 필드는 다음 값을 가질 수 있습니다.
+ `AWS_OWNED_KMS_KEY` - 볼트는 AWS소유 키로 암호화됩니다. 고객 관리형 키가 지정되지 않은 경우 논리적 에어 갭 저장소의 기본 암호화 방법입니다.
+ `CUSTOMER_MANAGED_KMS_KEY` - 볼트는 사용자가 제어하는 고객 관리형 KMS 키로 암호화됩니다. 이 옵션은 암호화 키 및 액세스 정책에 대한 추가 제어를 제공합니다.
**참고**
AWS Backup은 논리적 에어 갭 저장소와 함께 AWS 소유 키를 사용할 것을 권장합니다.
조직 정책에서 고객 관리형 키를 사용해야 하는 경우 테스트를 제외하고 동일한 계정의 키를 사용하지 AWS 않는 것이 좋습니다. 프로덕션 워크로드의 경우 복구 전용 보조 조직의 다른 계정에서 고객 관리형 키를 모범 사례로 사용합니다. [ Encrypt AWS Backup 논리적 에어 갭 저장소와 고객 관리형 키를](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) 참조하여 CMK 기반 논리적 에어 갭 저장소 설정에 대한 더 많은 인사이트를 수집할 수 있습니다.
볼트 생성 중에는 AWS KMS 암호화 키만 선택할 수 있습니다. 생성되면 볼트에 포함된 모든 백업이 해당 키로 암호화됩니다. 다른 암호화 키를 사용하도록 볼트를 변경하거나 마이그레이션할 수 없습니다.
### CMK 암호화 논리적 에어 갭 저장소 생성에 대한 키 정책
고객 관리형 키를 사용하여 논리적 에어 갭 저장소를 생성할 때는 `AWSBackupFullAccess` 계정 역할에 AWS관리형 정책을 적용해야 합니다. 이 정책에는가 백업, 복사 및 스토리지 작업 중에 KMS 키에 대한 권한 부여 생성을 AWS KMS 위해와 상호 작용 AWS Backup 할 수 있는 `Allow` 작업이 포함되어 있습니다. 또한 고객 관리형 키(사용된 경우) 정책에 특정 필수 권한이 포함되어 있는지 확인해야 합니다.
+ CMK는 논리적 에어 갭 저장소가 있는 계정과 공유해야 합니다.
```
{
"Sid": "Allow use of the key to create a logically air-gapped vault",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
**복사/복원에 대한 키 정책**
작업 실패를 방지하려면 AWS KMS 키 정책을 검토하여 필요한 모든 권한이 포함되어 있고 작업을 차단할 수 있는 거부 문이 포함되어 있지 않은지 확인합니다. 다음 조건이 적용됩니다.
+ 모든 복사 시나리오의 경우 CMKs 소스 복사 역할과 공유해야 합니다.
```
{
"Sid": "Allow use of the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
+ CMK 암호화된 논리적 에어 갭 저장소에서 백업 저장소로 복사하는 경우 CMK도 대상 계정 SLR과 공유해야 합니다.
```
{
"Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
+ RAM/MPA 공유 논리적 에어 갭 저장소를 사용하여 복구 계정에서 복사하거나 복원하는 경우
```
{
"Sid": "Allow use of the key for copy/restore from a recovery account",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
[**IAM Role**]
논리적 에어 갭 저장소 복사 작업을 수행할 때 고객은 AWS관리형 정책 `AWSBackupDefaultServiceRole`가 포함된를 활용할 수 있습니다`AWSBackupServiceRolePolicyForBackup`. 그러나 고객이 최소 권한 정책 접근 방식을 구현하려는 경우 IAM 정책에 특정 요구 사항이 포함되어야 합니다.
+ 소스 계정의 복사 역할에는 소스 및 대상 CMKs.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
},
{
"Sid": "KMSCreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
]
}
```
따라서 가장 일반적인 고객 오류 중 하나는 고객이 CMKs 및 복사 역할에 대한 충분한 권한을 제공하지 못할 때 복사 중에 발생합니다.
### 암호화 키 유형 보기
AWS CLI 또는 SDK를 사용하여 AWS Backup 콘솔을 통해 프로그래밍 방식으로 암호화 키 유형 정보를 볼 수 있습니다. SDKs
**콘솔:** AWS Backup 콘솔에서 논리적 에어 갭 저장소를 볼 때 보안 정보 섹션 아래의 저장소 세부 정보 페이지에 암호화 키 유형이 표시됩니다.
**AWS CLI/API:** 논리적 에어 갭 저장소를 쿼리할 때 다음 작업의 응답으로 암호화 키 유형이 반환됩니다.
+ `list-backup-vaults` (공유 볼트`--by-shared`의 경우 포함)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`
### 볼트 암호화 고려 사항
논리적 에어 갭 저장소 및 암호화 키 유형으로 작업할 때는 다음 사항을 고려하세요.
+ **생성 중 키 선택:** 논리적 에어 갭 저장소를 생성할 때 고객 관리형 KMS 키를 선택적으로 지정할 수 있습니다. 지정하지 않으면 AWS소유 키가 사용됩니다.
+ **공유 볼트 가시성:** 볼트가 공유되는 계정은 암호화 키 유형을 볼 수 있지만 암호화 구성을 수정할 수는 없습니다.
+ **복구 시점 정보:** 암호화 키 유형은 논리적 에어 갭 저장소 내에서 복구 시점을 볼 때도 사용할 수 있습니다.
+ **복원 작업:** 암호화 키 유형을 이해하면 복원 작업을 계획하고 잠재적 액세스 요구 사항을 이해하는 데 도움이 됩니다.
+ **규정 준수:** 암호화 키 유형 정보는 백업 데이터에 사용되는 암호화 방법에 투명성을 제공하여 규정 준수 보고 및 감사 요구 사항을 지원합니다.
## 서비스 소유 키 사용
AWS Backup 는 논리적 에어 갭 저장소에 저장된 모든 백업 데이터를 암호화하는 데 사용되는 암호화 키를 생성하고 관리하여 데이터 손실 이벤트 중에 암호화 키에 대한 액세스 손실을 보호하고 방지합니다.
+ 이러한 키는 무료이며 계정의 AWS KMS 할당량에 포함되지 않습니다.
+ 단일 키는 특정 볼트에만 사용되며 다른 계정 또는 다른 용도와 공유되지 않습니다.
+ 할당된(비어 있는) 볼트도 삭제되면 이러한 키가 삭제됩니다.
+ 이러한 키는 [SYMMETRIC\$1DEFAULT 키 사양을](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks) 사용하여 생성됩니다.
+ 기본 교체 정책은 90일입니다. 지원 티켓을 통해 논리적 에어 갭 저장소에 대한 서비스 소유 암호화 키 교체(6개월마다 한 번)를 요청할 수 있습니다.
자세한 내용은 [AWS KMS 설명서를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) 참조하십시오.
## 보안 자동 수정 고려 사항
가 논리적 에어 갭 저장소에 EC2(AMI) 백업을 AWS Backup 복사하면 서비스 소유 계정에 `launchPermission` (AMI) 및 `createVolumePermission` (연결된 EBS 스냅샷)를 일시적으로 부여합니다. 이러한 권한은 복사가 완료된 후 자동으로 취소됩니다.
이러한 작업은를 로 `userIdentity.invokedBy` 설정하여 AWS CloudTrail 로그에 `ModifyImageAttribute` 및 `ModifySnapshotAttribute` 이벤트를 생성합니다`backup.amazonaws.com`.
이러한 이벤트를 모니터링하고 교차 계정 공유를 취소하는 보안 자동 수정 로직(예:를 사용하는 Amazon EventBridge 규칙 AWS Lambda)이 있는 경우 `userIdentity.invokedBy`가 인 이벤트를 제외해야 합니다`backup.amazonaws.com`. 그렇지 않으면 논리적 에어 갭 저장소에 작업을 복사하는 데 실패하고 "이 ami의 스토리지에 액세스할 권한이 없습니다."라는 메시지가 표시됩니다.
이 제외는 복사본이 EC2 속성 수정이 발생하기 전에 평가되는 볼트 액세스 정책(`backup:CopyFromBackupVault`소스 볼트 및 대상 볼트)`backup:CopyIntoBackupVault`에 의해 승인되므로 안전합니다. 임시 권한은 고정된 AWS 서비스 소유 계정에만 부여되며 복사가 완료된 후 자동으로 취소됩니다.
AWS Backup 작업을 제외하는 EventBridge 규칙 이벤트 패턴의 예:
```
{
"source": ["aws.ec2"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["ec2.amazonaws.com"],
"eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
"userIdentity": {
"invokedBy": [{"anything-but": "backup.amazonaws.com"}]
}
}
}
```
## 논리적 에어 갭 저장소의 문제 해결
워크플로우 중에 오류가 발생하는 경우, 다음 오류 예시와 권장 해결 방법을 참조하세요.
### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
**오류:** `Copy job fails with "You do not have permission to access the storage of this ami."`
**가능한 원인:** EC2 AMI 복사 작업 중에 논리적 에어 갭 저장소에 시작 권한(AMI)을 AWS Backup 일시적으로 부여하고 서비스 소유 계정에 볼륨 권한(EBS 스냅샷)을 생성하여 AWS CloudTrail 로그에 `ModifyImageAttribute` 및 `ModifySnapshotAttribute` 이벤트를 생성합니다. 이러한 이벤트를 모니터링하고 교차 계정 공유 권한을 자동으로 취소하는 보안 자동 수정 로직(예: Lambda를 사용하는 EventBridge 규칙)이 있는 경우 복사가 완료되기 전에 임시 액세스를 제거할 수 있습니다.
**참고**
이는 Amazon FSx와 같은 다른 리소스의 복사 작업에서도 마찬가지로 발생할 수 있습니다.
**해결 방법:** EventBridge 규칙 이벤트 패턴을 업데이트하여에서 수행한 작업을 제외합니다 AWS Backup. 특히 `userIdentity.invokedBy`가 인 이벤트를 제외`backup.amazonaws.com`하여 자동 수정 로직이 복사 프로세스 중에가 AWS Backup 부여하는 임시 교차 계정 권한을 취소하지 않도록 합니다.
### `AccessDeniedException`
**오류:** `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`
**가능한 원인:** 다음 요청 중 하나가 RAM에서 공유한 저장소에서 실행되었을 때 `--backup-vault-account-id` 파라미터가 포함되지 않았습니다.
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`
**해결 방법:** 오류를 반환한 명령을 다시 시도하되, 저장소를 소유한 계정을 지정하는 `--backup-vault-account-id` 파라미터를 포함합니다.
### `OperationNotPermittedException`
**오류:** `CreateResourceShare` 직접 호출 후에 `OperationNotPermittedException`이 반환됩니다.
**가능한 원인:** 논리적 에어 갭 저장소와 같은 리소스를 다른 조직과 공유하려고 한 경우, 이 예외가 발생할 수 있습니다. 저장소는 다른 조직의 계정과 공유할 수 있지만, 다른 조직 자체와 공유할 수는 없습니다.
**해결 방법:** 해당 작업을 다시 시도하되, 조직 또는 OU 대신 `principals`의 값으로 계정을 지정합니다.
### 암호화 키 유형이 표시되지 않음
**문제:** 논리적 에어 갭 저장소 또는 복구 시점을 볼 때는 암호화 키 유형이 표시되지 않습니다.
**가능한 원인:**
+ 암호화 키 유형 지원이 추가되기 전에 생성된 이전 볼트를 보고 있습니다.
+ AWS CLI 또는 SDK의 이전 버전을 사용 중인 경우
+ API 응답에는 암호화 키 유형 필드가 포함되지 않습니다.
**해결 방법:**
+ AWS CLI 를 최신 버전으로 업데이트
+ 이전 볼트의 경우 암호화 키 유형이 자동으로 채워지고 후속 API 호출에 나타나야 합니다.
+ 암호화 키 유형 정보를 반환하는 올바른 API 작업을 사용하고 있는지 확인합니다.
+ 공유 볼트의 경우 볼트가를 통해 올바르게 공유되었는지 확인합니다. AWS Resource Access Manager
### CloudTrail 로그에서 AccessDeniedException이 포함된 "FAILED" VaultState
**CloudTrail의 오류:** `"User: is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`
**가능한 원인:**
+ 볼트가 고객 관리형 키를 사용하여 생성되었지만 수임된 역할에는 볼트 생성에 키를 사용하는 데 필요한 키 정책에 대한 CreateGrant 권한이 없습니다.
**해결 방법:**
+ [CMK 암호화 논리적 에어 갭 저장소 생성에 대한 키 정책](#key-policy-lag-vault-creation) 섹션에 지정된 권한을 부여한 다음 볼트 생성 워크플로를 다시 시도합니다.
# 논리적 에어 갭 저장소에 대한 기본 백업
## 개요
논리적 에어 갭 저장소 기본 백업 기능을 사용하면 예약된 백업 작업과 온디맨드 백업 작업 모두에 대해 논리적 에어 갭 저장소를 동일한 계정 내의 기본 백업 대상으로 지정할 수 있습니다. 따라서 표준 백업 저장소와 논리적 에어 갭 저장소 모두에서 별도의 복사본을 유지 관리할 필요가 없으므로 비용을 절감하고 워크플로를 간소화하는 동시에 논리적 에어 갭의 보안 이점을 유지할 수 있습니다.
백업 계획, 조직 전체 정책 또는 온디맨드 백업에서 논리적 에어 갭 저장소를 기본 대상으로 할당할 수 있습니다. 이전에는 논리적 에어 갭 저장소에 백업하려면 먼저 백업 저장소에 백업을 생성한 다음 논리적 에어 갭 저장소에 복사해야 했습니다. 이 기능을 사용하면 리소스 유형에 따라 논리적 에어 갭 저장소에서 직접 백업을 생성하거나 논리적 에어 갭 저장소에 복사된 다음 삭제되는 임시 백업을 자동으로 관리할 AWS Backup 수 있습니다.
동작은 다음 두 가지 요인에 따라 달라집니다.
+ 논리적 에어 갭 저장소에서 리소스 유형을 지원하는지 여부입니다.
+ 리소스 유형이 [전체 AWS Backup 관리를](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management) 지원하는지 여부입니다.
**주의**
이 기능을 채택하는 경우 논리적 에어 갭 저장소를 [다자간 승인](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html)(MPA)과 통합하는 것이 좋습니다. 이렇게 하면 볼트 소유 계정에 액세스할 수 없는 경우에도 볼트의 백업을 복구할 수 있습니다.
이 기능에 대한 새 요금은 없습니다. 논리적 에어 갭 저장소에 저장된 백업과 해당 리소스에 대한 임시 스냅샷(시스템의 보존 기간 동안)에 대해서만 일반적인 요금으로 요금이 부과됩니다. 자세한 내용은 [AWS Backup 요금](https://aws.amazon.com/backup/pricing/)을 참조하세요.
**Topics**
+ [개요](#lag-primary-backup-overview)
+ [작동 방식](#lag-primary-backup-how-it-works)
+ [비용 고려 사항](#lag-primary-backup-cost)
+ [논리적 에어 갭 저장소 기본 백업 구성](#lag-primary-backup-configure)
+ [논리적 에어 갭 저장소 기본 백업 모니터링](#lag-primary-backup-monitor)
+ [온보딩 및 마이그레이션](#lag-primary-backup-onboarding)
+ [문제 해결](#lag-primary-backup-troubleshooting)
## 작동 방식
기존 백업 계획을 업데이트하거나 새 백업 계획을 생성하고 논리적 에어 갭 저장소 ARN(필드 이름: `TargetLogicallyAirGappedBackupVaultArn`)을 기본 백업 대상으로 추가하여이 기능에 온보딩할 수 있습니다. AWS Backup 콘솔 또는 AWS Backup CLI 명령을 통해이 작업을 수행할 수 있습니다.
```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```
백업 작업의 대상으로 백업 저장소와 논리적 에어 갭 저장소를 모두 지정하면는 리소스 유형 및 암호화 구성을 기반으로 적절한 워크플로를 AWS Backup 결정합니다.
![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)
**논리적 에어 갭 저장소에 대한 기본 백업에 지원되는 리소스**
논리적 에어 갭 저장소에 대해 지원되는 리소스의 전체 목록을 보려면 [AWS Backup 기능 가용성을 참조](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources)하세요. 논리적 에어 갭 저장소를 지원하는 모든 리소스는이 기능을 사용할 때 별도의 복사본 2개를 저장하는 대신 백업 복사본 1개만 유지 관리하는 원칙을 따릅니다.
**주의**
현재이 기능에 지원되지 않는 리소스는 향후 지원이 활성화될 수 있습니다. 이 경우 새로 지원되는 리소스는 위에 표시된 워크플로를 사용하여 논리적 에어 갭 저장소에 자동으로 백업을 시작합니다.
**고려 사항 및 제한 사항:**
+ **동일한 계정 및 리전만** -이 기능을 사용하려면 논리적 에어 갭 저장소가 리소스와 동일한 AWS 계정 및 리전에 있어야 합니다. 교차 계정 또는 교차 리전에서 직접 백업을 생성할 수 없습니다. 복사본 없이 더 빠르게 복구할 수 있도록 동일한 리전의 논리적 에어 갭 저장소에 백업하는 것이 좋습니다. 재해 복구(DR)를 위해 두 번째 리전의 데이터 사본이 필요한 경우 빠른 장애 조치를 위해 기본 리소스의 리전 간 복제 또는 잠긴 백업 저장소에 대한 리전 간 복구 시점 복사를 권장합니다.
