Backups principais em cofres logicamente isolados

Visão geral do

O recurso de backup primário com compartimento aéreo lógico oferece a opção de especificar um cofre com lacuna lógica como destino principal de backup na mesma conta, tanto para tarefas de backup programadas quanto sob demanda. Isso elimina a necessidade de manter cópias separadas em um cofre de backup padrão e em um cofre logicamente isolado, reduzindo custos e simplificando os fluxos de trabalho, preservando os benefícios de segurança da lacuna lógica.

Você pode atribuir um cofre logicamente isolado como alvo principal em planos de backup, políticas de toda a organização ou backups sob demanda. Anteriormente, para fazer backup em um cofre logicamente isolado, primeiro era necessário criar um backup em um cofre de backup e depois copiá-lo para um cofre logicamente isolado. Com esse recurso, dependendo do tipo de recurso, AWS Backup você pode criar backups diretamente em seu cofre logicamente isolado ou gerenciar automaticamente backups temporários que são copiados para seu cofre logicamente isolado e depois excluídos.

O comportamento depende de dois fatores:

• Se o tipo de recurso é suportado por um cofre logicamente isolado.

• Se o tipo de recurso oferece suporte ao AWS Backup gerenciamento completo.

Atenção

Recomendamos integrar seus cofres logicamente isolados com aprovação multipartidária (MPA) se você adotar esse recurso. Isso permite a recuperação de backups no cofre mesmo se a conta proprietária do cofre estiver inacessível.

Não há novos preços para esse recurso. Você só é cobrado pelos backups armazenados em cofres logicamente isolados e por instantâneos temporários (durante o período de retenção no sistema) dos recursos aplicáveis de acordo com as taxas vigentes. Consulte AWS Backup Preços para obter detalhes.

Como funciona

Você pode integrar esse recurso atualizando seu plano de backup existente ou criando um novo e adicionando um ARN de cofre logicamente isolado (nome TargetLogicallyAirGappedBackupVaultArn do campo:) como destino principal de backup. Você pode executar essa operação por meio do AWS Backup console ou por meio de comandos da AWS Backup CLI.

"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",

Quando você especifica um cofre de backup e um cofre logicamente isolado como destinos para suas tarefas de backup, AWS Backup determina o fluxo de trabalho apropriado com base no tipo de recurso e na configuração de criptografia.

Recursos compatíveis para backup primário em cofres logicamente isolados

Para ver a lista completa de recursos compatíveis com cofres logicamente isolados, consulte a disponibilidade de recursos. AWS Backup Todos os recursos que suportam cofres logicamente isolados seguem o princípio de manter apenas uma cópia do seu backup, em vez de armazenar duas cópias separadas, quando esse recurso é usado.

Atenção

Recursos atualmente não compatíveis com esse recurso podem ter seu suporte ativado no futuro. Quando isso ocorrer, seu recurso recém-suportado iniciará automaticamente o backup no cofre logicamente isolado usando o fluxo de trabalho mostrado acima.

Considerações e limitações:

• Somente na mesma conta e região — Seu cofre logicamente isolado deve estar na mesma AWS conta e região dos seus recursos para usar esse recurso. Você não pode criar backups diretamente entre contas ou regiões. Recomendamos fazer backup em um cofre logicamente isolado na mesma região para permitir uma recuperação mais rápida sem precisar de uma cópia. Se você precisar de uma cópia de seus dados em uma segunda região para recuperação de desastres (DR), recomendamos a replicação entre regiões de seus recursos primários para um failover rápido ou cópias de pontos de recuperação entre regiões em um cofre de backup bloqueado.

• Restrições no uso de chaves AWS gerenciadas — Recursos que não suportam AWS Backup gerenciamento completo e são criptografados com chaves AWS gerenciadas (por exemplo,aws/ebs,aws/rds) não podem ser copiados para cofres logicamente isolados. Esses recursos devem ser criptografados com uma chave KMS gerenciada pelo cliente ou não criptografados. Os recursos que apoiam o AWS Backup gerenciamento completo não têm essa restrição.

• Frequência de backup e cópias simultâneas — para recursos que não oferecem suporte ao AWS Backup gerenciamento total, certifique-se de que sua frequência de backup permita tempo suficiente para que as cópias sejam concluídas. Se os backups forem agendados com mais frequência do que as cópias podem ser concluídas, os trabalhos de cópia entrarão em fila e poderão, eventualmente, falhar. Para obter orientação sobre limites de cópias simultâneas, consulte cotas.

