Cofre logicamente isolado

Visão geral dos cofres logicamente isolados

AWS Backup oferece um tipo secundário de cofre que pode armazenar cópias de backups em um contêiner com recursos de segurança adicionais. Um cofre logicamente isolado é um cofre especializado que oferece maior segurança além de um cofre de backup padrão, bem como a capacidade de compartilhar o acesso ao cofre com outras contas para que os objetivos de tempo de recuperação (RTOs) possam ser mais rápidos e flexíveis no caso de um incidente que exija restauração rápida de recursos.

Logicamente, os cofres isolados são equipados com recursos de proteção adicionais; cada cofre é criptografado com uma chave AWS própria e cada cofre é equipado com o modo de conformidade do Vault Lock.AWS Backup

Você pode optar por se integrar com AWS Resource Access Manager(RAM) para compartilhar um cofre logicamente isolado com outras AWS contas (incluindo contas em outras organizações) para que os backups armazenados no cofre possam ser restaurados a partir de uma conta com a qual o cofre está compartilhado, se necessário para recuperação de perda de dados ou testes de restauração.

Você pode ver os preços de armazenamento para backups de serviços compatíveis em um cofre logicamente isolado na página de preços.AWS Backup

Consulte Disponibilidade de recursos por recurso os tipos de recursos que você pode copiar para um cofre logicamente isolado.

Caso de uso para cofres logicamente fechados

Um cofre logicamente isolado é um cofre secundário que serve como parte de uma estratégia de proteção de dados. Esse cofre pode ajudar a aprimorar a estratégia de retenção e recuperação de sua organização quando você deseja um cofre para seus backups que

• É configurado automaticamente com um bloqueio de cofre no modo de conformidade

• Vem criptografado com uma AWS chave própria

• Contém backups que, por meio AWS RAM disso, podem ser compartilhados e restaurados a partir de uma conta diferente daquela que criou o backup

Considerações e limitações

• Atualmente, a cópia entre regiões de ou para um cofre logicamente isolado não está disponível para backups que contenham Amazon Aurora, Amazon DocumentDB e Amazon Neptune.

• O suporte do Amazon S3 para cofres logicamente isolados está disponível somente em regiões que não exigem aceitação.

• O ARN (Amazon Resource Name) de um ponto de recuperação armazenado em um cofre logicamente isolado substituirá o tipo de recurso backup subjacente. Por exemplo, se o original ARN começar comarn:aws:ec2:region::image/ami-*, então será o ARN do ponto de recuperação no cofre logicamente isolado. arn:aws:backup:region:account-id:recovery-point:*

  Você pode usar o CLI comando list-recovery-points-by-backup-vaultpara determinar ARN o.

Comparar e contrastar com um cofre de backup padrão

Um cofre de backup é o tipo principal e padrão de cofre usado no AWS Backup. Cada backup é armazenado em um cofre de backup quando o backup é criado. Você pode atribuir políticas baseadas em recursos para gerenciar backups armazenados no cofre, como o ciclo de vida dos backups armazenados no cofre.

Um cofre logicamente isolado é um cofre especializado com segurança adicional e compartilhamento flexível para um tempo de recuperação mais rápido (). RTO Esse cofre armazena cópias de backups que foram inicialmente criadas e armazenadas em um cofre de backup padrão.

Os cofres de backup podem ser criptografados com uma chave, um mecanismo de segurança que limita o acesso aos usuários pretendidos. Essas chaves podem ser gerenciadas ou AWS gerenciadas pelo cliente. Além disso, um cofre de backup pode ter segurança adicional por meio de uma trava de cofre; logicamente, os cofres sem ar são equipados com uma trava de cofre no modo de conformidade.

Para tipos de recursos totalmente gerenciados por AWS Backup, um backup não pode ser copiado em um cofre logicamente isolado se a AWS KMS chave não tiver sido alterada manualmente ou definida como chave no momento em que o recurso KMS inicial foi criado.

