Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherungstresore
<a name="vaults"></a>

In AWS Backup einem *Backup-Tresor* handelt es sich um einen Container, in dem Ihre Backups gespeichert und organisiert werden.

Wenn Sie einen Backup-Tresor erstellen, müssen Sie den Verschlüsselungsschlüssel AWS Key Management Service (AWS KMS) angeben, mit dem einige der in diesem Tresor gespeicherten Backups verschlüsselt werden. Die Verschlüsselung für andere Backups wird von ihren AWS Quelldiensten verwaltet. Weitere Informationen zur Verschlüsselung finden Sie in der Tabelle in [Verschlüsselung für Backups in AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).

Die folgenden Abschnitte bieten einen Überblick darüber, wie Sie Ihre Backup-Tresore in AWS Backup verwalten können.

**Topics**
+ [Erstellung und Löschung von Backup-Tresoren](create-a-vault.md)
+ [Logischer Air-Gapped Vault](logicallyairgappedvault.md)
+ [Richtlinien für den Tresorzugriff](create-a-vault-access-policy.md)
+ [AWS Backup Vault Lock](vault-lock.md)

# Erstellung und Löschung von Backup-Tresoren
<a name="create-a-vault"></a>

Sie müssen mindestens einen Tresor erstellen, bevor Sie einen Backup-Plan erstellen oder einen Backup-Auftrag starten können.

Wenn Sie die Seite **Backup-Tresore** der AWS Backup Konsole zum ersten Mal in einem verwenden AWS-Region, erstellt die Konsole automatisch einen Standardtresor für die Region.

Wenn Sie jedoch das AWS Backup AWS CLI AWS SDK oder CloudFormation verwenden, wird kein Standarddepot erstellt. Sie müssen einen eigenen Tresor erstellen.

## Erforderliche Berechtigungen
<a name="creating-a-vault-permissions"></a>

Sie benötigen die folgenden Berechtigungen, um einen Backup-Tresor mit zu erstellen AWS Backup.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowKMSOperations",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "AllowCreateBackupVault",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
    },
    {
      "Sid": "AllowMountCapsule",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Erstellen eines Backup-Tresors (Konsole)
<a name="creating-a-vault-console"></a>

Anstatt den Standard-Sicherungstresor zu verwenden, der für Sie automatisch in der AWS Backup -Konsole erstellt wird, können Sie spezifische Sicherungstresore erstellen, um Gruppen von Sicherungen in einem Tresor zu speichern und zu organisieren.

**So erstellen Sie einen Backup-Tresor**

1. Wählen Sie auf der AWS Backup Konsole im Navigationsbereich die Option **Backup-Tresore** aus.
**Anmerkung**  
Wenn der Navigationsbereich auf der linken Seite nicht sichtbar ist, können Sie ihn öffnen, indem Sie auf das Menüsymbol in der oberen linken Ecke der Konsole klicken. AWS Backup 

1. Wählen Sie **Create backup vault (Sicherungstresor erstellen)** aus.

1. Geben Sie einen Namen für Ihren Sicherungstresor ein. Sie können den Namen Ihres Tresors so wählen, dass er angibt, was in ihm gespeichert wird, oder so, dass die Suche nach den benötigten Sicherungen erleichtert wird. Geben Sie ihm beispielsweise den Namen **FinancialBackups**.

1. Wählen Sie eine Taste AWS Key Management Service (AWS KMS) aus. Sie können entweder einen Schlüssel verwenden, den Sie bereits erstellt haben, oder den AWS Backup Standard-KMS-Schlüssel auswählen.
**Anmerkung**  
Der hier angegebene AWS KMS Schlüssel gilt nur für Backups von Diensten, die AWS Backup unabhängige Verschlüsselung unterstützen. Eine Liste der Ressourcentypen, die AWS Backup unabhängige Verschlüsselung unterstützen, finden Sie im Abschnitt „Vollständige Verwaltung“ der [Feature-Verfügbarkeit nach Ressource](backup-feature-availability.md#features-by-resource) Tabelle.

1. Optional können Sie Tags hinzufügen, die Ihnen dabei helfen, Ihren Sicherungstresor zu finden und zu identifizieren. Beispielsweise können Sie den Tag **BackupType:Financial** hinzufügen.

1. Wählen Sie **Create backup vault (Sicherungstresor erstellen)** aus.

1. Wählen Sie im Navigationsbereich die Option **Backup vaults (Sicherungstresore)**, und prüfen Sie, ob Ihr Sicherungstresor hinzugefügt wurde.

**Anmerkung**  
Sie können jetzt eine Sicherungsregel in einem Ihrer Sicherungspläne bearbeiten, um Sicherungen, die mit dieser Regel erstellt wurden, im soeben erstellten Sicherungstresor zu speichern.

## Erstellen eines Backup-Tresors (programmgesteuert)
<a name="creating-a-vault-cli"></a>

Der folgende AWS Command Line Interface Befehl erstellt einen Backup-Tresor:

```
aws backup create-backup-vault --backup-vault-name test-vault
```

Sie können auch die folgenden Konfigurationen für einen Backup-Tresor festlegen.

## Name des Backup-Tresors
<a name="vault-name"></a>

Bei Namen von Sicherungstresoren wird zwischen Groß- und Kleinschreibung unterschieden. Sie müssen zwischen 2 und 50 alphanumerische Zeichen, Bindestriche oder Unterstriche enthalten.

## AWS KMS Verschlüsselungsschlüssel
<a name="kms-key"></a>

Der AWS KMS Verschlüsselungsschlüssel schützt Ihre Backups in diesem Backup-Tresor. Standardmäßig erstellt AWS Backup für Sie einen KMS-Schlüssel mit dem Alias `aws/backup`. Sie können diesen Schlüssel oder einen anderen Schlüssel in Ihrem Konto auswählen (kontenübergreifende KMS-Schlüssel können über die CLI verwendet werden).

Sie können einen neuen Verschlüsselungsschlüssel erstellen, indem Sie dem Verfahren zum [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service -Entwicklerhandbuch* folgen.