• Compatibilidade do ciclo de vida — O período de retenção especificado em seu plano de backup deve ser compatível com os períodos mínimo e máximo de retenção configurados para seu cofre logicamente isolado.

• Cofres de backup bloqueados — Se o cofre de backup de destino tiver um bloqueio de cofre ativado, os pontos de recuperação temporários não poderão ser excluídos manualmente e serão retidos até que a cópia seja concluída ou o período de retenção expire.

• Teste de restauração, indexação e verificação — Os testes de restauração, a indexação de pontos de recuperação e a verificação de malware ignorarão os pontos de recuperação temporários com um DELETE_AFTER_COPY ciclo de vida. A indexação de pontos de recuperação não oferece suporte a pontos de recuperação em um cofre logicamente isolado. O escaneamento de malware não suporta escaneamentos programados de pontos de recuperação copiados, o que inclui cópias automáticas feitas como parte dos backups primários em um cofre logicamente isolado.

Recursos que apoiam o AWS Backup gerenciamento completo

Alguns tipos de recursos, como Amazon EFS, Amazon S3, Amazon DynamoDB AWS Backup com recursos avançados, etc., que oferecem suporte ao gerenciamento AWS Backup completo, podem fazer backup diretamente em seu cofre logicamente isolado. Nenhum ponto de recuperação é criado em seu cofre de backup e nenhuma operação de cópia é necessária. Qualquer ação de cópia programada em seu plano de backup usa o ponto de recuperação em seu cofre logicamente isolado como fonte.

Recursos que oferecem suporte ao backup contínuo, como o Amazon S3, também podem realizar backup contínuo diretamente em um cofre logicamente isolado.

Para obter uma lista dos tipos de recursos que oferecem suporte ao AWS Backup gerenciamento completo e aos cofres com lacunas lógicas, consulte Disponibilidade de recursos por recurso nas colunas “Gerenciamento completo” e “Cofre com lacuna lógica”.

Recurso que não oferece suporte ao AWS Backup gerenciamento completo

Recursos como Amazon EBS/EC2, Amazon Aurora e FSx Amazon não podem ser copiados diretamente para cofres logicamente isolados. Para esses tipos de recursos, AWS Backup cria um ponto de recuperação temporário em seu cofre de backup e o copia automaticamente para seu cofre logicamente isolado.

O ponto de recuperação temporário tem uma configuração de ciclo de vida especial chamada. DELETE_AFTER_COPY Depois que a cópia para seu cofre logicamente isolado for concluída com êxito, AWS Backup excluirá automaticamente o ponto de recuperação temporário. Todas as outras ações de cópia programadas em seu plano de backup começam paralelamente à cópia para seu cofre logicamente isolado e não afetam sua experiência atual de cópia.

Se a cópia para seu cofre logicamente isolado falhar, o ponto de recuperação temporário será retido em seu cofre de backup de acordo com o período de retenção especificado. Isso garante que você sempre tenha um ponto de recuperação utilizável após a conclusão da tarefa de backup. Se o ponto de recuperação for posteriormente copiado manualmente para o cofre logicamente isolado, ele será limpo automaticamente de acordo com a regra. DELETE_AFTER_COPY

Atenção

Recursos criptografados com chaves AWS gerenciadas (por exemplo,aws/ebs) não têm suporte para cópia em cofres logicamente isolados. Esses recursos devem ser criptografados com uma chave gerenciada pelo AWS Key Management Service cliente ou não criptografados. Os recursos que apoiam o AWS Backup gerenciamento completo não têm essa restrição.

Excluir após o ciclo de vida da cópia

Os pontos de recuperação temporários têm um novo atributo de ciclo de vida chamado DeleteAfterEvent com um valor de. DELETE_AFTER_COPY Esse atributo indica que o ponto de recuperação será excluído automaticamente após a conclusão de todos os trabalhos de cópia ou após o período de retenção especificado, o que ocorrer primeiro.

Um ponto de recuperação temporário é excluído quando todas as seguintes condições forem verdadeiras:

• Todos os trabalhos de cópia automáticos e programados foram concluídos.