Atributo	Cofre de backup	Cofre logicamente isolado
Criação de backup	Quando um backup é criado, ele é armazenado como um ponto de recuperação.	Os backups não são armazenados nesse cofre após a criação.
O armazenamento do backup	Pode armazenar backups iniciais de recursos e cópias de backups	Pode armazenar cópias de backups de outros cofres
Faturamento	As cobranças de armazenamento e transferência de dados para recursos totalmente gerenciados por AWS Backup ocorrem em "AWS Backup”. Outros tipos de recursos, cobranças de armazenamento e transferência de dados ocorrerão em seus respectivos serviços. Por exemplo, EBS os backups da Amazon serão exibidos em “Amazon EBS “; os backups do Amazon S3 serão exibidos em"”AWS Backup.	Todas as cobranças de cobrança desses cofres (armazenamento ou transferência de dados) ocorrem em "”.AWS Backup
Regiões	Disponível em todas as regiões em que AWS Backup opera	Disponível na maioria das regiões suportadas pelo AWS Backup. Atualmente, não está disponível no Oeste do Canadá (Calgary), China (Pequim), China (Ningxia), (Leste dos EUA) ou AWS GovCloud AWS GovCloud (Oeste dos EUA).
Recursos	Pode armazenar cópias de backups para a maioria dos tipos de recursos que oferecem suporte à cópia entre contas.	Atualmente, as cópias de FSx backup da Amazon RDS e da Amazon não podem ser armazenadas nesses cofres.
Restaurar	Os backups podem ser restaurados pela mesma conta à qual o cofre pertence.	Os backups podem ser restaurados por uma conta diferente daquela à qual o cofre pertence, se o cofre for compartilhado com essa conta separada.
Segurança	Opcionalmente, pode ser criptografado com uma chave (gerenciada pelo cliente ou gerenciada pela AWS ) Opcionalmente, pode usar uma trava de cofre no modo de conformidade ou governança	É criptografado com uma AWS chave própria Está sempre bloqueado com um bloqueio de cofre no modo de conformidade
Compartilhamento	O acesso pode ser gerenciado por meio de políticas e pelo AWS Organizations Não compatível com AWS RAM	Opcionalmente, pode ser compartilhado entre contas usando o AWS RAM

Crie um cofre logicamente isolado

Você pode criar um cofre logicamente isolado por meio do AWS Backup console ou por meio de uma combinação de comandos. AWS Backup AWS RAM CLI

Cada compartimento de ar logicamente fechado vem equipado com uma trava de cofre no modo de conformidade. Consulte AWS Backup Fechadura do cofre para ajudar a determinar os valores do período de retenção mais apropriados para sua operação

Console

Criar um cofre logicamente isolado no console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação, selecione Configurações.

3. Os dois tipos de cofres serão exibidos. Selecione Criar cofre.

4. Insira um nome para o cofre de backup. Você pode nomear o cofre para refletir o que será armazenado nele ou para facilitar a pesquisa de backups necessários. Por exemplo, você pode nomeá-lo como: FinancialBackups.

5. Selecione o botão de rádio para Cofre logicamente isolado.

6. Defina o período mínimo de retenção.

   Esse valor (em dias, meses ou anos) é o menor tempo em que um backup poderá ser retido nesse cofre. Backups com períodos de retenção menores que esse valor não poderão ser copiados nesse cofre.

   O valor mínimo permitido é de 7 dias. Os valores para meses e anos atendem a esse mínimo.

7. Defina o período máximo de retenção.

   Esse valor (em dias, meses ou anos) é a maior quantidade de tempo que um backup poderá ser retido nesse cofre. Backups com períodos de retenção maiores que esse valor não poderão ser copiados nesse cofre.

8. (Opcional) Adicione tags que ajudarão você a pesquisar e identificar seu cofre logicamente isolado. Por exemplo, você pode adicionar uma tag BackupType:Financial.

9. Selecione Criar cofre.

10. Reveja as configurações. Se todas as configurações forem exibidas conforme pretendido, selecione Criar um cofre logicamente isolado.

11. O console levará você à página de detalhes do novo cofre. Verifique se os detalhes do cofre estão conforme o esperado.

12. Selecione Cofres para ver os cofres em sua conta. Seu cofre logicamente isolado será exibido. A KMS chave estará disponível aproximadamente 1 a 3 minutos após a criação do cofre. Atualize a página para ver a chave associada. Quando a chave estiver visível, o cofre estará em um estado disponível e poderá ser usado.