Nachdem Sie einen Backup-Tresor erstellt und den AWS KMS Verschlüsselungsschlüssel festgelegt haben, können Sie den Schlüssel für diesen Backup-Tresor nicht mehr bearbeiten.

Der in einem AWS Backup Tresor angegebene Verschlüsselungsschlüssel gilt für die Backups bestimmter Ressourcentypen. Weitere Informationen zur Verschlüsselung von Sicherungen finden Sie unter [Verschlüsselung für Backups in AWS Backup](encryption.md) im Abschnitt „Sicherheit“. Sicherungen aller anderen Ressourcentypen werden mit dem Schlüssel gesichert, der zum Verschlüsseln der Quellressource verwendet wurde.

## Backup-Tresor-Tags
<a name="vault-tags"></a>

Diese Tags sind dem Sicherungstresor zugeordnet, um Sie beim Organisieren und Nachverfolgen Ihrer Sicherungstresore zu unterstützen.

## Löschen eines Tresors
<a name="delete-a-vault"></a>

Als Schutz vor versehentlicher oder böswilliger Massenlöschung können Sie einen Backup-Tresor in AWS Backup erst löschen, nachdem Sie alle Wiederherstellungspunkte in Ihrem Backup-Tresor (oder die Lebenszyklen Ihres Backup-Plans) gelöscht haben. Informationen zum manuellen Löschen Ihrer Wiederherstellungspunkte finden Sie unter [Löschen von Backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

Wenn Sie einen Sicherungstresor löschen, aktualisieren Sie Ihre Sicherungspläne so, dass sie auf andere Sicherungstresore verweisen. Ein Sicherungsplan, der auf einen gelöschten Sicherungstresor verweist, führt dazu, dass die Erstellung einer Sicherung fehlschlägt.

Sie können den Standard-Backup-Tresor oder den automatischen Amazon EFS-Backup-Tresor nicht mit dem löschen AWS-Managementkonsole. Sie können einen Standard-Backup-Tresor mit dem löschen AWS CLI , falls dieser leer ist. Wenn Sie jedoch die AWS Backup Konsole öffnen und diese Region auswählen, erstellt die Konsole den Standard-Backup-Tresor neu. Sie können unbenutzte Snapshots im automatischen Backup-Tresor von Amazon EFS löschen.

**Um einen Backup-Tresor mit der AWS Backup Konsole zu löschen**

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Wählen Sie im Navigationsbereich **Backup vaults (Sicherungstresore)** aus.

1. Wählen Sie den Namen des Backup-Tresors, um dessen Detailseite zu öffnen.

1. Wählen Sie alle Backups aus, die mit dem Backup-Tresor verbunden sind, und löschen Sie sie.

1. Wählen Sie **Tresor löschen**. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie den Namen des Tresors ein und wählen Sie dann **Backup-Tresor löschen**.

# Logischer Air-Gapped Vault
<a name="logicallyairgappedvault"></a>

## Überblick über Tresore mit logischem Air-Gap
<a name="lag-overview"></a>

AWS Backup bietet einen sekundären Tresortyp, in dem Backups in einem Container mit zusätzlichen Sicherheitsfunktionen gespeichert werden können. Ein **Tresor mit logischem Air-Gapped** ist ein spezialisierter Tresor, der mehr Sicherheit bietet als ein herkömmlicher Backup-Tresor und die Möglichkeit bietet, den Zugriff auf den Tresor gemeinsam mit anderen Konten zu nutzen, sodass Recovery Time Objectives (RTOs) im Falle eines Vorfalls, der eine schnelle Wiederherstellung von Ressourcen erfordert, schneller und flexibler gestaltet werden können.

Logical Air-Gapped Tresore sind mit zusätzlichen Schutzfunktionen ausgestattet. Jeder Tresor ist entweder mit einem [AWS eigenen Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) (Standard) oder optional mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt, und jeder Tresor ist mit dem Compliance-Modus von [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) ausgestattet. Die Informationen zum Typ des Verschlüsselungsschlüssels sind in der Konsole sichtbar und sorgen so für AWS Backup APIs Transparenz und Konformitätsberichte.

Sie können Ihre Tresore mit logischem Air-Gap mit [Multi-Party Approval](multipartyapproval.md) (MPA) integrieren, um die Wiederherstellung von Backups in den Tresoren auch dann zu ermöglichen, wenn auf das Konto, das den Tresor besitzt, nicht zugegriffen werden kann. Dies trägt zur Aufrechterhaltung der Geschäftskontinuität bei. Darüber hinaus können Sie sich für die Integration mit [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) entscheiden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen AWS Konten (einschließlich Konten in anderen Organisationen) zu nutzen, sodass die im Tresor gespeicherten Backups von einem Konto wiederhergestellt werden können, mit dem der Tresor gemeinsam genutzt wird, falls dies für die Wiederherstellung nach Datenverlust oder für [Wiederherstellungstests](restore-testing.md) erforderlich ist. Als Teil dieser zusätzlichen Sicherheit speichert ein Tresor mit logischem Air-Gap seine Backups in einem AWS Backup diensteigenen Konto (was dazu führt, dass Backups in AWS CloudTrail Protokollen als außerhalb Ihrer Organisation gemeinsam genutzt angezeigt werden).

[In dem Szenario, in dem Ihr Konto, das den Tresor besitzt, geschlossen wird (böswillig oder auf andere Weise), können Sie bis zum Ablauf der Zeit nach der Schließung weiterhin über MPA auf Backups im Tresor zugreifen (sie wiederherstellen oder kopieren).](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) Nach Ablauf der Frist nach der Schließung sind die Backups nicht mehr zugänglich. Während der Zeit nach der Schließung können Sie in der [Dokumentation zur AWS Kontoverwaltung](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) nachschlagen, um die Kontrolle über Ihr Konto zurückzugewinnen und gleichzeitig an der Wiederherstellung zu arbeiten.