• Há um trabalho de cópia concluído em seu cofre de destino logicamente isolado, com um período de retenção pelo menos tão longo quanto o ponto de recuperação de origem.

Se você precisar evitar a exclusão manual do ponto de recuperação temporário enquanto as cópias estão em andamento, considere usar um cofre de backup bloqueado como seu cofre de backup de destino.

Backup contínuo para recursos que não oferecem suporte ao AWS Backup gerenciamento completo

Para recursos como o Amazon Aurora, se você habilitar o backup contínuo, AWS Backup cria um ponto de recuperação contínuo em seu cofre de backup e tira um instantâneo temporário que é copiado para seu cofre logicamente isolado. O instantâneo temporário é sempre excluído após a conclusão da cópia, independentemente de a cópia ser bem-sucedida ou falhar, porque você mantém um ponto de recuperação contínuo em seu cofre de backup.

Se você não quiser criar um ponto de recuperação contínuo para o Amazon Aurora em seu cofre de backup, mas quiser um ponto de recuperação contínuo para o Amazon S3 em seu cofre logicamente isolado, você pode desativar a configuração de backup contínuo (EnableContinuousBackup) no plano atual e ativar o S3 contínuo a partir de um plano diferente.

Você pode aprender mais sobre o armazenamento de backup do Aurora em Entendendo o uso do armazenamento de backup do Amazon Aurora.

Recursos não compatíveis

Se um tipo de recurso não for suportado por cofres logicamente isolados ou se um recurso não totalmente gerenciado for criptografado com uma chave AWS gerenciada, AWS Backup crie o backup somente no seu cofre de backup. Nenhuma cópia para seu cofre logicamente isolado foi tentada. A tarefa de backup é concluída com êxito com uma mensagem indicando por que o backup não foi para seu cofre logicamente isolado.

Considerações sobre custos

• Esse recurso não gera novas cobranças. Você paga apenas pelo armazenamento em seus cofres.

• Para recursos que suportam o AWS Backup gerenciamento completo, manter backups somente em seu cofre logicamente isolado pode resultar em uma economia significativa de custos em comparação com a manutenção de duas cópias de backup em um cofre de backup e em um cofre logicamente isolado.

• Para recursos que não suportam o AWS Backup gerenciamento total, você é cobrado tanto pelo ponto de recuperação temporário em seu cofre de backup quanto pelos pontos de recuperação em seu cofre logicamente isolado.

  • Você ainda pode obter economias significativas com a retenção de apenas uma única cópia de backup, mas essas economias podem variar com base na frequência do backup e na taxa de alteração.

  • Frequências de backup mais baixas geralmente geram maiores economias porque os pontos de recuperação temporários ocupam o armazenamento por uma porcentagem menor do período de cobrança.

  • Alguns recursos têm durações mínimas de cobrança, o que aumenta os custos dos pontos de recuperação temporários.

• Desative a recuperação de tags ou ACLs metadados em sua configuração de backup se você não usar esses recursos do S3. Isso reduz as chamadas de API e as cobranças associadas às verificações de metadados durante as operações de cópia.

Configure o backup primário de um cofre isolado de forma lógica

Você pode configurar logicamente o backup primário de um cofre isolado por meio do AWS Backup console, do, ou das AWS CLI políticas de backup. AWS CloudFormation AWS Organizations

Configurar um plano de Backup

Console

Para configurar o backup primário de um cofre logicamente isolado para um plano de backup

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação, escolha Planos de backup e, em seguida, escolha Criar plano de backup ou selecione um plano de backup existente para edição.

3. Na seção Configuração da regra de backup, especifique as configurações da regra de backup.

4. Para o Backup Vault, escolha o cofre de backup onde os pontos de recuperação temporários serão armazenados (para recursos não totalmente gerenciados) ou onde os backups serão armazenados se não puderem ser colocados em seu cofre logicamente isolado.

5. Para cofre com lacuna lógica (opcional), escolha o cofre com lacuna lógica em que você deseja que seus backups sejam armazenados.

   nota

   O cofre logicamente isolado deve estar na mesma conta e região do seu cofre de backup.

6. Defina as configurações restantes da regra de backup, incluindo opções de ciclo de vida e cópia.

7. Escolha Criar plano ou Salvar alterações.

AWS CLI

Use o comando CLI create-backup-planpara criar um novo plano ou update-backup-planatualizar um plano existente e incluir o TargetLogicallyAirGappedBackupVaultArn parâmetro em sua regra de backup.