+ ** AWS 관리형 키 사용 시 제약 조건** - 전체 AWS Backup 관리를 지원하지 않고 AWS 관리형 키(예: , `aws/ebs``aws/rds`)로 암호화된 리소스는 논리적 에어 갭 저장소에 복사할 수 없습니다. 이러한 리소스는 고객 관리형 KMS 키로 암호화하거나 암호화되지 않아야 합니다. 전체 AWS Backup 관리를 지원하는 리소스**에는이 제약 조건이 없습니다.**
+ **백업 빈도 및 동시 복사본** - 전체 AWS Backup 관리를 지원하지 않는 리소스의 경우 백업 빈도가 복사본을 완료하는 데 충분한 시간을 허용하는지 확인합니다. 백업이 복사본이 완료될 수 있는 것보다 더 자주 예약되면 복사 작업이 대기열에 추가되어 결국 실패할 수 있습니다. 동시 복사 제한에 대한 지침은 [할당량을 참조하세요](aws-backup-limits.md#lag-vault-quotas-table).
+ **수명 주기 호환성 **- 백업 계획에 지정된 보존 기간은 논리적 에어 갭 저장소에 대해 구성된 최소 및 최대 보존 기간과 호환되어야 합니다.
+ **잠긴 백업 저장소 **- 대상 백업 저장소에 저장소 잠금이 활성화된 경우 임시 복구 시점은 수동으로 삭제할 수 없으며 복사본이 완료되거나 보존 기간이 만료될 때까지 보존됩니다.
+ **복원 테스트, 인덱싱 및 스캔** - 복원 테스트, 복구 시점 인덱싱 및 맬웨어 스캔은 `DELETE_AFTER_COPY` 수명 주기가 있는 임시 복구 시점을 무시합니다. 복구 시점 인덱싱은 논리적 에어 갭 저장소의 복구 시점을 지원하지 않습니다. 맬웨어 스캔은 복사된 복구 시점의 예약된 스캔을 지원하지 않습니다. 여기에는 논리적 에어 갭 저장소에 대한 기본 백업의 일부로 생성된 자동 복사본이 포함됩니다.
### 전체 AWS Backup 관리를 지원하는 리소스
전체 AWS Backup 관리를 지원하는 Amazon EFS, Amazon S3, [AWS Backup 고급 기능이](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html) 있는 Amazon DynamoDB 등과 같은 일부 리소스 유형은 논리적 에어 갭 저장소에 직접 백업할 수 있습니다. 백업 볼트에 복구 시점이 생성되지 않으므로 복사 작업이 필요하지 않습니다. 백업 계획에서 예약된 복사 작업은 논리적 에어 갭 저장소의 복구 시점을 소스로 사용합니다.
Amazon S3와 같이 연속 백업을 지원하는 리소스는 논리적 에어 갭 저장소에 직접 연속 백업을 수행할 수도 있습니다.
전체 AWS Backup 관리 및 논리적 에어 갭 저장소를 지원하는 리소스 유형 목록은 "전체 관리" 및 "논리적 에어 갭 저장소" 열의 [리소스별 기능 가용성](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)을 참조하세요.
### 리소스가 전체 AWS Backup 관리를 지원하지 않음
Amazon EBS/EC2, Amazon Aurora 및 Amazon FSx와 같은 리소스는 논리적 에어 갭 저장소에 직접 백업할 수 없습니다. 이러한 리소스 유형의 경우는 백업 저장소에 임시 복구 시점을 AWS Backup 생성한 다음 논리적 에어 갭 저장소에 자동으로 복사합니다.
임시 복구 시점에는 라는 특수 수명 주기 설정이 있습니다`DELETE_AFTER_COPY`. 논리적 에어 갭 저장소에 대한 복사가 성공적으로 완료되면는 임시 복구 시점을 AWS Backup 자동으로 삭제합니다. 백업 계획의 다른 모든 예약된 복사 작업은 논리적 에어 갭 저장소에 대한 복사와 함께 시작되며 현재 복사 환경에는 영향을 주지 않습니다.
논리적 에어 갭 저장소에 대한 복사가 실패하면 지정한 보존 기간에 따라 임시 복구 시점이 백업 저장소에 유지됩니다. 이렇게 하면 백업 작업이 완료된 후 항상 사용 가능한 복구 시점을 확보할 수 있습니다. 복구 시점이 나중에 논리적 에어 갭 저장소에 수동으로 복사되는 경우 `DELETE_AFTER_COPY` 규칙에 따라 자동으로 정리됩니다.
**주의**
AWS 관리형 키(예: `aws/ebs`)로 암호화된 리소스는 논리적 에어 갭 저장소로 복사할 수 없습니다. 이러한 리소스는 AWS Key Management Service 고객 관리형 키로 암호화하거나 암호화되지 않아야 합니다. 전체 AWS Backup 관리를 지원하는 리소스에는이 제약 조건이 없습니다.
#### 복사 수명 주기 후 삭제
임시 복구 시점에는 값이 `DeleteAfterEvent`인 라는 새 수명 주기 속성이 있습니다`DELETE_AFTER_COPY`. 이 속성은 모든 복사 작업이 완료된 후 또는 지정한 보존 기간 중 먼저 도래하는 시점 이후에 복구 시점이 자동으로 삭제됨을 나타냅니다.
다음 조건이 모두 충족되면 임시 복구 시점이 삭제됩니다.
+ 모든 자동 및 예약된 복사 작업이 완료되었습니다.
+ 보존 기간이 소스 복구 시점 이상인 논리적 에어 갭 저장소에 대해 완료된 복사 작업이 있습니다.
복사본이 진행되는 동안 임시 복구 시점이 수동으로 삭제되지 않도록 해야 하는 경우 잠긴 백업 저장소를 대상 백업 저장소로 사용하는 것이 좋습니다.
#### 전체 AWS Backup 관리를 지원하지 않는 리소스에 대한 연속 백업
Amazon Aurora와 같은 리소스의 경우 연속 백업을 활성화하면는 백업 저장소에 연속 복구 시점을 AWS Backup 생성하고 논리적 에어 갭 저장소에 복사되는 임시 스냅샷을 생성합니다. 백업 저장소에 연속 복구 시점을 유지하기 때문에 복사 성공 또는 실패 여부에 관계없이 복사가 완료된 후 임시 스냅샷이 자동으로 삭제되어야 합니다.
백업 저장소에서 Amazon Aurora에 대한 연속 복구 시점을 생성하지 않고 논리적 에어 갭 저장소에서 Amazon S3에 대한 연속 복구 시점을 원하는 경우 현재 계획에서 연속 백업(`EnableContinuousBackup`) 설정을 비활성화하고 다른 계획에서 S3 연속을 활성화할 수 있습니다.
Amazon Aurora 백업 스토리지 [사용량 이해에서 Aurora 백업 스토리지](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated)에 대해 자세히 알아볼 수 있습니다.
### 지원되지 않는 리소스
논리적 에어 갭 저장소에서 리소스 유형을 지원하지 않거나 완전 관리되지 않는 리소스가 AWS 관리형 키로 암호화된 경우는 백업 저장소에서만 백업을 AWS Backup 생성합니다. 논리적 에어 갭 저장소에 대한 복사는 시도되지 않습니다. 백업 작업은 백업이 논리적 에어 갭 저장소로 이동하지 않은 이유를 나타내는 메시지와 함께 성공적으로 완료됩니다.
## 비용 고려 사항
+ 이 기능에는 새 요금이 부과되지 않습니다. 볼트의 스토리지에 대해서만 비용을 지불합니다.
+ 전체 AWS Backup 관리를 지원하는 리소스의 경우 논리적 에어 갭 저장소에서만 백업을 유지하면 백업 저장소와 논리적 에어 갭 저장소 모두에서 두 개의 백업 복사본을 유지하는 것에 비해 상당한 비용을 절감할 수 있습니다.
+ 전체 AWS Backup 관리를 지원하지 않는 리소스의 경우 백업 저장소의 임시 복구 시점과 논리적 에어 갭 저장소의 복구 시점 모두에 대해 요금이 부과됩니다.
+ 단일 백업 복사본만 보존해도 상당한 비용 절감 효과를 얻을 수 있지만 이러한 절감 효과는 백업 빈도 및 변경 속도에 따라 달라질 수 있습니다.
+ 임시 복구 시점이 청구 기간의 더 짧은 비율 동안 스토리지를 차지하기 때문에 백업 빈도가 낮을수록 일반적으로 비용 절감 효과가 높아집니다.
+ 일부 리소스에는 최소 청구 기간이 있으므로 임시 복구 시점에 대한 비용이 증가합니다.
+ 이러한 S3 기능을 사용하지 않는 경우 백업 구성에서 태그 또는 ACLs 검색을 비활성화합니다. 이렇게 하면 복사 작업 중에 메타데이터 검사에 대한 API 호출 및 관련 요금이 줄어듭니다.
## 논리적 에어 갭 저장소 기본 백업 구성
AWS Backup 콘솔 AWS CLI AWS CloudFormation, 또는 백업 정책을 통해 논리적 에어 갭 저장소 기본 AWS Organizations 백업을 구성할 수 있습니다.
### 백업 계획 구성
------
#### [ Console ]
**백업 계획에 대해 논리적 에어 갭 저장소 기본 백업을 구성하려면**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup) AWS Backup 콘솔을 엽니다.
1. 탐색 창에서 **백업 계획을** 선택한 다음 **백업 계획 생성을** 선택하거나 편집할 기존 백업 계획을 선택합니다.