Um die Ausfallsicherheit zu erhöhen, empfehlen wir, regionsübergreifende Kopien in Tresoren mit logischem Air-Gap in denselben oder separaten Konten zu erstellen. Wenn Sie jedoch die Speicherkosten senken möchten, indem Sie nur eine einzige Kopie verwalten, können Sie nach der Einführung in MPA [primäre Backups für Tresore mit logischem Air-Gap](lag-vault-primary-backup.md) verwenden. AWS 

[Sie können die Speicherpreise für Backups der unterstützten Services in einem Tresor mit logischem Air-Gap auf der Preisseite einsehen.AWS Backup](https://aws.amazon.com/backup/pricing/)

Informationen zu [Feature-Verfügbarkeit nach Ressource](backup-feature-availability.md#features-by-resource) den Ressourcentypen, die Sie in einen Tresor mit logischem Air-Gap kopieren können, finden Sie unter.

**Topics**
+ [Überblick über Tresore mit logischem Air-Gap](#lag-overview)
+ [Anwendungsfall für Tresore mit logischem Air-Gap](#lag-usecase)
+ [Vergleich und Gegenüberstellung mit einem Standard-Backup-Tresor](#lag-compare-and-contrast)
+ [Erstellen Sie einen Tresor mit logischem Air-Gap](#lag-create)
+ [Sehen Sie sich die Details des Tresors mit logischem Air-Gap an](#lag-view)
+ [Erstellen von Backups in einem Tresor mit logischem Air-Gap](#lag-creation)
+ [Teilen Sie einen Tresor mit logischem Air-Gap](#lag-share)
+ [Stellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder her](#lag-restore)
+ [Löschen Sie einen Tresor mit logischem Air-Gap](#lag-delete)
+ [Zusätzliche programmatische Optionen für Tresore mit logischem Air-Gap](#lag-programmatic)
+ [Grundlegendes zu Verschlüsselungsschlüsseltypen für Tresore mit logischem Air-Gap](#lag-encryption-key-types)
+ [Verwendung eines Schlüssels, der dem Dienst gehört](#lag-service-owned-key)
+ [Überlegungen zur automatischen Sicherheitsbehebung](#lag-security-auto-remediation)
+ [Beheben Sie ein Problem mit einem Tresor mit logischem Air-Gap](#lag-troubleshoot)
+ [Primäre Backups zu logischen Air-Gapped Vaults](lag-vault-primary-backup.md)
+ [Genehmigung durch mehrere Parteien für Tresore mit logischem Air-Gap](multipartyapproval.md)

## Anwendungsfall für Tresore mit logischem Air-Gap
<a name="lag-usecase"></a>

Ein logischer Air-Gapped Vault ist ein sekundärer Tresor, der als Teil einer Datenschutzstrategie dient. Dieser Tresor kann dazu beitragen, die Aufbewahrungsstrategie und die Wiederherstellung Ihres Unternehmens zu verbessern, wenn Sie einen Tresor für Ihre Backups benötigen
+ Wird automatisch mit einer Tresorsperre im [Compliance-Modus](vault-lock.md) eingerichtet
+ Bietet standardmäßig Verschlüsselung mit einem AWS eigenen Schlüssel. Optional können Sie einen vom Kunden verwalteten Schlüssel bereitstellen
+ Enthält Backups, die über AWS RAM oder MPA mit einem anderen Konto als dem Konto, das die Sicherung erstellt hat, geteilt und von dort wiederhergestellt werden können

**Überlegungen und Einschränkungen**
+ Unverschlüsselte Amazon Aurora-, Amazon DocumentDB- und Amazon Neptune Neptune-Cluster werden für Logic Air-Gapped Vault nicht unterstützt, da sie die Verschlüsselung unverschlüsselter DB-Cluster-Snapshots nicht unterstützen.
+ Amazon EC2 bietet [EC2 Allowed](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html). AMIs Wenn diese Einstellung in Ihrem Konto aktiviert ist, fügen Sie den Alias `aws-backup-vault` zu Ihrer Zulassungsliste hinzu.

   Wenn dieser Alias nicht enthalten ist, schlagen Kopiervorgänge von einem Tresor mit logischem Air-Gap in einen Backup-Tresor und Wiederherstellungsvorgänge von EC2-Instances aus einem Tresor mit logischem Air-Gap fehl und es wird eine Fehlermeldung wie „Source AMI ami-xxxxxx not found in Region“ angezeigt.
+ Der ARN (Amazon Resource Name) eines Wiederherstellungspunkts, der in einem Tresor mit logischem Air-Gap gespeichert ist, wird anstelle des zugrunde liegenden Ressourcentyps verwendet. `backup` Wenn der ursprüngliche ARN beispielsweise mit beginnt`arn:aws:ec2:region::image/ami-*`, dann ist dies der ARN des Wiederherstellungspunkts im Tresor mit logischem Air-Gapped. `arn:aws:backup:region:account-id:recovery-point:*`

  Sie können den CLI-Befehl verwenden [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html), um den ARN zu ermitteln.

## Vergleich und Gegenüberstellung mit einem Standard-Backup-Tresor
<a name="lag-compare-and-contrast"></a>

Ein **Backup-Tresor** ist der primäre und standardmäßige Tresortyp, der in AWS Backup verwendet wird. Jedes Backup wird beim Erstellen in einem Backup-Tresor gespeichert. Sie können ressourcenbasierte Richtlinien zuweisen, um die im Tresor gespeicherten Backups zu verwalten, z. B. den Lebenszyklus von im Tresor gespeicherten Backups.

Ein **logischer Air-Gapped Vault** ist ein spezialisierter Tresor mit zusätzlicher Sicherheit und flexibler gemeinsamer Nutzung für eine kürzere Wiederherstellungszeit (Recovery Time Objective, RTO). In diesem Tresor werden primäre Backups oder Kopien von Backups gespeichert, die ursprünglich in einem Standard-Backup-Tresor erstellt und gespeichert wurden.

Backup-Tresore werden mit einem Schlüssel verschlüsselt, einem Sicherheitsmechanismus, der den Zugriff auf die vorgesehenen Benutzer beschränkt. Diese Schlüssel können vom Kunden verwaltet oder AWS verwaltet werden. Informationen zum [Verschlüsselungsverhalten bei Kopieraufträgen](encryption.md#copy-encryption), einschließlich des Kopierens in einen Tresor mit logischem Air-Gap, finden Sie unter Kopierverschlüsselung.