Exemplo de comando CLI para criar um plano de backup usando um documento JSON:

aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json

Exemplo de comando CLI para criar um plano de backup diretamente na CLI:

aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'

Configurar o backup sob demanda

Console

Para configurar o backup primário de um cofre isolado de forma lógica para um backup sob demanda

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação, escolha Recursos protegidos.

3. Na página Recursos protegidos, escolha Criar backup sob demanda.

4. Selecione o tipo de recurso e o ARN do recurso do qual você deseja fazer backup.

5. Para Cofre de backup, escolha o cofre de backup.

6. Para Cofre com lacuna lógica (opcional), escolha o cofre com lacuna lógica em que você deseja que o backup seja armazenado.

7. Defina as configurações restantes e escolha Criar backup sob demanda.

AWS CLI

Use o start-backup-job comando com o novo --logically-air-gapped-backup-vault-arn parâmetro:

aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35

Monitore logicamente o backup primário de um cofre isolado

Você pode monitorar o status dos seus backups e trabalhos de cópia usando o AWS Backup console ou AWS CLI os EventBridge eventos da Amazon.

Monitore as tarefas de backup

Monitore o status da tarefa de backup (DescribeBackupJob) para garantir que seus recursos permaneçam protegidos. Uma falha na tarefa de backup indica que nenhum ponto de recuperação foi criado.

• Verifique o local de criação do ponto de recuperação - Quando uma tarefa de backup é concluída com êxito, você tem um ponto de recuperação no cofre de backup de destino ou no cofre de destino logicamente isolado. Verifique o BackupVaultArn campo para determinar onde o ponto de recuperação foi criado.

• Verifique o status do trabalho - Se um recurso não for suportado por cofres logicamente separados, o trabalho de backup será concluído com um de LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED e uma mensagem MessageCategory de status explicando por que o backup foi criado em seu cofre de backup.

• Verifique o tipo de ponto de recuperação temporário - Para verificar se um ponto de recuperação é temporário, procure o RecoveryPointLifecycle.DeleteAfterEvent campo com um valor deDELETE_AFTER_COPY.

Monitor para trabalhos de cópia

Monitore as tarefas de cópia (ListCopyJobs) em seu cofre logicamente isolado em busca de falhas. Uma falha na tarefa de cópia significa que seu ponto de recuperação permanece em seu cofre de backup padrão sem a proteção lógica do cofre isolado.

• Verificar o status do trabalho de cópia - Você pode monitorar o status do trabalho de cópia usando o Copy Job State Change EventBridge evento existente. Opcionalmente, filtre no cofre de destino (destinationBackupVaultArn) para se concentrar em cópias logicamente isoladas do cofre.

• Verifique as cópias de um ponto de recuperação de origem - Use a ListCopyJobsAPI com o novo BySourceRecoveryPointArn filtro para encontrar todas as tarefas de cópia associadas a um ponto de recuperação específico, incluindo cópias automáticas para seu cofre logicamente isolado e cópias programadas para outros destinos.

• Verificar a exclusão do ponto de recuperação temporário - Acompanhe a conclusão da exclusão temporária do ponto de recuperação. Se o estado da tarefa de cópia forRUNNING, o ponto de recuperação ainda não foi excluído. Se a cópia para seu cofre logicamente isolado tiverFAILED, o ponto de recuperação será retido de acordo com o período de retenção especificado.

nota

Os registros do trabalho de cópia expiram e são removidos 30 dias após o término. Após esse período, você não pode usar ListCopyJobs para determinar o status histórico da cópia.

Monitor do ponto de recuperação

Monitore os pontos de EXPIRED recuperação (ListRecoveryPointsByBackupVault), o que AWS Backup pode indicar que não foi possível excluí-los (possivelmente devido à falta de permissões). EXPIREDos pontos de recuperação podem ter implicações de custo.

• Verifique o estado do ponto de recuperação - Use o EventBridge evento de alteração do estado do ponto de recuperação existente para monitorar as expirações.

• Verifique a exclusão do ponto de recuperação temporário - Se um ponto de recuperação com não DeleteAfterEvent: DELETE_AFTER_COPY tiver sido excluído, use a ListCopyJobs API para determinar o motivo, conforme mencionado acima.