AWS CLI

Crie um cofre logicamente isolado a partir de CLI

Você pode usar AWS CLI para realizar operações de forma programática em cofres logicamente isolados. Cada um CLI é específico para o AWS serviço em que se origina. Os comandos relacionados ao compartilhamento são prefixados com aws ram. Todos os outros comandos devem ser prefixados com aws backup.

Use o CLI comando create-logically-air-gapped-backup-vault, modificado com os seguintes parâmetros:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

Exemplo de CLI comando para criar um cofre logicamente isolado:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Consulte os elementos de CreateLogicallyAirGappedBackupVault API resposta para obter informações após a operação de criação. Se a operação for bem-sucedida, o novo cofre logicamente isolado terá o de. VaultState CREATING

Quando a criação for concluída e a chave KMS criptografada tiver sido atribuída, ela VaultState fará a transição para AVAILABLE o. Uma vez disponível, o cofre pode ser usado. VaultStatepode ser recuperado ligando para DescribeBackupVaultou ListBackupVaults.

Visualize detalhes logicamente isolados do cofre

Você pode ver os detalhes do cofre, como resumo, pontos de recuperação, recursos protegidos, compartilhamento de contas, política de acesso e tags, por meio do AWS Backup console ou do AWS Backup CLI.

Console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, selecione Pilhas.

3. Abaixo das descrições dos cofres, haverá duas listas: Cofres de propriedade dessa conta e Cofres compartilhados com essa conta. Selecione a guia desejada para ver os cofres.

4. Em Nome do cofre, clique no nome do cofre para abrir a página de detalhes. Você poderá ver o resumo, os pontos de recuperação, os recursos protegidos, o compartilhamento da conta, a política de acesso e os detalhes da tag.

   Os detalhes são exibidos dependendo do tipo de conta: contas que possuem um cofre podem ver o compartilhamento da conta; contas que não possuem um cofre não poderão ver o compartilhamento da conta.

AWS CLI

Veja os detalhes de um cofre logicamente isolado por meio de CLI

O CLI comando describe-backup-vaultpode ser usado para obter detalhes sobre um cofre. backup-vault-nameO parâmetro é obrigatório; region é opcional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Exemplo de resposta:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Copie para um cofre logicamente isolado

Os cofres logicamente isolados só podem ser um destino de trabalhos de cópia em um plano de backup ou um destino para um trabalho de cópia sob demanda.

Criptografia compatível

Um trabalho de cópia bem-sucedido de um cofre de backup para um cofre logicamente isolado requer uma chave de criptografia determinada pelo tipo de recurso que está sendo copiado.

Quando você copia um backup de um tipo de recurso totalmente gerenciado, o backup de origem no (cofre de backup padrão) pode ser criptografado por uma chave gerenciada pelo cliente ou por uma chave AWS gerenciada.

Quando você copia um backup de outros tipos de recursos (aqueles não totalmente gerenciados), tanto o backup quanto o recurso do qual ele fez backup devem ser criptografados com uma chave gerenciada pelo cliente. AWS as chaves gerenciadas para os tipos de recursos não são suportadas para cópias.

Copie para um cofre logicamente isolado por meio de um plano de backup

Você pode copiar um backup (ponto de recuperação) de um cofre de backup padrão para um cofre logicamente isolado criando um novo plano de backup ou atualizando um existente no AWS Backup console ou por meio dos comandos e. AWS CLI create-backup-planupdate-backup-plan

Você pode copiar um backup de um cofre logicamente isolado para outro cofre logicamente isolado sob demanda (esse tipo de backup não pode ser programado em um plano de backup). Você pode copiar um backup de um cofre logicamente isolado para um cofre de backup padrão, desde que a cópia seja criptografada com uma chave gerenciada pelo cliente.

Cópia de backup sob demanda para um cofre logicamente isolado

Para criar uma cópia única sob demanda de um backup em um cofre logicamente isolado, você pode copiar de um cofre de backup padrão. Cópias entre regiões ou entre contas estarão disponíveis se o tipo de recurso suportar o tipo de cópia.

Disponibilidade de cópias

Uma cópia de um backup pode ser criada a partir da conta à qual o cofre pertence. As contas com as quais o cofre foi compartilhado têm a capacidade de visualizar ou restaurar um backup, mas não de criar uma cópia.