Darüber hinaus kann ein Backup-Tresor durch eine Tresorsperre zusätzliche Sicherheit bieten. Logischerweise sind Tresore mit Air-Gaps im Compliance-Modus mit einem Tresorschloss ausgestattet.

Ähnlich wie Backup-Tresore unterstützen Tresore mit logischem Air-Gap auch [eingeschränkte Tags](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) für Amazon EC2 EC2-Backups.


| Feature | Sicherungstresor | Logischer Air-Gapped Vault | 
| --- | --- | --- | 
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | Sie können AWS Backup Audit Manager verwenden[Steuerelemente und Abhilfemaßnahmen](controls-and-remediation.md), um Ihre Backup-Tresore zu überwachen. | Stellen Sie sicher, dass ein Backup einer bestimmten Ressource nach einem von Ihnen festgelegten Zeitplan in [mindestens einem Tresor mit logischem Air-Gap](controls-and-remediation.md#resources-in-lag-vault-control) gespeichert wird, und zwar zusätzlich zu den für Standardtresore verfügbaren Kontrollen. | 
| [Fakturierung](https://aws.amazon.com/backup/pricing/) | Speicher- und Datenübertragungsgebühren für Ressourcen, die vollständig von "verwaltet werden, AWS Backup fallen unter"“ an.AWS Backup Speicher- und Datenübertragungsgebühren für andere Arten von Ressourcen fallen im Rahmen der jeweiligen Dienste an. Beispielsweise werden Amazon EBS-Backups unter „Amazon EBS“ angezeigt; Amazon S3 S3-Backups werden unter "AWS Backup“ angezeigt. | Alle Abrechnungsgebühren für diese Tresore (Speicherung oder Datenübertragung) werden unter "" ausgewiesen.AWS Backup | 
|   [Regionen](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Verfügbar in allen Regionen, in denen tätig ist AWS Backup  | Verfügbar in den meisten Regionen, die von unterstützt werden AWS Backup. Derzeit nicht verfügbar in Asien-Pazifik (Malaysia), Kanada West (Calgary), Mexiko (Zentral), Asien-Pazifik (Thailand), Asien-Pazifik (Taipeh), Asien-Pazifik (Neuseeland), China (Peking), China (Ningxia), AWS GovCloud (USA-Ost) oder AWS GovCloud (US-West). | 
|   [Ressourcen](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Kann Kopien von Backups für die meisten Ressourcentypen speichern, die kontoübergreifendes Kopieren unterstützen. | Ressourcen, die in diesen Tresor kopiert werden können, finden Sie in der [Feature-Verfügbarkeit nach Ressource](backup-feature-availability.md#features-by-resource) Spalte Tresor mit logischem Air-Gapped unter. | 
|  [Wiederherstellen](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | Backups können mit demselben Konto wiederhergestellt werden, zu dem der Tresor gehört. | Backups können mit einem anderen Konto als dem, zu dem der Tresor gehört, wiederhergestellt werden, wenn der Tresor mit diesem separaten Konto geteilt wird. | 
| [Sicherheit](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) |  Kann optional mit einem Schlüssel verschlüsselt werden (kundenseitig verwaltet oder von AWS verwaltet) Wahlweise kann eine Tresorsperre im Compliance- oder Governance-Modus verwendet werden |  Kann mit einem [AWS eigenen Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden Ist immer mit einer [Tresorsperre](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) im Compliance-Modus gesperrt Informationen zum Typ des Verschlüsselungsschlüssels bleiben erhalten und sind sichtbar, wenn Tresore über AWS RAM MPA gemeinsam genutzt werden  | 
| [Teilen](#lag-share) |  Zugriff kann über Richtlinien und [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) verwaltet werden. Nicht kompatibel mit AWS RAM  | Kann optional mit [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) über mehrere Konten hinweg gemeinsam genutzt werden | 

## Erstellen Sie einen Tresor mit logischem Air-Gap
<a name="lag-create"></a>

Sie können einen Tresor mit logischem Air-Gap entweder über die AWS Backup Konsole oder über eine Kombination aus AWS Backup und AWS RAM CLI-Befehlen erstellen.

Jeder Logic Air-Gapped ist im Compliance-Modus mit einer Tresorsperre ausgestattet. Weitere Informationen finden Sie unter[AWS Backup Vault Lock](vault-lock.md), um die für Ihren Betrieb am besten geeigneten Werte für die Aufbewahrungsdauer zu ermitteln

------
#### [ Console ]

**Erstellen eines logischen Air-Gapped Vault von der Konsole aus**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im Navigationsbereich **Tresore** aus.

1. Beide Tresortypen werden angezeigt. Wählen Sie **Neuen Tresor erstellen** aus.

1. Geben Sie einen Namen für Ihren Sicherungstresor ein. Sie können den Namen Ihres Tresors so wählen, dass er angibt, was in ihm gespeichert wird, oder so, dass die Suche nach den benötigten Sicherungen erleichtert wird. Geben Sie ihm beispielsweise den Namen `FinancialBackups`.

1. Wählen Sie das Optionsfeld für **Logically Air-Gapped** Vault aus. 

1. *(Optional)* Wählen Sie einen Verschlüsselungsschlüssel. Sie können einen vom Kunden verwalteten KMS-Schlüssel auswählen, um zusätzliche Kontrolle über die Verschlüsselung zu erhalten, oder den standardmäßigen AWS eigenen Schlüssel verwenden (empfohlen).

1. Legen Sie den **Mindestaufbewahrungszeitraum** fest.

   Dieser Wert (in Tagen, Monaten oder Jahren) ist der kürzeste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die kürzer sind als dieser Wert, können nicht in diesen Tresor kopiert werden.

   Der zulässige Mindestwert ist `7` Tage. Werte für Monate und Jahre entsprechen diesem Mindestwert.

1. Legen Sie den **Höchstaufbewahrungszeitraum** fest.

   Dieser Wert (in Tagen, Monaten oder Jahren) ist der längste Zeitraum, für den ein Backup in diesem Tresor aufbewahrt werden kann. Backups mit Aufbewahrungszeiträumen, die diesen Wert überschreiten, können nicht in diesen Tresor kopiert werden.