Integração e migração

Se você atualmente usa ações de cópia para copiar backups para um cofre com lacuna lógica, você pode migrar para o backup primário com compartimento aéreo lógico para reduzir custos. Você também pode migrar seus backups contínuos existentes do Amazon S3 de um cofre de backup para um cofre logicamente isolado. Este guia explica os pré-requisitos e as etapas necessárias para migrar para o recurso de backup primário logicamente isolado do vault.

Pré-requisitos e melhores práticas

Antes que você possa usar com eficácia o recurso de backup primário do vault logicamente isolado, existem pré-requisitos e práticas recomendadas.

Pré-requisitos

Atualmente, um cofre logicamente isolado como destino principal de backup suporta somente backups na mesma AWS conta e AWS região que seus recursos de backup. Os backups de cofres isolados logicamente são armazenados inerentemente em contas de serviço separadas, fornecendo isolamento entre contas e organizações sem exigir cópias em contas separadas. Se você precisar de backups entre regiões, continue usando o cofre logicamente isolado como destino de cópia. Antes de migrar para esse recurso, verifique se você atende aos seguintes requisitos:

• Requisitos de região e conta

  • Seu cofre logicamente isolado deve estar na mesma AWS conta e região que seus recursos

• Compatibilidade de recursos

  • Verifique se seus recursos são suportados por cofres logicamente separados em Disponibilidade de recursos por recurso.

  • Verifique se seus recursos oferecem suporte ao AWS Backup gerenciamento completo ou não. A experiência de criar backups isolados difere entre esses dois tipos de recursos, embora o resultado seja semelhante para ambos.

• Requisitos de criptografia

  • Os recursos que não oferecem suporte ao AWS Backup gerenciamento total devem ser não criptografados ou criptografados com chaves gerenciadas pelo cliente (CMKs). AWS Os recursos criptografados de chave gerenciada (AMK) não são suportados por um cofre logicamente isolado.

Práticas recomendadas

• Comece com uma migração piloto de recursos não essenciais.

• Revise e ajuste as frequências de backup com base no desempenho do trabalho de cópia.

• Implemente um monitoramento abrangente antes da migração completa.

• Verifique regularmente a criação do ponto de recuperação nos cofres pretendidos.

Planejando sua migração

• Analise os planos e políticas de backup existentes.

• Identifique quais recursos suportam o AWS Backup gerenciamento completo e quais não.

  • Recursos que suportam o AWS Backup gerenciamento completo (por exemplo, EFS, S3) - podem fazer backup diretamente em um cofre logicamente isolado

  • Recursos que não suportam o AWS Backup gerenciamento completo (por exemplo EC2, EBS FSx) - exigem backup temporário no cofre de backup antes de serem copiados para um cofre logicamente isolado

• Analise o volume e a frequência de backup atuais e garanta que sua configuração esteja alinhada aos limites de cópias simultâneas para todos os recursos que não oferecem suporte ao gerenciamento total AWS Backup .

  • Ignore esta etapa Se você já copia para um cofre logicamente isolado com a mesma frequência dos backups padrão do seu cofre.

  • Considere ajustar a frequência de backup, se necessário, para evitar filas de trabalhos de cópia.

  • Se o enfileiramento de trabalhos de cópia ocorrer, você ainda terá um ponto de recuperação utilizável em seu cofre de backup padrão enquanto aguarda a conclusão da cópia em seu cofre logicamente isolado. No entanto, esse ponto de recuperação não fornecerá o nível de proteção que o Logically AirGaped Vault oferece.

Recursos que dão suporte ao caminho AWS Backup de migração de gerenciamento completo

Para recursos totalmente gerenciados, você pode fazer backup diretamente em seu cofre logicamente isolado sem precisar de operações de cópia.

Para backups baseados em instantâneos

Esse processo se aplica a todos os cenários de snapshot, independentemente de seu cofre de backup estar bloqueado. Ao migrar um plano de backup existente ou usar um cofre de backup existente (primário) e um cofre logicamente isolado (cópia) em um novo plano de backup:

1. Mantenha seu cofre de backup existente ou adicione-o como destino de backup (TargetBackupVaultName). Esse cofre não armazenará nenhum backup, mas deve ser fornecido para fins de compatibilidade com versões anteriores.

2. Atualize seu plano de backup para incluir o cofre (TargetLogicallyAirGappedBackupVaultArn) logicamente isolado, existente na mesma conta, como alvo principal.