Somente tipos de recursos que oferecem suporte à cópia entre regiões ou entre contas podem ser incluídos.

Console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, selecione Pilhas.

3. Na página de detalhes do cofre, todos os pontos de recuperação dentro desse cofre serão exibidos. Coloque uma marca de seleção ao lado do ponto de recuperação que você deseja copiar.

4. Em seguida, escolha Ações e selecione Editar no menu suspenso.

5. Na próxima tela, insira os detalhes do destino.

   1. Especifique a região de destino.

   2. O menu suspenso do cofre de backup de destino exibirá os cofres de destino elegíveis. Selecione um com o tipo logically air-gapped vault

6. Selecione Copiar quando todos os detalhes estiverem definidos de acordo com suas preferências.

Na página Trabalhos no console, você poderá selecionar trabalhos de Cópia para ver os trabalhos de cópia atuais.

AWS CLI

Use start-copy-jobpara copiar um backup existente em um cofre de backup para um cofre logicamente isolado.

CLIEntrada de amostra:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Para obter mais informações, consulte Copiar um backup, Backup entre regiões e Backup entre contas.

Compartilhe um cofre logicamente isolado

Você pode usar AWS Resource Access Manager (RAM) para compartilhar um cofre logicamente isolado com outras contas que você designar.

Um cofre pode ser compartilhado com uma conta em sua organização ou com uma conta em outra organização. O cofre não pode ser compartilhado com uma organização inteira, somente com contas dentro da organização.

Somente contas com IAM privilégios específicos podem compartilhar e gerenciar o compartilhamento de contas.

Para compartilhar usando AWS RAM, verifique se você tem o seguinte:

• Duas ou mais contas que podem acessar AWS Backup

• A conta proprietária do Vault que pretende compartilhar tem as permissões necessárias. RAM A permissão ram:CreateResourceShare é necessária para esse procedimento. A política AWSResourceAccessManagerFullAccess contém todas as permissões RAM relacionadas necessárias:

  • backup:DescribeBackupVault

  • backup:DescribeRecoveryPoint

  • backup:GetRecoveryPointRestoreMetadata

  • backup:ListProtectedResourcesByBackupVault

  • backup:ListRecoveryPointsByBackupVault

  • backup:ListTags

  • backup:StartRestoreJob

• Pelo menos um cofre logicamente isolado

Console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, selecione Pilhas.

3. Abaixo das descrições dos cofres, haverá duas listas: Cofres de propriedade dessa conta e Cofres compartilhados com essa conta. Os cofres pertencentes à conta podem ser compartilhados.

4. Em Nome do cofre, selecione o nome do cofre logicamente isolado para abrir a página de detalhes.

5. O painel Compartilhamento de contas mostra com quais contas o cofre está sendo compartilhado.

6. Para começar a compartilhar com outra conta ou editar as contas que já estão sendo compartilhadas, selecione Gerenciar compartilhamento.

7. O AWS RAM console é aberto quando a opção Gerenciar compartilhamento é selecionada. Para ver as etapas para compartilhar um recurso usando AWS RAM, consulte Criação de um compartilhamento de recursos AWS RAM no Guia AWS RAM do usuário.

8. A conta convidada a aceitar um convite para receber um compartilhamento tem 12 horas para aceitar o convite. Consulte Aceitar e rejeitar convites de compartilhamento de recursos no Guia do AWS RAM usuário.

9. Se as etapas de compartilhamento forem concluídas e aceitas, a página de resumo do cofre será exibida em Compartilhamento de conta = “Compartilhado - veja a tabela de compartilhamento de conta abaixo”.

AWS CLI

AWS RAM usa o CLI comandocreate-resource-share. O acesso a esse comando só está disponível para contas com permissões suficientes. Consulte Criação de um compartilhamento de recursos em AWS RAM para ver CLI as etapas.

As etapas de 1 a 4 são conduzidas com a conta proprietária do cofre logicamente isolado. As etapas 5 a 8 são conduzidas com a conta com a qual o cofre logicamente isolado será compartilhado.

1. Faça login na conta proprietária OU solicite que um usuário em sua organização com credenciais suficientes para acessar a conta de origem conclua essas etapas.