1. *(Optional)* Legen Sie den **Verschlüsselungsschlüssel** fest.

   Geben Sie den Schlüssel an, der mit Ihrem Tresor verwendet werden soll. Sie können einen **AWS eigenen Schlüssel (verwaltet von AWS Backup)** wählen oder den ARN für einen vom **Kunden verwalteten Schlüssel** eingeben, der vorzugsweise zu einem anderen Konto gehört, auf das Sie Zugriff haben. AWS Backup empfiehlt die Verwendung eines AWS eigenen Schlüssels.

1. *(Optional)* Fügen Sie Tags hinzu, die Ihnen helfen, Ihren logischen Air-Gapped Vault zu suchen und zu identifizieren. Beispielsweise können Sie den Tag `BackupType:Financial` hinzufügen.

1. Wählen Sie **Tresor erstellen** aus.

1. Überprüfen Sie die Einstellungen. Wenn alle Einstellungen wie gewünscht angezeigt werden, wählen Sie **Logischen luftdicht verschlossenen Tresor erstellen** aus.

1. Die Konsole leitet Sie zur Detailseite Ihres neuen Tresors weiter. Vergewissern Sie sich, dass die Tresordetails wie gewünscht festgelegt sind.

1. Wählen Sie **Tresore** aus, um die Tresore in Ihrem Konto anzuzeigen. Ihr Tresor mit logischem Air-Gap wird angezeigt. Der KMS-Schlüssel ist etwa 1 bis 3 Minuten nach der Erstellung des Tresors verfügbar. Aktualisieren Sie die Seite, um den zugehörigen Schlüssel zu sehen. Sobald der Schlüssel sichtbar ist, ist der Tresor verfügbar und kann verwendet werden.

------
#### [ AWS CLI ]

Erstellen Sie über die CLI einen Tresor mit logischem Air-Gapped

Sie können es verwenden AWS CLI , um programmgesteuert Operationen für Tresore mit logischem Air-Gap auszuführen. Jede CLI ist spezifisch für den AWS Dienst, aus dem sie stammt. Befehlen, die sich auf Freigaben beziehen, wird `aws ram` vorangestellt. Allen anderen Befehlen sollte `aws backup` vorangestellt werden.

Verwenden Sie den CLI-Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html), der mit den folgenden Parametern geändert wurde:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```

Mit dem optionalen `--encryption-key-arn` Parameter können Sie einen vom Kunden verwalteten KMS-Schlüssel für die Tresorverschlüsselung angeben. Falls nicht angegeben, verwendet der Tresor einen AWS eigenen Schlüssel.

Beispiel für einen CLI-Befehl zum Erstellen eines Tresors mit logischem Air-Gapped:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```

Beispiel für einen CLI-Befehl zum Erstellen eines Tresors mit logischem Air-Gapped und kundenverwalteter Verschlüsselung:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```

Informationen nach dem Erstellungsvorgang finden Sie unter [CreateLogicallyAirGappedBackupVault API-Antwortelemente](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html). Wenn der Vorgang erfolgreich war, wird im neuen Tresor mit logischem Air-Gap der Wert „Aus“ angezeigt. VaultState `CREATING`

Sobald die Erstellung abgeschlossen ist und der KMS-verschlüsselte Schlüssel zugewiesen wurde, VaultState erfolgt der Übergang zu. `AVAILABLE` Sobald der Tresor verfügbar ist, kann er verwendet werden. `VaultState`kann telefonisch [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)oder abgerufen werden [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html).

------

## Sehen Sie sich die Details des Tresors mit logischem Air-Gap an
<a name="lag-view"></a>

Sie können die Tresordetails wie Zusammenfassung, Wiederherstellungspunkte, geschützte Ressourcen, Kontofreigabe, Zugriffsrichtlinien und Tags über die AWS Backup Konsole oder die AWS Backup CLI einsehen.

------
#### [ Console ]

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im linken Navigationsbereich die Option **Tresore** aus.

1. **Unter den Beschreibungen der Tresore finden Sie drei Listen: Tresore, die **von diesem Konto erstellt wurden, Tresore**, die **über RAM gemeinsam genutzt werden, und Tresore, auf die durch eine** Genehmigung durch mehrere Parteien zugegriffen werden kann.** Wählen Sie die gewünschte Registerkarte aus, um die Tresore anzuzeigen.

1. Klicken Sie unter **Tresorname** auf den Namen des Tresors, um die Detailseite zu öffnen. Sie können die Zusammenfassung, die Wiederherstellungspunkte, die geschützten Ressourcen, die Kontofreigabe, die Zugriffsrichtlinie und Tag-Details einsehen.

   Die Details werden je nach Kontotyp angezeigt: Konten, die einen Tresor besitzen, können die gemeinsame Nutzung von Konten einsehen; Konten, die keinen Tresor besitzen, können die gemeinsame Nutzung von Konten nicht einsehen. Bei gemeinsam genutzten Tresoren wird der Typ des Verschlüsselungsschlüssels (AWS eigener oder vom Kunden verwalteter KMS-Schlüssel) in der Tresorübersicht angezeigt.

------
#### [ AWS CLI ]

Details eines Tresors mit logischem Air-Gap über CLI anzeigen

Der CLI-Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html)kann verwendet werden, um Details zu einem Tresor abzurufen. Der Parameter `backup-vault-name` ist erforderlich; `region` ist optional.

```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```

Beispiel für eine Antwort:

```
{
            "BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
            "BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 8,
            "MaxRetentionDays": 30,
            "LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```

**Anmerkung**  
In Regionen, in denen Tresore mit logischem Air-Gap nicht verfügbar sind, ist das `VaultType` Feld nicht in der API-Antwort enthalten.

------

## Erstellen von Backups in einem Tresor mit logischem Air-Gap
<a name="lag-creation"></a>

Tresore mit logischem Air-Gap können ein Zielziel für Kopieraufträge in einem Backup-Plan oder ein Ziel für einen On-Demand-Kopierauftrag sein. Es kann auch als primäres Backup-Ziel verwendet werden. Weitere Informationen finden Sie unter [Primäre Backups in Tresoren mit logischem Air-Gap](lag-vault-primary-backup.md).