1. **백업 규칙 구성** 섹션에서 백업 규칙 설정을 지정합니다.
1. **백업 저장소**에서 임시 복구 시점이 저장될 백업 저장소(완전히 관리되지 않는 리소스의 경우) 또는 논리적 에어 갭 저장소에 배치할 수 없는 경우 백업이 저장될 백업 저장소를 선택합니다.
1. **논리적 에어 갭 저장소(선택 사항)**에서 백업을 저장할 논리적 에어 갭 저장소를 선택합니다.
**참고**
논리적 에어 갭 저장소는 백업 저장소와 동일한 계정 및 리전에 있어야 합니다.
1. 수명 주기 및 복사 옵션을 포함하여 나머지 백업 규칙 설정을 구성합니다.
1. **계획 생성** 또는 **변경 사항 저장**을 선택합니다.
------
#### [ AWS CLI ]
CLI 명령을 사용하여 새 계획을 [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli) 생성하거나 기존 계획을 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html) 업데이트하고 백업 규칙에 `TargetLogicallyAirGappedBackupVaultArn` 파라미터를 포함합니다.
JSON 문서를 사용하여 백업 계획을 생성하는 CLI 명령의 예:
```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```
CLI에서 직접 백업 계획을 생성하는 CLI 명령의 예:
```
aws backup create-backup-plan --backup-plan '{
"BackupPlanName": "MyPlan",
"Rules": [
{
"RuleName": "MyRule",
"TargetBackupVaultName": "MyBackupVault",
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
"ScheduleExpression": "cron(0 1 ? * * *)",
"ScheduleExpressionTimezone": "America/Los_Angeles",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 120,
"Lifecycle": {
"DeleteAfterDays": 35
}
}
]
}'
```
------
### 온디맨드 백업 구성
------
#### [ Console ]
**온디맨드 백업을 위해 논리적 에어 갭 저장소 기본 백업을 구성하려면**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup) AWS Backup 콘솔을 엽니다.
1. 탐색 창에서 **보호된 리소스**를 선택합니다.
1. **보호된 리소스** 페이지에서 **온디맨드 백업 생성을** 선택합니다.
1. 백업할 리소스 유형과 리소스 ARN을 선택합니다.
1. **백업 볼트**에서 백업 볼트를 선택합니다.
1. **논리적 에어 갭 저장소(선택 사항)**에서 백업을 저장할 논리적 에어 갭 저장소를 선택합니다.
1. 나머지 설정을 구성하고 **온디맨드 백업 생성을** 선택합니다.
------
#### [ AWS CLI ]
start-backup-job 명령을 새 `--logically-air-gapped-backup-vault-arn` 파라미터와 함께 사용합니다.
```
aws backup start-backup-job \
--backup-vault-name MyBackupVault \
--logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault \
--resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234 \
--iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole \
--lifecycle DeleteAfterDays=35
```
------
## 논리적 에어 갭 저장소 기본 백업 모니터링
AWS Backup 콘솔 AWS CLI또는 Amazon EventBridge 이벤트를 사용하여 백업 및 복사 작업의 상태를 모니터링할 수 있습니다.
### 백업 작업 모니터링
백업 작업 상태([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html))를 모니터링하여 리소스가 보호되도록 합니다. 백업 작업이 실패하면 복구 시점이 생성되지 않은 것입니다.
+ **복구 시점 생성 위치 확인** - 백업 작업이 성공적으로 완료되면 대상 백업 저장소 또는 대상 논리적 에어 갭 저장소에 복구 시점이 있습니다. `BackupVaultArn` 필드를 확인하여 복구 시점이 생성된 위치를 확인합니다.
+ **작업 상태 확인** - 논리적 에어 갭 저장소에서 리소스를 지원하지 않는 경우 백업 작업은 `MessageCategory`의 `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED`와 백업 저장소에서 백업이 생성된 이유를 설명하는 상태 메시지로 완료됩니다.
+ **임시 복구 시점 유형 확인** - 복구 시점이 일시적인지 확인하려면 값이 인 `RecoveryPointLifecycle.DeleteAfterEvent` 필드를 찾습니다`DELETE_AFTER_COPY`.
### 복사 작업 모니터링
논리적 에어 갭 저장소에 대한 복사 작업([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html))의 실패 여부를 모니터링합니다. 복사 작업이 실패하면 복구 시점이 논리적 에어 갭 저장소 보호 없이 표준 백업 저장소에 남아 있습니다.
+ **복사 작업 상태 확인** - 기존 `Copy Job State Change` EventBridge 이벤트를 사용하여 복사 작업 상태를 모니터링할 수 있습니다. 선택적으로 대상 저장소(`destinationBackupVaultArn`)를 필터링하여 논리적 에어 갭 저장소 복사본에 초점을 맞춥니다.
+ **소스 복구 시점의 복사본 확인** - [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html) API를 새 `BySourceRecoveryPointArn` 필터와 함께 사용하여 논리적 에어 갭 저장소에 대한 자동 복사본과 다른 대상에 대한 예약된 복사본을 포함하여 특정 복구 시점과 연결된 모든 복사 작업을 찾습니다.
+ **임시 복구 시점 삭제 확인** - 임시 복구 시점 삭제 완료를 추적합니다. 복사 작업 상태가 이면 `RUNNING`복구 시점이 아직 삭제되지 않은 것입니다. 논리적 에어 갭 저장소에 대한 사본에이 있는 경우 `FAILED`복구 시점은 지정된 보존 기간에 따라 보존됩니다.
**참고**
복사 작업 레코드는 만료되고 완료 후 30일이 지나면 제거됩니다. 이 기간이 지나면 `ListCopyJobs`를 사용하여 기록 복사 상태를 확인할 수 없습니다.
### 복구 시점 모니터링
가 복구 시점을 삭제할 AWS Backup 수 없음을 나타낼 수 있는 `EXPIRED` 복구 시점([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html))을 모니터링합니다(권한 누락 때문일 수 있음). `EXPIRED` 복구 시점은 비용에 영향을 미칠 수 있습니다.
+ **복구 시점 상태 확인** - 기존 복구 시점 상태 변경 EventBridge 이벤트를 사용하여 만료를 모니터링합니다.
+ **임시 복구 시점 삭제 확인** -의 복구 시점`DeleteAfterEvent: DELETE_AFTER_COPY`이 삭제되지 않은 경우 위에서 언급한 대로 `ListCopyJobs` API를 사용하여 이유를 확인합니다.
## 온보딩 및 마이그레이션
현재 복사 작업을 사용하여 논리적 에어 갭 저장소에 백업을 복사하는 경우 논리적 에어 갭 저장소 기본 백업으로 마이그레이션하여 비용을 절감할 수 있습니다. 기존 Amazon S3 연속 백업을 백업 저장소에서 논리적 에어 갭 저장소로 마이그레이션할 수도 있습니다. 이 가이드에서는 논리적 에어 갭 저장소 기본 백업 기능으로 마이그레이션하는 데 필요한 사전 조건과 단계를 설명합니다.
### 사전 조건 및 모범 사례
논리적 에어 갭 저장소 기본 백업 기능을 효과적으로 사용하기 전에 사전 조건과 권장 모범 사례가 있습니다.
**사전 조건**
현재, 기본 백업 대상으로 논리적 에어 갭 저장소는 백업 리소스와 동일한 AWS 계정 및 AWS 리전 내의 백업만 지원합니다. 논리적 에어 갭 저장소 백업은 본질적으로 별도의 서비스 계정에 저장되므로 별도의 계정에 복사할 필요 없이 교차 계정/교차 조직 격리를 제공합니다. 리전 간 백업이 필요한 경우 논리적 에어 갭 저장소를 복사 대상으로 계속 사용합니다. 이 기능으로 마이그레이션하기 전에 다음 요구 사항을 충족하는지 확인합니다.
+ **리전 및 계정 요구 사항**
+ 논리적 에어 갭 저장소는 리소스와 동일한 AWS 계정 및 리전에 있어야 합니다.
+ **리소스 호환성**
+ 리소스별 [기능 가용성](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)에서 논리적 에어 갭 저장소가 리소스를 지원하는지 확인합니다.
+ 리소스가 [전체 AWS Backup 관리를](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) 지원하는지 확인합니다. 에어 갭 백업을 생성하는 경험은 두 리소스 유형 간에 차이가 있지만 두 리소스의 결과는 비슷합니다.
+ **암호화 요구 사항**
+ 전체 AWS Backup 관리를 지원하지 않는 리소스는 암호화되지 않거나 고객 관리형 키(CMKs)로 암호화되어야 합니다. AWS Managed Key(AMK) 암호화된 리소스는 논리적 에어 갭 저장소에서 지원되지 않습니다.
**모범 사례**
+ 중요하지 않은 리소스의 파일럿 마이그레이션으로 시작합니다.
+ 복사 작업 성능에 따라 백업 빈도를 검토하고 조정합니다.
+ 전체 마이그레이션 전에 포괄적인 모니터링을 구현합니다.
+ 의도한 볼트에서 복구 시점 생성을 정기적으로 확인합니다.