   1. Se um compartilhamento de recursos foi criado anteriormente e você deseja adicionar um recurso adicional a ele, use CLI associate-resource-share em vez disso com o ARN do novo cofre.

2. Obtenha as credenciais de uma função com permissões suficientes para compartilhar via. RAM Insira-os no CLI.

   1. A permissão ram:CreateResourceShare é necessária para esse procedimento. A política AWSResourceAccessManagerFullAccesscontém todas as permissões RAM relacionadas.

3. Use create-resource-share.

   1. Inclua o ARN do cofre logicamente fechado.

   2. Exemplo de entrada:

      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1

   3. Resultado do exemplo:

      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }

4. Copie o compartilhamento de recursos ARN na saída (o que é necessário para as etapas subsequentes). Entregue ARN ao operador da conta que você está convidando para receber o compartilhamento.

5. Obtenha o compartilhamento de recursos ARN

   1. Se você não executou as etapas de 1 a 4, obtenha-as resourceShareArn de quem as executou.

   2. Exemplo: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

6. NoCLI, assuma as credenciais da conta do destinatário.

7. Receba um convite para compartilhar recursos com get-resource-share-invitations. Para obter mais informações, consulte Aceitar e rejeitar convites no Guia do usuário do AWS RAM .

8. Aceite o convite na conta de destino (recuperação).

   1. Use accept-resource-share-invitation (também é possível usar reject-resource-share-invitation).

Você pode usar AWS RAM CLI comandos para visualizar itens compartilhados:

• Recursos que você compartilhou:

  aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

• Mostre ao diretor:

  aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

• Recursos compartilhados por outras contas:

  aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Restaure um backup a partir de um cofre logicamente isolado

Você pode restaurar um backup armazenado em um cofre logicamente isolado a partir da conta proprietária do cofre ou de qualquer conta com a qual o cofre esteja compartilhado.

Consulte Restaurando um backup para obter informações sobre como restaurar um ponto de recuperação por meio do AWS Backup console.

Depois que um backup for compartilhado de um cofre logicamente isolado para sua conta, você poderá usá-lo start-restore-jobpara restaurar o backup.

Um exemplo CLI de entrada pode incluir os seguintes comandos e parâmetros:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Exclua um cofre logicamente isolado

Consulte excluir um cofre de backup para excluir um cofre. Os cofres não poderão ser excluídos se ainda contiverem backups (pontos de recuperação). Certifique-se de que o cofre não tenha nenhum backup antes de iniciar uma operação de exclusão.

A exclusão de um cofre também exclui a chave associada ao cofre sete dias após a exclusão do cofre, de acordo com a política de exclusão de chaves.

O exemplo de CLI comando a seguir delete-backup-vaultpode ser usado para excluir um cofre.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opções programáticas adicionais para cofres logicamente fechados

O CLI comando list-backup-vaultspode ser modificado para listar todos os cofres pertencentes e presentes na conta:

aws backup list-backup-vaults
--region us-east-1

Para listar apenas os cofres logicamente isolados, adicione o parâmetro

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Inclua o parâmetro by-shared para filtrar a lista retornada de cofres para mostrar somente cofres compartilhados logicamente isolados.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Solucionar um problema de cofre logicamente isolado

Se você encontrar erros durante o fluxo de trabalho, consulte os seguintes exemplos de erros e resoluções sugeridas:

AccessDeniedException

Erro:

Possível causa: o parâmetro não --backup-vault-account-id foi incluído quando uma das seguintes solicitações foi executada em um cofre compartilhado porRAM:

• describe-backup-vault

• describe-recovery-point

• get-recovery-point-restore-metadata

• list-protected-resources-by-backup-vault

• list-recovery-points-by-backup-vault

Resolução: repita o comando que retornou o erro, mas inclua o parâmetro --backup-vault-account-id que especifica a conta proprietária do cofre.

OperationNotPermittedException

Erro: OperationNotPermittedException é retornado após uma CreateResourceShare chamada.

Possível causa: se você tentou compartilhar um recurso, como um cofre logicamente isolado, com outra organização, você pode obter essa exceção. Um cofre pode ser compartilhado com uma conta em outra organização, mas não pode ser compartilhado com a própria outra organização.

Resolução: repita a operação, mas especifique uma conta como valor principals em vez de uma organização ou UO.