**Kompatible Verschlüsselung**

Für einen erfolgreichen Kopiervorgang von einem Backup-Tresor in einen Tresor mit logischem Air-Gap ist ein Verschlüsselungsschlüssel erforderlich, der durch den zu kopierenden Ressourcentyp bestimmt wird.

Wenn Sie ein Backup eines [vollständig verwalteten Ressourcentyps](backup-feature-availability.md#features-by-resource) erstellen oder kopieren, kann die Quellressource mit einem vom Kunden verwalteten Schlüssel oder mit einem verwalteten Schlüssel verschlüsselt werden. AWS 

Wenn Sie ein Backup anderer Ressourcentypen (solche, die [nicht vollständig verwaltet](backup-feature-availability.md#features-by-resource) werden) erstellen oder kopieren, muss die Quelle mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden. AWS verwaltete Schlüssel für nicht vollständig verwaltete Ressourcen werden nicht unterstützt.

**Erstellen oder kopieren Sie Backups mithilfe eines Backup-Plans in einen Tresor mit logischem Air-Gap**

Sie können ein Backup (Recovery Point) von einem Standard-Backup-Tresor in einen Tresor mit logischem Air-Gap kopieren, indem Sie in der AWS Backup Konsole oder mithilfe der Befehle und [einen neuen Backup-Plan erstellen](creating-a-backup-plan.md) oder [einen vorhandenen aktualisieren](updating-a-backup-plan.md). AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) Sie können Backups auch direkt in einem Tresor mit logischem Air-Gap erstellen, indem Sie ihn als primäres Ziel verwenden. Weitere Informationen finden Sie unter [Primäre Backups in Tresoren mit logischem Air-Gap](lag-vault-primary-backup.md).

Sie können bei Bedarf ein Backup von einem Tresor mit logischem Air-Gap in einen anderen Tresor mit logischem Air-Gap kopieren (diese Art von Backup kann nicht in einem Backup-Plan geplant werden). Sie können ein Backup von einem Tresor mit logischem Air-Gap in einen Standard-Backup-Tresor kopieren, sofern die Kopie mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist.

**On-Demand-Backup-Kopie in einen Tresor mit logischem Air-Gap**

Um eine einmalige [On-Demand-Kopie](recov-point-create-on-demand-backup.md) eines Backups in einen Tresor mit logischem Air-Gap zu erstellen, können Sie aus einem Standard-Backup-Tresor kopieren. Regions- oder kontoübergreifende Kopien sind verfügbar, wenn der Ressourcentyp den Kopiertyp unterstützt.

**Verfügbarkeit kopieren**

Eine Kopie eines Backups kann von dem Konto aus erstellt werden, zu dem der Tresor gehört. Konten, mit denen der Tresor gemeinsam genutzt wurde, haben die Möglichkeit, ein Backup anzusehen oder wiederherzustellen, aber keine Kopie zu erstellen.

Es können nur [Ressourcentypen berücksichtigt werden, die regionsübergreifendes oder kontoübergreifendes Kopieren unterstützen](backup-feature-availability.md#features-by-resource).

------
#### [ Console ]

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Wählen Sie im linken Navigationsbereich die Option **Tresore** aus.

1. Auf der Tresordetailseite werden alle Wiederherstellungspunkte innerhalb dieses Tresors angezeigt. Aktivieren Sie das Kontrollkästchen neben dem Wiederherstellungspunkt, den Sie kopieren möchten.

1. Wählen Sie **Aktionen** und dann im Dropdown-Menü **Kopieren** aus.

1. Geben Sie auf dem nächsten Bildschirm die Details des Ziels ein.

   1. Geben Sie die Zielregion an.

   1. Das Dropdown-Menü für den Ziel-Backup-Tresor zeigt die geeigneten Zieltresore an. Wählen Sie einen vom Typ `logically air-gapped vault` aus.

1. Wählen Sie **Kopieren** aus, sobald alle Details Ihren Präferenzen entsprechen. 

Auf der Seite **Aufträge** in der Konsole können Sie **Kopieraufträge** auswählen, um die aktuellen Kopieraufträge einzusehen.

------
#### [ AWS CLI ]

Verwenden Sie [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html), um ein vorhandenes Backup in einem Backup-Tresor in einen logischen Air-Gapped Vault zu kopieren.