### 마이그레이션 계획
+ 기존 백업 계획 및 정책을 검토합니다.
+ 전체 AWS Backup 관리를 지원하는 리소스와 지원하지 않는 리소스를 식별합니다.
+ 전체 AWS Backup 관리를 지원하는 리소스(예: EFS, S3) - 논리적 에어 갭 저장소에 직접 백업할 수 있음
+ 전체 AWS Backup 관리를 지원하지 않는 리소스(예: EC2, EBS, FSx) - 논리적 에어 갭 저장소에 복사하기 전에 백업 저장소에 임시 백업 필요
+ 현재 백업 볼륨 및 빈도를 검토하고 구성이 전체 AWS Backup 관리를 지원하지 않는 모든 리소스에 대한 동시 복사 제한과 일치하는지 확인합니다.
+ 표준 저장소 백업과 동일한 빈도로 논리적 에어 갭 저장소에 이미 복사한 경우이 단계를 건너뜁니다.
+ 필요한 경우 백업 빈도를 조정하여 복사 작업 대기열을 방지하는 것이 좋습니다.
+ 복사 작업 대기열이 발생하면 논리적 에어 갭 저장소로 복사가 완료될 때까지 기다리는 동안 표준 백업 저장소에 여전히 사용 가능한 복구 시점이 있습니다. 그러나이 복구 시점은 논리적 에어 갭 저장소가 제공하는 보호 수준을 제공하지 않습니다.
### 전체 AWS Backup 관리 마이그레이션 경로를 지원하는 리소스
완전 관리형 리소스의 경우 복사 작업 없이 논리적 에어 갭 저장소에 직접 백업할 수 있습니다.
#### 스냅샷 기반 백업의 경우
이 프로세스는 백업 볼트가 잠겨 있는지 여부에 관계없이 모든 스냅샷 시나리오에 적용됩니다. 기존 백업 계획을 마이그레이션하거나 새 백업 계획에서 기존 백업 저장소(기본) 및 논리적 에어 갭 저장소(복사)를 사용하는 경우:
1. 기존 백업 볼트를 유지 관리하거나 백업 대상(`TargetBackupVaultName`)으로 추가합니다. 이 볼트는 백업을 저장하지 않지만 이전 버전과의 호환성을 위해 제공해야 합니다.
1. 동일한 계정에 있는 논리적 에어 갭 저장소(`TargetLogicallyAirGappedBackupVaultArn`)를 기본 대상으로 포함하도록 백업 계획을 업데이트합니다.
1. 다른 논리적 에어 갭 저장소에 대한 기존 복사 작업을 검토하여 여전히 필요한지 확인합니다. 동일한 계정에 있는 경우 2단계에서이 볼트를 기본 대상으로 이동할 수도 있습니다.
#### Amazon S3 연속 백업의 경우
논리적 에어 갭 저장소를 기본 백업 대상으로 사용하면 Amazon S3에 대한 연속 백업을 지원합니다. 그러나 단일 볼트에서 리소스당 하나의 활성 연속 복구 시점만 유지할 수 있습니다. 기존 활성 Amazon S3 연속 복구 시점이 있는 경우 다른 볼트에 새 복구 시점을 생성하기 전에 연결을 해제하거나 삭제해야 합니다. 기존 활성 Amazon S3 연속 복구 시점을 사용하여 논리적 에어 갭 저장소 대상(동일한 계정에서)을 백업 계획에 추가하면 연속 백업 작업이 실패합니다.
**잠금 해제된 백업** 저장소에서 논리적 에어 갭 저장소로 Amazon S3 연속 복구 시점을 마이그레이션하려면:
1. 논리적 에어 갭 저장소에 복사 작업을 추가하도록 백업 계획을 업데이트합니다. 이렇게 하면 논리적 에어 갭 저장소에서 초기 백업을 생성하는 데 드는 비용이 절감됩니다. 로컬 논리적 에어 갭 저장소에 이미 복사하고 있는 경우이 단계를 건너뜁니다.
1. 계속하기 전에 하나 이상의 스냅샷 복사가 논리적 에어 갭 저장소에서 성공적으로 완료되었는지 확인합니다.
1. 기존 Amazon S3 연속 복구 시점의 연결을 해제합니다. [DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) API를 호출하여 복구 시점 상태를 AVAILABLE에서 STOPPED로 변경합니다. 이 작업은 새 데이터가 추가되지 않도록 하는 동시에 기존 백업 데이터를 보존합니다.
1. 논리적 에어 갭 저장소(`TargetLogicallyAirGappedBackupVaultArn`)를 백업 대상으로 추가하도록 백업 계획을 업데이트합니다.
1. 계획에서 이전 복사 작업을 제거합니다.
1. 다음 백업 계획 실행 시 논리적 에어 갭 저장소에 새로운 연속 복구 시점이 생성됩니다. 이 복구 시점은 1단계에서 복사한 스냅샷을 기반으로 증분됩니다.
Amazon S3 연속 복구 시점을 **잠긴 백업** 저장소에서 논리적 에어 갭 저장소로 마이그레이션하려면:
1. 논리적 에어 갭 저장소에 복사 작업을 추가하도록 백업 계획을 업데이트합니다. 이렇게 하면 논리적 에어 갭 저장소에서 초기 백업을 생성하는 데 드는 비용이 절감됩니다. 로컬 논리적 에어 갭 저장소에 이미 복사하고 있는 경우이 단계를 건너뜁니다.
1. 계속하기 전에 하나 이상의 스냅샷 복사가 논리적 에어 갭 저장소에서 성공적으로 완료되었는지 확인합니다. 복사된 스냅샷의 보존 기간이 모든 단계를 완료할 때까지 계속 사용할 수 있을 만큼 충분히 긴지 확인합니다.
1. 논리적 에어 갭 저장소를 기본 대상으로 추가하고 복사 작업을 제거합니다.
1. 잠긴 저장소는 연속 복구 시점의 연결 해제를 지원하지 않으므로이 단계가 필요합니다.
1. 잠긴 백업 저장소의 기존 연속 복구 시점은 수명 주기에 따라 만료될 때까지 데이터를 계속 누적합니다.
1. 리소스당 하나의 활성 연속 복구 시점만 존재할 수 있으므로 새 연속 백업 작업이 실패합니다. 이러한 작업이 실패하므로 복사 작업이 실행되지 않습니다.
1. 기존 연속 복구 시점이 만료될 때까지 기다립니다. 만료 후에는 논리적 에어 갭 저장소에 새로운 연속 복구 시점이 생성됩니다. 스냅샷이 논리적 에어 갭 저장소에 여전히 존재하는 경우이 복구 시점은 1단계에서 복사한 스냅샷을 기반으로 증분됩니다.
1. 표준 볼트에 누적된 모든 데이터는 만료 시 손실됩니다. 논리적 에어 갭 저장소에서 새 복구 시점을 생성한 후 백업된 데이터만 유지됩니다.
### 전체 AWS Backup 관리 마이그레이션 경로를 지원하지 않는 리소스
완전 관리되지 않는 리소스에는 논리적 에어 갭 저장소에 대한 복사 작업이 필요합니다. 이 프로세스는 표준 백업 저장소에 임시 복구 시점(청구 가능)을 생성하며,이 시점은 논리적 에어 갭 저장소에 자동으로 복사된 다음 복사가 완료된 후 삭제됩니다. 논리적 에어 갭 저장소 대상을 포함하도록 백업 계획을 업데이트하는 경우:
+ 백업 작업은 백업 볼트에 복구 시점을 생성합니다. 여기에는 `DELETE_AFTER_COPY` 이벤트에 의해 지시되는 수명 주기가 있습니다.
+ 복사 작업은 복구 시점을 논리적 에어 갭 저장소로 자동 전송하기 시작합니다.
+ 복사가 성공적으로 완료되면 볼트의 임시 복구 시점이 삭제됩니다.
+ 복사에 실패하면 지정된 보존 기간에 따라 임시 복구 시점이 최대 기간 동안 유지되므로 사용 가능한 복구 시점이 확보됩니다.
## 문제 해결
### 수명 주기 비호환성 오류와 함께 백업 또는 복사 작업이 실패함
**백업 작업에 대한 오류:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`
**복사 작업 오류:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`
**가능한 원인:** 보존 기간이 논리적 에어 갭 저장소의 최소 또는 최대 보존 설정과 호환되지 않아 백업 작업 또는 복사 작업이 실패합니다.
**해결 방법:** 논리적 에어 갭 저장소에 대해 구성된 최소 및 최대 보존 기간 내에 속하는 보존 기간을 지정하도록 백업 계획을 업데이트합니다.
### "이미 연속 백업이 활성화되어 있습니다"와 함께 연속 백업 작업이 실패합니다.
**오류:** `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`
**가능한 원인:** 다른 볼트에 리소스에 대한 연속 복구 시점이 이미 있으므로 연속 백업 작업이 실패합니다.
**해결 방법:** 각 리소스에는 연속 복구 시점이 하나만 있을 수 있습니다. 백업 볼트가 잠금 해제된 경우 [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) 명령을 사용하여 기존 연속 복구 시점의 연결을 해제합니다. 백업 볼트가 잠긴 경우 수명 주기에 따라 기존 연속 복구 시점이 만료될 때까지 기다립니다.