3. Analise qualquer ação de cópia existente para outro cofre logicamente isolado para determinar se ela ainda é necessária. Você também pode mover esse cofre como alvo principal na Etapa 2 se ele estiver na mesma conta.

Para backups contínuos do Amazon S3

O cofre logicamente isolado como destino principal de backup oferece suporte ao backup contínuo para o Amazon S3. No entanto, você pode manter somente um ponto de recuperação contínua ativo por recurso em um único cofre. Se você já tem um ponto de recuperação contínua ativo do Amazon S3, você deve desassociá-lo ou excluí-lo antes de criar um novo em um cofre diferente. Adicionar um destino de cofre logicamente isolado (da mesma conta) ao seu plano de backup, com um ponto de recuperação contínua ativo do Amazon S3 existente, fará com que a tarefa de backup contínuo falhe.

Para migrar seu ponto de recuperação contínua do Amazon S3 para seu cofre logicamente isolado a partir de um cofre de backup desbloqueado:

1. Atualize seu plano de backup para adicionar uma ação de cópia ao seu cofre logicamente isolado. Isso reduzirá o custo de gerar o backup inicial em seu cofre logicamente isolado. Ignore esta etapa se você já estiver copiando para o seu cofre local logicamente isolado.

2. Verifique se pelo menos uma cópia instantânea foi concluída com êxito em seu cofre logicamente isolado antes de continuar.

3. Desassocie o ponto de recuperação contínua existente do Amazon S3. Chame a DisassociateRecoveryPointAPI para alterar o status do ponto de recuperação de DISPONÍVEL para PARADO. Essa ação preserva seus dados de backup existentes e impede que novos dados sejam adicionados.

4. Atualize o plano de backup para adicionar um cofre (TargetLogicallyAirGappedBackupVaultArn) logicamente isolado como alvo de backup.

5. Remova todas as ações de cópia anteriores no plano.

6. Na próxima execução do plano de backup, um novo ponto de recuperação contínua será criado em seu cofre logicamente isolado. Esse ponto de recuperação será incremental, com base no instantâneo copiado da Etapa 1.

Para migrar seu ponto de recuperação contínua do Amazon S3 para seu cofre logicamente isolado a partir de um cofre de backup bloqueado:

1. Atualize seu plano de backup para adicionar uma ação de cópia ao seu cofre logicamente isolado. Isso reduzirá o custo de gerar o backup inicial em seu cofre logicamente isolado. Ignore esta etapa se você já estiver copiando para o seu cofre local logicamente isolado.

2. Verifique se pelo menos uma cópia instantânea foi concluída com êxito em seu cofre logicamente isolado antes de continuar. Certifique-se de que o snapshot copiado tenha um período de retenção longo o suficiente para permanecer disponível até que você conclua todas as etapas.

3. Adicione o cofre logicamente isolado como alvo principal e remova qualquer ação de cópia.

   1. Essa etapa é necessária porque os cofres bloqueados não suportam a dissociação de pontos de recuperação contínuos.

   2. Seu ponto de recuperação contínua existente no cofre de backup bloqueado continuará acumulando dados até expirar de acordo com seu ciclo de vida.

   3. Novas tarefas de backup contínuo falharão porque somente um ponto de recuperação contínua ativo pode existir por recurso. Como esses trabalhos estão falhando, nenhuma ação de cópia será executada.

4. Aguarde até que o ponto de recuperação contínua existente expire. Após a expiração, um novo ponto de recuperação contínua será criado no cofre logicamente isolado. Esse ponto de recuperação será incremental com base no instantâneo copiado da etapa 1, desde que o instantâneo ainda exista em seu cofre logicamente isolado.

5. Todos os dados acumulados em seu cofre padrão serão perdidos após a expiração. Somente os dados copiados após a criação do novo ponto de recuperação no cofre logicamente isolado serão retidos.

Recursos que não oferecem suporte ao caminho AWS Backup de migração de gerenciamento completo

Recursos não totalmente gerenciados exigem uma operação de cópia para o cofre logicamente isolado. O processo cria um ponto de recuperação temporário (faturável) em seu cofre de backup padrão, que é automaticamente copiado para seu cofre logicamente isolado e, em seguida, excluído após a conclusão da cópia. Quando você atualiza seu plano de backup para incluir um alvo de cofre logicamente isolado:

• As tarefas de backup criarão um ponto de recuperação em seu cofre de backup. Isso tem um ciclo de vida determinado pelo evento. DELETE_AFTER_COPY

• Um trabalho de cópia inicia automaticamente a transferência do ponto de recuperação para seu cofre logicamente isolado.