CLI-Beispieleingabe:

```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```

------

Weitere Informationen finden Sie unter [Kopieren eines Backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [Erstellen von Backup-Kopien über AWS-Regionen hinweg](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) und [Erstellen von Backup-Kopien über AWS-Konten hinweg](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html).

## Teilen Sie einen Tresor mit logischem Air-Gap
<a name="lag-share"></a>

Sie können AWS Resource Access Manager (RAM) verwenden, um einen Tresor mit logischem Air-Gap gemeinsam mit anderen von Ihnen angegebenen Konten zu nutzen. Bei der gemeinsamen Nutzung von Tresoren bleiben die Informationen zum Typ des Verschlüsselungsschlüssels (AWS eigener oder vom Kunden verwalteter KMS-Schlüssel) erhalten und sind für Konten sichtbar, mit denen der Tresor gemeinsam genutzt wird.

Ein Tresor kann mit einem Konto in seiner Organisation oder mit einem Konto in einer anderen Organisation geteilt werden. Der Tresor kann nicht mit einer gesamten Organisation geteilt werden, sondern nur mit Konten innerhalb der Organisation.

Nur Konten mit bestimmten IAM-Rechten können Tresore gemeinsam nutzen und verwalten.

Stellen Sie für die gemeinsame Nutzung sicher AWS RAM, dass Sie über Folgendes verfügen:
+ Zwei oder mehr Konten, auf die zugegriffen werden kann AWS Backup
+ Ein Konto, das einen Tresor besitzt und das teilen möchte, verfügt über die erforderlichen RAM-Berechtigungen. Die Berechtigung `ram:CreateResourceShare` ist für dieses Verfahren erforderlich. Die Richtlinie `AWSResourceAccessManagerFullAccess` enthält alle erforderlichen RAM-bezogenen Berechtigungen:
  + `backup:DescribeBackupVault`
  + `backup:DescribeRecoveryPoint`
  + `backup:GetRecoveryPointRestoreMetadata`
  + `backup:ListProtectedResourcesByBackupVault`
  + `backup:ListRecoveryPointsByBackupVault`
  + `backup:ListTags`
  + `backup:StartRestoreJob`
+ Mindestens einen logischen Air-Gapped Vault

------
#### [ Console ]

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im linken Navigationsbereich die Option **Tresore** aus.

1. Unter den Beschreibungen der Tresore finden Sie zwei Listen: **Tresore, die diesem Konto gehören** und **Mit diesem Konto geteilte Tresore**. Tresore, die dem Konto gehören, können gemeinsam genutzt werden.

1. Wählen Sie unter **Tresorname** den Namen des logischen Air-Gapped Vault aus, um die Detailseite zu öffnen.

1. Im Bereich **Kontofreigabe** wird angezeigt, mit welchen Konten der Tresor geteilt wird.

1. Um mit der Freigabe für ein anderes Konto zu beginnen oder Konten zu bearbeiten, die bereits gemeinsam genutzt werden, wählen Sie **Freigabe verwalten** aus.

1. Die AWS RAM Konsole wird geöffnet, wenn **„Teilen verwalten**“ ausgewählt ist. Anweisungen zur gemeinsamen Nutzung einer Ressource mithilfe von AWS RAM finden Sie unter [Erstellen einer Ressourcenfreigabe im AWSAWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *im RAM-Benutzerhandbuch*.

1. Das Konto, das aufgefordert wurde, eine Einladung anzunehmen, um eine Freigabe zu erhalten, hat 12 Stunden Zeit, die Einladung anzunehmen. Weitere Informationen finden Sie unter [Annehmen und Ablehnen von Einladungen zur Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) im *AWS -RAM-Benutzerhandbuch*.

1. Wenn die Schritte für die Freigabe abgeschlossen und akzeptiert wurden, wird die Seite mit der Tresorübersicht unter **Gemeinsame Nutzung von Konten = Geteilt – siehe Tabelle zur gemeinsamen Nutzung von Konten unten** angezeigt.

------
#### [ AWS CLI ]

AWS RAM verwendet den CLI-Befehl`create-resource-share`. Der Zugriff auf diesen Befehl ist nur für Konten mit ausreichenden Berechtigungen verfügbar. Die CLI-Schritte finden Sie unter [Erstellen einer Ressourcenfreigabe in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html).

Die Schritte 1 bis 4 werden mit dem Konto ausgeführt, dem der logische Air-Gapped Vault gehört. Die Schritte 5 bis 8 werden mit dem Konto ausgeführt, für das der logische Air-Gapped Vault freigegeben werden soll.

1. Melden Sie sich bei dem Eigentümerkonto an ODER fordern Sie einen Benutzer in Ihrer Organisation, der über ausreichende Anmeldeinformationen für den Zugriff auf das Quellkonto verfügt, auf, diese Schritte durchzuführen. 

   1. Wenn zuvor eine Ressourcenfreigabe erstellt wurde und Sie ihr eine zusätzliche Ressource hinzufügen möchten, verwenden Sie stattdessen die CLI `associate-resource-share` mit dem ARN des neuen Tresors.

1. Rufen Sie die Anmeldeinformationen einer Rolle mit ausreichenden Berechtigungen für die Freigabe über RAM ab. [Geben Sie diese in die CLI ein](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new). 

   1. Die Berechtigung `ram:CreateResourceShare` ist für dieses Verfahren erforderlich. Die Richtlinie [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)enthält alle RAM-bezogenen Berechtigungen. 

1. Verwenden Sie [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).

   1. Geben Sie den ARN des logischen Air-Gapped Vault an.

   1. Beispieleingabe:

      ```
      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1
      ```

   1. Beispielausgabe:

      ```
      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }
      ```

1. Kopieren Sie den Ressourcenfreigabe-ARN in die Ausgabe (benötigt für nachfolgende Schritte). Geben Sie den ARN an den Betreiber des Kontos weiter, das Sie einladen, die Freigabe zu erhalten.

1. Abrufen des Ressourcenfreigabe-ARN

   1. Wenn Sie die Schritte 1 bis 4 nicht durchgeführt haben, holen Sie sich das resourceShareArn von demjenigen, der es getan hat.

   1. Beispiel: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`

1. Übernehmen Sie in der CLI die Anmeldeinformationen des Empfängerkontos.

1. Rufen Sie mit [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html) die Ressourcenfreigabeeinladung ab. Weitere Informationen finden Sie unter [Annehmen und Ablehnen von Ressourcenfreigabeeinladungen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) im *AWS RAM -Benutzerhandbuch*.

1. Nehmen Sie die Einladung im Zielkonto (Wiederherstellungskonto) an.

   1. Verwenden Sie [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) ([https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html) auch möglich).

Sie können AWS RAM CLI-Befehle verwenden, um gemeinsam genutzte Elemente anzuzeigen:
+ Ressourcen, die Sie geteilt haben:

  `aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Zeigen Sie dem Schulleiter:

  `aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Ressourcen, die von anderen Konten gemeinsam genutzt werden:

  `aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`

------

## Stellen Sie ein Backup aus einem Tresor mit logischem Air-Gap wieder her
<a name="lag-restore"></a>

Sie können ein in einem Tresor mit logischem Air-Gap gespeichertes Backup entweder von dem Konto aus wiederherstellen, dem der Tresor gehört, oder von einem beliebigen Konto, mit dem der Tresor gemeinsam genutzt wird.

Informationen zum [Wiederherstellen eines Wiederherstellungspunkts](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) über die Konsole finden Sie unter Backup wiederherstellen. AWS Backup 

Sobald ein Backup aus einem Tresor mit logischem Air-Gap für Ihr Konto freigegeben wurde, können Sie es [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)zur Wiederherstellung verwenden.

Eine CLI-Beispieleingabe kann den folgenden Befehl und die folgenden Parameter enthalten:

```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```

## Löschen Sie einen Tresor mit logischem Air-Gap
<a name="lag-delete"></a>

Siehe [Löschen](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault) eines Tresors. Tresore können nicht gelöscht werden, wenn sie noch Backups (Wiederherstellungspunkte) enthalten. Stellen Sie sicher, dass der Tresor keine Backups enthält, bevor Sie einen Löschvorgang starten.