### 백업 작업이 '문제와 함께 완료됨'으로 완료됨 - 지원되지 않는 리소스 유형
**메시지**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`
**가능한 원인:** 지원되지 않는 완전 관리형 리소스에 대한 백업 작업은 리소스가 지원되지 않음을 나타내는 메시지와 함께 '문제가 있는 완료됨'으로 표시됩니다.
**해결 방법:** 지원되지 않는 리소스 유형은 백업 볼트에만 백업됩니다. 이러한 백업을 백업 볼트에 보관하려는 경우 별도의 조치가 필요하지 않습니다. 지원되지 않는 리소스를 논리적 에어 갭 저장소와 혼합하지 않으려면 다음을 수행할 수 있습니다.
+ 이러한 리소스의 백업 계획에서 리소스 또는 논리적 에어 갭 저장소 대상을 제거하고 백업 저장소에만 백업을 계속합니다. 나중에 다른 계획의 일부로 리소스를 추가할 수 있습니다.
### 백업 작업이 '문제와 함께 완료됨'으로 완료됨 - 지원되지 않는 암호화 키
**메시지**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`
**가능한 원인:** 지원되지 않는 완전 관리형 리소스에 대한 백업 작업은 리소스가 AWS 관리형 키로 암호화되었음을 나타내는 메시지와 함께 “문제와 함께 완료됨”으로 표시됩니다.
**해결 방법:** 관리형 키로 암호화된 완전하지 않은 AWS 관리형 리소스는 논리적 에어 갭 저장소에 복사할 수 없습니다. 이러한 백업을 백업 볼트에 보관하려는 경우 별도의 조치가 필요하지 않습니다. 지원되지 않는 리소스를 논리적 에어 갭 저장소와 혼합하지 않으려면 다음을 수행할 수 있습니다.
+ 고객 관리형 KMS 키를 사용하여 리소스를 다시 암호화하거나
+ 이러한 리소스의 백업 계획에서 리소스 또는 논리적 에어 갭 저장소 대상을 제거하고 백업 저장소에만 백업을 계속합니다. 나중에 다른 계획의 일부로 리소스를 추가할 수 있습니다.
### 복구 시점은 `EXPIRED` 상태로 유지됩니다.
**가능한 원인:** 임시 복구 시점이 `EXPIRED` 상태로 전환되지만 삭제되지는 않습니다.
**해결 방법:** AWS Backup 복구 시점을 삭제할 권한이 없을 수 있습니다. 백업 역할에 필요한 IAM 권한이 있는지 확인합니다. `expired` 복구 시점을 수동으로 삭제해야 할 수 있습니다.
### 백업 빈도가 높아 복사 작업이 대기열에 있거나 실패함
**가능한 원인:** 백업이 복사본이 완료될 수 있는 것보다 더 자주 예약되므로 논리적 에어 갭 저장소로 작업 복사가 대기열에 추가되거나 실패합니다.
**해결 방법:** 백업 빈도를 줄이거나 백업 일정을 조정하여 백업 사이에 더 많은 시간을 허용합니다. 동시 복사 제한에 대한 자세한 내용은 [AWS Backup 할당량 설명서를 참조하세요](aws-backup-limits.md#lag-vault-quotas-table).
# 논리적 에어 갭 저장소에 대한 다자간 승인
## 논리적 에어 갭 저장소의 다자간 승인 개요
AWS Backup 는의 기능인 [다자간 승인을](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) 논리적 에어 갭 저장소 AWS Organizations에 추가할 수 있는 옵션을 제공합니다. 다자간 승인은 분산 승인 프로세스를 통해 중요한 작업을 보호하는 데 도움이 되는 추가 옵션을 제공합니다.
다자간 승인은 중요한 리소스를 보호하고 악의적인 행위자 또는 맬웨어 이벤트로 인한 중단과 같은 전체 작업으로 돌아가는 시간을 최소화하도록 설계되었습니다. 이 설정은 손상되었을 수 있는 논리적 에어 갭 저장소의 콘텐츠를 복원하는 데 도움이 될 수 있습니다.
AWS Backup 논리적 에어 갭 저장소와 다자간 승인 팀을 통합하고 사용하는 데 드는 추가 비용은 없습니다([요금](https://aws.amazon.com/backup/pricing) 페이지에 표시된 대로 스토리지 및 교차 리전 전송 요금 적용).
AWS Backup 고객은 다자간 승인을 사용하여 기본 계정 사용을 손상시킬 수 있는 악의적인 활동이 의심되는 경우 별도로 생성된 복구 계정에서 논리적 에어 갭 저장소에 대한 액세스를 공동으로 승인할 수 있는 신뢰할 수 있는 개인 그룹에 일부 작업의 승인 기능을 부여할 수 있습니다.
다음 단계에서는 복구 AWS 조직 설정, 다자간 승인 설정, 논리적 에어 갭 저장소와 함께 다자간 승인 사용을 위한 권장 흐름을 간략하게 설명합니다.
1. 관리자는 복구 작업에 사용할 새 조직을 [Organizations를 통해 생성합니다](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html).
1. 이 새 조직의 관리 계정에서 관리자는 IAM Identity Center(IDC) 인스턴스를 생성하고 구성합니다(조직 인스턴스를 활성화하려면 *IAM Identity Center 사용 설명서*의 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)를 참조하세요. *다자간 승인 사용 설명서*의 [다자간 승인 ID 소스 생성](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) 시퀀스도 참조하세요.
1. 그런 다음 관리자는 다자간 승인의 기본 사용자가 될 신뢰할 수 있는 개인으로 구성된 핵심 그룹인 [승인 팀을 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)합니다.
1. 관리자는 AWS RAM 를 사용하여 논리적 에어 갭 저장소를 소유한 각 계정과 해당 저장소에 대한 액세스를 요청해야 하는 복구 계정과 [승인 팀을 공유합니다](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram).
1. 논리적 에어 갭 저장소 소유 계정의 관리자는 [저장소를 승인 팀과 연결합니다](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team).
1. 복구 계정은 연결된 다자간 승인 팀(“팀”)과 논리적 에어 갭 저장소가 있는 계정에 대한 [액세스를 요청합니다](multipartyapproval-tasks-requester.md#create-restore-access-vault). 계정과 연결된 팀이 [요청을 승인하거나 거부합니다](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).
1. 논리적 에어 갭 저장소를 소유한 계정의 관리자는 [승인 팀을 저장소에서 연결 해제](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)하도록 요청할 수 있습니다. 요청을 수행하려면 현재 팀의 승인이 필요합니다.
1. 관리자는 보안 관행에 따라 필요에 따라 또는 사람들이 조직에 가입하거나 조직을 떠날 때 [승인 팀 멤버십을 업데이트할](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) 수 있습니다.
## 논리적 에어 갭 저장소에서 다자간 승인을 사용하기 위한 전제 조건 및 모범 사례
논리적 에어 갭 저장소에서 다자간 승인을 효과적이고 안전하게 사용하기 전에 전제 조건과 권장 모범 사례가 있습니다.
**모범 사례:**
+ Organizations를 통해 두 개(또는 그 이상)의 AWS 조직. 하나는 하나 이상의 논리적 에어 갭 저장소가 있는 계정이 있는 기본 조직이어야 합니다. 보조 조직은 복구 조직이어야 합니다. 이 조직에서는 다자간 승인 팀을 관리합니다.
**사전 조건**
1. [다자간 승인을 설정](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)했으며 하나 이상의 승인 팀이 있습니다.
1. 기본 조직의 하나 이상의 계정에 논리적 에어 갭 저장소(및 원래 백업 저장소)가 있어야 합니다.
1. 기본 조직의 관리 계정은 다자간 승인에 옵트인됩니다.
**작은 정보**
AWS Backup 에서는 기본 조직에 서비스 제어 정책(SCP)을 적용하고 조직 및 각 승인 팀에 대한 적절한 권한으로 구성할 것을 권장합니다. 샘플 정책은 [다자간 승인 조건](#multipartyapproval-terms) 섹션을 참조하세요.
1. 보조(복구) 조직의 다자간 승인 팀은 [AWS RAM를 통해](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) 논리적 에어 갭 저장소를 소유한 계정 및 복구 계정과 공유됩니다.
## 다자간 승인 사용 시 교차 리전 고려 사항 및 종속성
다자간 승인을 활성화하고 다른 리전의 IAM Identity Center 인스턴스를 활성화하면 다자간 승인은 리전 간에 IAM Identity Center를 호출합니다. 즉, 사용자 및 그룹 정보가 리전 간에 이동합니다. 다자간 승인 팀 리소스는 AWS 리전 미국 동부(버지니아 북부)에서만 생성하고 저장할 수 있습니다.