• Depois que a cópia for concluída com sucesso, o ponto de recuperação temporário no seu cofre será excluído.

• Se a cópia falhar, o ponto de recuperação temporário será retido por um período máximo de acordo com o período de retenção especificado, garantindo que você tenha um ponto de recuperação utilizável.

Solução de problemas

Falha na tarefa de backup ou cópia com erro de incompatibilidade do ciclo de vida

Erro nas tarefas de backup: Backup job failed because the lifecycle is outside the valid range for backup vault.

Erro nos trabalhos de cópia: Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.

Possível causa: as tarefas de backup ou cópia falham porque o período de retenção é incompatível com as configurações de retenção mínima ou máxima do compartimento logicamente isolado.

Solução: atualize seu plano de backup para especificar um período de retenção que esteja dentro dos períodos mínimo e máximo de retenção configurados para seu cofre logicamente isolado.

As tarefas de backup contínuo falham com “o backup contínuo já está ativado”

Erro:

Possível causa: as tarefas de backup contínuo falham porque já existe um ponto de recuperação contínuo para o recurso em outro cofre.

Resolução: cada recurso pode ter somente um ponto de recuperação contínuo. Se o seu cofre de backup estiver desbloqueado, desassocie o ponto de recuperação contínua existente usando o comando. disassociate-recovery-point Se seu cofre de backup estiver bloqueado, espere até que o ponto de recuperação contínua existente expire de acordo com seu ciclo de vida.

O trabalho de backup é concluído com “Concluído com problemas” - Tipo de recurso não suportado

Mensagem: Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.

Possível causa: As tarefas de backup de recursos não gerenciados totalmente não suportados mostram “Concluído com problemas” com uma mensagem indicando que o recurso não é suportado.

Resolução: os tipos de recursos que não são suportados só farão backup no cofre de backup. Se você quiser manter esses backups em seu cofre de backup, nenhuma ação é necessária. Se você preferir não misturar recursos não suportados com seu cofre logicamente isolado, você pode:

• Remova o recurso ou o destino logicamente isolado do seu plano de backup para esses recursos e continue fazendo backup somente no seu cofre de backup. Posteriormente, você pode adicionar o recurso como parte de um plano diferente.

O trabalho de backup é concluído com “Concluído com problemas” - Chave de criptografia não suportada

Mensagem: Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.

Possível causa: as tarefas de backup de recursos não gerenciados totalmente não suportados mostram “Concluído com problemas” com uma mensagem indicando que o recurso está criptografado com uma chave AWS gerenciada.

Resolução: recursos não totalmente gerenciados criptografados com chaves AWS gerenciadas não podem ser copiados para cofres logicamente isolados. Se você quiser manter esses backups em seu cofre de backup, nenhuma ação é necessária. Se você preferir não misturar recursos não suportados com seu cofre logicamente isolado, você pode:

• Criptografe novamente seus recursos com uma chave KMS gerenciada pelo cliente ou

• Remova o recurso ou o destino logicamente isolado do seu plano de backup para esses recursos e continue fazendo backup somente no seu cofre de backup. Posteriormente, você pode adicionar o recurso como parte de um plano diferente.

Os pontos de recuperação permanecem no EXPIRED estado

Possível causa: os pontos de recuperação temporários passam para o EXPIRED estado, mas não são excluídos.

Resolução: AWS Backup pode não ter permissões para excluir os pontos de recuperação. Verifique se sua função de backup tem as permissões necessárias do IAM. Talvez seja necessário excluir manualmente os pontos expired de recuperação.

Os trabalhos de cópia estão em fila ou falham devido à alta frequência de backup

Possível causa: as tarefas de cópia para cofres logicamente isolados estão na fila ou falham porque os backups são programados com mais frequência do que as cópias podem ser concluídas.

Resolução: reduza sua frequência de backup ou ajuste sua programação de backup para permitir mais tempo entre os backups. Consulte a documentação de AWS Backup cotas para obter informações sobre limites de cópias simultâneas.