다자간 승인 팀 리소스를 참조 AWS 리전 하는 다른는 AWS 리전 미국 동부(버지니아 북부)에 따라 달라집니다. 따라서 Identity Center 인스턴스 및/또는 논리적 에어 갭 저장소가 미국 동부(버지니아 북부)에 있지 않은 경우 다자간 승인은 교차 리전 호출을 수행합니다.
## 다자간 승인 조건, 개념 및 사용자 페르소나
논리적 에어 갭 저장소의 다자간 승인은 ( IAM) 및 AWS Identity and Access Management ( AWS RAM RAM) 기능과 AWS Backup함께 AWS Organizations AWS Account Management, 및의 통합입니다. CLI를 통해 각 서비스와 상호 작용하여 적절한 명령을 보낼 수 있습니다. 콘솔을 사용할 수도 있지만 특정 작업을 완료하려면 적절한 서비스의 콘솔로 이동해야 합니다.
다자간 승인과 상호 작용하는 방법은 조직의 역할과 책임, AWS Backup 계정에서 보유한 권한에 따라 달라집니다.
[다자간 승인 사용 설명서](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)에 표시된 대로 다자간 승인을 사용하는 조직의 구성원은 ***요청자***, ***관리자*** 또는 ***승인자***가 됩니다. 특정 권한은 각 [직무](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)에 적용됩니다. 보안 모범 사례에 따라 사용자는 하나의 직무만 수행해야 합니다.
**콘솔, 포털 및 세션**
AWS Backup 논리적 에어 갭 저장소가 하나 이상 있는 계정은 다자간 승인을 사용할 수 있습니다.
다자간 승인 프로세스 전에 이전에 설정하지 않은 경우 관리자는 AWS Organizations 를 사용하여 복구 목적으로 보조 조직(**복구 조직**)을 생성합니다.
그런 다음 관리자는 AWS Resource Access Manager (RAM)을 사용하여 기본 조직과 복구 조직 간의 조직 간 공유를 설정합니다.
**기본 조직**은 보호된 데이터를 저장하는 논리적 에어 갭 저장소를 소유하고 사용하는 계정이 있습니다.
복구 조직은 하나 이상의 **복구 계정**이 있습니다. 이 계정에는 공유형 논리적 에어 갭 저장소에 대한 중요한 '백도어' 역할을 할 수 있는 액세스 포인트가 있습니다. 이 액세스 포인트를 **복원 액세스 백업 저장소**라고 합니다. 이 액세스 저장소는 데이터를 저장하지 않습니다. 대신 액세스 또는 탑재 지점 역할을 하여 소스의 콘텐츠를 논리적 에어 갭 저장소로 미러링하지만 변경 또는 삭제할 수 있는 데이터는 포함하지 않습니다. 예를 들어 고객이 복원 액세스 백업 저장소의 복구 시점에 대한 복원 프로세스를 거치는 경우, 이는 논리적 에어 갭 저장소의 복구 시점으로, 복구 계정을 통해 교차 계정 복원을 통해 복원됩니다.
보안을 강화하기 위해 고객은 이 복구 계정을 사용하여 기본 계정에서 보호된 작업을 수행합니다. 단, [승인 세션에서 관련 승인 팀](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)을 승인 받은 후에만 가능합니다. 승인 요청이 전송되고 AWS 승인 팀원의 임계값이 요청을 승인 또는 거부하거나 허용된 세션 시간이 경과하면 세션이에 의해 생성됩니다.
팀은 보호된 작업 요청에 대한 이메일 알림을 수신하는 **승인자**(효과적으로 다자간 승인의 *당사자* 부분)로 구성됩니다. 이러한 이메일은 요청에 대한 승인 세션이 시작되었음을 확인합니다. 필요한 최소 승인 임곗값에 도달하면 승인이 부여됩니다. 이 임곗값은 **다자간 승인 팀**(“팀”)이 생성될 때 설정할 수 있습니다.
다자간 승인 팀은 승인 팀원이 승인 팀 초대 및 운영 요청을 수신하고 응답할 수 있는 중앙 위치를 자격 증명에 제공하는 AWS 관리형 애플리케이션인 Organizations **다자간 승인 포털**(“포털”)을 통해 관리됩니다.
# 관리자 작업
AWS Backup 및 다자간 개요와 관련된 여러 작업에서 관리자 권한과 관리 계정에 대한 액세스 권한이 있는 사용자가 필요했습니다.
## 승인 팀 생성
AWS 계정에 대한 관리자 권한이 있는 조직의 사용자는 [다자간 승인을 설정해야](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) 합니다([개요](multipartyapproval.md#multipartyapproval-overview)의 3단계).
이 단계를 수행하기 전에 AWS Organizations ([개요](multipartyapproval.md#multipartyapproval-overview)의 1단계)를 통해 기본 조직과 보조 조직(복구 목적)을 모두 설정하는 것이 좋습니다.
팀을 생성하려면 *다자간 승인 사용 설명서*의 [승인 팀 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)을 참조하세요.
[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) 작업 과정에서 파라미터 중 하나는 `policies`입니다. 팀을 보호하는 권한을 정의하는 다자간 승인 리소스 정책의 ARN(Amazon 리소스 이름) 목록입니다.
[승인 팀 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) 절차의 *다자간 승인 사용 설명서*의 예제에 표시된 정책에는 몇 가지 필요한 권한이 있는 `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` 정책이 포함되어 있습니다.
다음 단계에 따라 `mpa list-policies`를 사용하여 사용 가능한 정책 목록을 반환합니다.
1. 정책 나열:
```
aws mpa list-policies --region us-east-1
```
1. 모든 정책 버전을 나열합니다.
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. 정책에 대한 세부 정보를 가져옵니다.
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
이 작업을 통해 생성되어 승인 팀에 연결될 정책을 보려면 아래를 확장합니다.
### 저장소 액세스 정책 복원
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## 를 사용하여 다자간 승인 팀 공유 AWS RAM
[개요](multipartyapproval.md#multipartyapproval-overview)의 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 4단계를 사용하여 다자간 승인 팀을 다른 AWS 계정과 공유할 수 있습니다.
------
#### [ Console ]
**를 사용하여 다자간 승인 팀 공유 AWS RAM**
1. [AWS RAM 콘솔](https://console.aws.amazon.com/ram/home?region=us-east-1)에 로그인합니다.
1. 탐색 창에서 **리소스 공유**를 선택합니다.
1. **리소스 공유 생성**을 선택합니다.
1. **이름** 필드에 리소스 공유를 설명하는 이름을 입력합니다.
1. **리소스 유형**의 드롭다운 메뉴에서 **다자간 승인 팀**을 선택합니다.
1. **리소스**에서 공유할 승인 팀을 선택합니다.
1. **보안 주체**에서 승인 팀을 공유할 AWS 계정을 지정합니다.
1. 특정 AWS 계정과 공유하려면 **AWS 계정을** 선택하고 12자리 계정 IDs 입력합니다.
1. 조직 또는 조직 단위와 공유하려면 **조직** 또는 **조직 단위**를 선택하고 적절한 ID를 입력합니다.
1. (*선택 사항*) **태그**에서 이 리소스 공유와 연결할 태그를 추가합니다.
1. **리소스 공유 생성**을 선택합니다.
리소스 공유 상태는 처음에 `PENDING`로 표시됩니다. 수신자 계정이 초대를 수락하면 상태가 `ACTIVE`로 변경됩니다.
------
#### [ CLI ]
CLI를 AWS RAM 통해를 사용하여 다자간 승인 팀을 공유하려면 다음 명령을 사용합니다.
먼저 공유하려는 승인 팀의 ARN을 식별합니다.
```
aws mpa list-approval-teams --region us-east-1
```
create-resource-share 명령을 사용하여 리소스 공유를 생성합니다.
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
특정 계정 대신 조직과 공유하려면:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
리소스 공유의 상태를 확인합니다.
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
수신자 계정은 리소스 공유 초대를 수락해야 합니다.
```
aws ram get-resource-share-invitations --region us-east-1
```
수신자 계정에서 실행하여 초대를 수락합니다.
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
초대가 수락되면 수신자 계정에서 다자간 승인 팀을 사용할 수 있습니다.
------
AWS 는 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share) 및 [다자간](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html) 액세스를 포함하여 계정 액세스를 공유하는 도구를 제공합니다. 논리적 에어 갭 저장소를 다른 계정과 공유하도록 선택한 경우 다음 세부 정보를 고려하세요.
| 기능 | AWS RAM 기반 공유 | 다자간 승인 기반 액세스 |
| --- | --- | --- |
| 논리적 에어 갭 저장소에 액세스 | RAM 공유가 완료되면 저장소에 액세스할 수 있습니다. | 다른 계정의 모든 시도는 다자간 승인 팀원의 임계 수에 의해 승인되어야 합니다. 요청이 시작된 후 24시간이 지나면 승인 세션이 자동으로 만료됩니다. |
| 액세스 제거 | 논리적 에어 갭 저장소를 소유한 계정은 언제든지 RAM 기반 공유를 종료할 수 있습니다. | 저장소에 대한 액세스는 다자간 승인 팀에 대한 요청으로만 제거할 수 있습니다. |
| 계정 및/또는 리전 간에 복사 | 현재 지원되지 않습니다. | 백업은 동일한 계정 내에서 복사하거나 복구 계정과 동일한 조직의 다른 계정으로 복사할 수 있습니다. |
| 교차 리전 전송 결제 | | 교차 리전 전송은 복원 액세스 백업 저장소를 소유한 동일한 계정으로 청구됩니다. |
| 권장 용도 | 기본 용도는 데이터 손실 복구 및 복원 테스트입니다. | 기본 용도는 계정 액세스 또는 보안이 손상된 것으로 의심되는 상황을 위한 것입니다. |
| 리전 | 논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다. | 논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다. |
| 복원 | 지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다. | 지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다. |
| 설정 | 공유는 AWS Backup 계정이 RAM 공유를 설정하고 수신 계정이 공유를 수락하는 즉시 발생할 수 있습니다. | 공유하려면 먼저 관리 계정이 팀을 생성한 다음 RAM 공유를 설정해야 합니다. 그런 다음 관리 계정은 다자간 승인을 선택하고 해당 팀을 논리적 에어 갭 저장소에 할당합니다. |
| 공유 중 | 공유는 동일한 AWS 조직 내 또는 조직 간에 AWS RAM을 통해 수행됩니다. 논리적 에어 갭 저장소를 소유한 계정이 먼저 액세스 권한을 부여하는 '푸시' 모델에 따라 액세스 권한이 부여됩니다. 그러면 다른 계정이 액세스를 수락합니다. | 논리적 에어 갭 저장소에 대한 액세스는 동일한 AWS 조직 내 또는 조직 전체에서 Organizations가 지원하는 승인 팀을 통해 이루어집니다. 액세스 권한은 수신 계정이 먼저 액세스를 요청하는 '풀' 모델에 따라 부여되며, 승인 팀은 요청을 부여하거나 거부합니다. |
# 요청자 작업
## 다자간 승인 팀을 논리적 에어 갭 저장소와 연결
요청자: **논리적 에어 갭 저장소를 소유한 계정에 액세스할 수 있는 사용자**입니다.
다자간 승인 팀을 논리적 에어 갭 저장소와 연결하여 저장소에 대한 액세스를 공동 승인할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 5단계).
------
#### [ Console ]
**다자간 승인 팀을 논리적 에어 갭 저장소와 연결**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. MPA 팀과 연결할 논리적 에어 갭 백업 저장소를 선택합니다.
1. **저장소 세부 정보** 페이지에서 **승인 팀 할당**을 선택합니다.
1. 드롭다운 메뉴에서 저장소와 연결할 승인 팀을 선택합니다.
1. *선택 사항* 연결 이유를 설명하는 설명을 입력합니다.
1. **요청 전송**을 선택하여 연결 요청을 제출합니다.
저장소와 연결할 첫 번째 승인 팀인 경우 팀은 저장소와 연결됩니다. 저장소에 이미 연결된 팀이 있는 경우 단계는 [다자간 승인 팀 업데이트](#update-multpartyapproval-team)를 참조하세요.
------
#### [ CLI ]
다음 파라미터를 통해 수정한 `associate-backup-vault-mpa-approval-team` CLI 명령을 사용합니다.
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
저장소와 연결할 첫 번째 승인 팀인 경우 팀은 저장소와 연결됩니다. 저장소에 이미 연결된 팀이 있는 경우 단계는 [다자간 승인 팀 업데이트](#update-multpartyapproval-team)를 참조하세요.
------
## 논리적 에어 갭 저장소에 대한 액세스 요청
요청자: **복구 계정에 액세스할 수 있는 사용자**입니다.
다른 계정의 논리적 에어 갭 저장소에 대한 액세스를 요청할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 6단계).
승인 팀이 요청을 부여한 후는 지정된 복구 계정에 복원 액세스 백업 저장소를 AWS Backup 생성하여 계정이 연결된 논리적 에어 갭 저장소의 복구 시점에 액세스할 수 있도록 합니다.
------
#### [ Console ]
**논리적 에어 갭 저장소에 대한 액세스 요청**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동
1. **MPA를 통해 액세스할 수 있는 저장소** 탭 선택
1. **저장소 액세스 요청**을 선택합니다.
1. 액세스하려는 논리적 에어 갭 저장소의 소스 백업 저장소 ARN을 입력합니다.
1. 복원 액세스 백업 저장소의 선택적 이름을 입력합니다. 이름을 입력하지 않으면 AWS Backup 는 논리적 에어 갭 저장소의 이름을 기반으로 이름을 할당합니다.
1. 액세스 요청의 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 액세스 요청을 제출합니다.
소스 저장소와 연결된 승인 팀원은 요청을 승인하라는 이메일 알림을 받게 됩니다.
필요한 팀원 수("임곗값")가 요청을 승인하면 복구 계정에 복원 액세스 백업 저장소가 생성됩니다.
------
#### [ CLI ]
`create-restore-access-backup-vault` CLI 명령을 사용합니다.
```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
소스 저장소와 연결된 MPA 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 필요한 팀원 수("임곗값")가 요청을 승인하면 복구 계정에 복원 액세스 백업 저장소가 생성됩니다.
다음을 사용하여 저장소 상태를 확인할 수 있습니다.
```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```
------
## 논리적 에어 갭 저장소에서 다자간 승인 팀 연결 해제
요청자: **논리적 에어 갭 저장소를 소유한 계정의 관리자**입니다.
논리적 에어 갭 저장소에서 다자간 승인 팀의 연결을 해제할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 7단계).
------
#### [ Console ]
**논리적 에어 갭 저장소에서 승인 팀 연결 해제**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. 승인 팀의 연결을 해제하려는 논리적 에어 갭 백업 저장소를 선택합니다.
1. **저장소 세부 정보** 페이지에서 **승인 팀 연결 해제**를 선택합니다.
1. 연결 해제 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 연결 해제 요청을 제출합니다.
현재 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다.
필요한 수의 팀원이 승인하면 팀이 저장소에서 연결 해제됩니다.
------
#### [ CLI ]
`disassociate-backup-vault-mpa-approval-team` CLI 명령을 사용합니다.
```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
현재 MPA 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 필요한 수의 팀원이 승인하면 팀이 저장소에서 연결 해제됩니다.
------
## 복원 액세스 백업 저장소 취소
요청자: **논리적 에어 갭 저장소를 소유한 계정의 관리자**입니다.
소스 저장소 계정에서 복원 액세스 백업 저장소에 대한 액세스를 취소할 수 있습니다.
------
#### [ Console ]
**복원 액세스 백업 저장소 취소**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. 액세스를 취소하려는 논리적 에어 갭 백업 저장소를 선택합니다.
1. **저장소 세부 정보** 페이지에서 아래로 스크롤하여 **다자간 승인을 통한 액세스** 섹션으로 이동합니다.
1. 취소하려는 복원 액세스 백업 저장소를 찾은 다음 **요청을 선택하여 저장소 액세스를 제거합니다**.
1. 취소 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 해지 요청을 제출합니다.
승인 팀원은 요청을 승인하라는 알림을 받게 됩니다.
필요한 수의 팀원이 승인하면 복원 액세스 백업 저장소가 복구 계정에서 삭제됩니다
------
#### [ CLI ]
먼저 소스 저장소와 연결된 복원 액세스 백업 저장소를 나열합니다.
```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```
그런 다음 CLI 명령 `revoke-restore-access-backup-vault`을 사용합니다.
```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 필요한 수의 팀원이 승인하면 복원 액세스 백업 저장소가 복구 계정에서 삭제됩니다.
------
## 논리적 에어 갭 저장소와 연결된 다자간 승인 팀 업데이트
요청자: **논리적 에어 갭 저장소를 소유한 계정의 관리자**입니다.
논리적 에어 갭 저장소와 연결된 다자간 승인 팀을 업데이트할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 8단계).
------
#### [ Console ]
**논리적 에어 갭 저장소와 연결된 승인 팀 업데이트**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. 승인 팀을 업데이트하려는 논리적 에어 갭 백업 저장소를 선택합니다.
1. 저장소 세부 정보 페이지에서 **승인 팀 변경 요청**을 선택합니다.
1. 드롭다운 메뉴에서 저장소와 연결할 새 승인 팀을 선택합니다.
1. 변경 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 변경 요청을 제출합니다.
현재 승인 팀원은 요청을 승인하라는 이메일 알림을 받게 됩니다.
현재 MPA 팀에서 필요한 수의 팀원(임곗값)이 승인하면 새 팀이 저장소와 연결됩니다.
------
#### [ CLI ]
CLI 명령 `associate-backup-vault-mpa-approval-team`을 새 팀 ARN과 함께 사용합니다.
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
현재 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 현재 팀에서 필요한 수의 팀원(임곗값)이 승인하면 새 MPA 팀이 저장소와 연결됩니다.
------
# 승인자 작업
다자간 승인 팀의 구성원인 사용자는 세션의 일부인 [요청을 승인하거나 거부할](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) 수 있습니다. 다른 작업은 다음과 같습니다.
+ [요청된 작업에 응답](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [승인 팀 보기](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [작업 기록 보기](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)