Beim Löschen eines Tresors wird auch der dem Tresor zugeordnete Schlüssel sieben Tage nach dem Löschen des Tresors gemäß der Richtlinie zum Löschen von Schlüsseln gelöscht.

Der folgende CLI-Beispielbefehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) kann verwendet werden, um einen Tresor zu löschen.

```
aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname
```

## Zusätzliche programmatische Optionen für Tresore mit logischem Air-Gap
<a name="lag-programmatic"></a>

Der CLI-Befehl [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) kann so geändert werden, dass er alle Tresore auflistet, die dem Konto gehören und in diesem vorhanden sind:

```
aws backup list-backup-vaults
--region us-east-1
```

Um nur die logischen Air-Gapped Vaults aufzulisten, fügen Sie diesen Parameter hinzu:

```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```

Fügen Sie den Parameter hinzu`by-shared`, um die zurückgegebene Tresorliste so zu filtern, dass nur gemeinsam genutzte Tresore mit logischem Air-Gap angezeigt werden. Die Antwort enthält Informationen zum Typ des Verschlüsselungsschlüssels für jeden gemeinsam genutzten Tresor.

```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```

Beispielantwort mit Informationen zum Typ des Verschlüsselungsschlüssels:

```
{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}
```

**Anmerkung**  
In Regionen, in denen Tresore mit logischem Air-Gap nicht verfügbar sind, ist das `VaultType` Feld nicht in der API-Antwort enthalten.

## Grundlegendes zu Verschlüsselungsschlüsseltypen für Tresore mit logischem Air-Gap
<a name="lag-encryption-key-types"></a>

Tresore mit logischem Air-Gap unterstützen verschiedene Verschlüsselungsschlüsseltypen, und diese Informationen sind sowohl über die Konsole als auch über die Konsole sichtbar. AWS Backup APIs Wenn Tresore über MPA gemeinsam genutzt werden, bleiben die Informationen zum Typ des Verschlüsselungsschlüssels erhalten und sind für Konten sichtbar, mit denen der AWS RAM Tresor gemeinsam genutzt wird. Diese Transparenz hilft Ihnen, die Verschlüsselungskonfiguration von Tresoren zu verstehen und fundierte Entscheidungen über Sicherungs- und Wiederherstellungsvorgänge zu treffen.

### Werte des Typs des Verschlüsselungsschlüssels
<a name="encryption-key-type-values"></a>

Das `EncryptionKeyType` Feld kann die folgenden Werte haben:
+ `AWS_OWNED_KMS_KEY`- Der Tresor ist mit einem AWS eigenen Schlüssel verschlüsselt. Dies ist die Standardverschlüsselungsmethode für Tresore mit logischem Air-Gap, wenn kein vom Kunden verwalteter Schlüssel angegeben ist.
+ `CUSTOMER_MANAGED_KMS_KEY`- Der Tresor ist mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt, den Sie kontrollieren. Diese Option bietet zusätzliche Kontrolle über Verschlüsselungsschlüssel und Zugriffsrichtlinien.

**Anmerkung**  
AWS Backup empfiehlt die Verwendung von AWS eigenen Schlüsseln mit Tresoren mit logischem Air-Gap.
Wenn Ihre Unternehmensrichtlinie die Verwendung eines vom Kunden verwalteten Schlüssels vorschreibt, empfiehlt es AWS sich nicht, Schlüssel aus demselben Konto zu verwenden, außer zu Testzwecken. Verwenden Sie für Produktionsworkloads als bewährte Methode einen vom Kunden verwalteten Schlüssel von einem anderen Konto in einer sekundären Organisation, die sich der Wiederherstellung widmet. Im Blog [Encrypt AWS Backup Logically Air-Gapped Vaults with Customer-managed Keys](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) finden Sie weitere Informationen zur Einrichtung von CMK-basierten Logic Air-Gapped Tresoren.
 Sie können bei der Tresorerstellung nur einen KMS-Verschlüsselungsschlüssel auswählen. AWS Nach der Erstellung werden alle im Tresor enthaltenen Backups mit diesem Schlüssel verschlüsselt. Sie können Ihre Tresore nicht ändern oder migrieren, sodass sie einen anderen Verschlüsselungsschlüssel verwenden.

### Wichtige Richtlinie für die Erstellung von mit CMK verschlüsselten Tresoren mit logischem Air-Gap
<a name="key-policy-lag-vault-creation"></a>

Wenn Sie einen Tresor mit logischem Air-Gapped mit einem vom AWS Kunden verwalteten Schlüssel erstellen, müssen Sie die Richtlinie „-managed“ auf Ihre Kontorolle anwenden. `AWSBackupFullAccess` Diese Richtlinie umfasst `Allow` Aktionen, die es ermöglichen AWS Backup , bei Sicherungs-, Kopier AWS KMS - und Speichervorgängen auf KMS-Schlüsseln zu interagieren oder Zuweisungen zu erstellen. Darüber hinaus müssen Sie sicherstellen, dass Ihre Richtlinie für vom Kunden verwaltete Schlüssel (falls verwendet) bestimmte erforderliche Berechtigungen enthält.
+ Das CMK muss mit dem Konto geteilt werden, auf dem sich der Tresor mit logischem Air-Gap befindet

```
{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}
```

**Wichtige Richtlinie für Kopieren/Wiederherstellen**

Um Auftragsausfälle zu vermeiden, überprüfen Sie Ihre AWS KMS wichtige Richtlinie, um sicherzustellen, dass sie alle erforderlichen Berechtigungen enthält und keine Ablehnungsaussagen enthält, die Vorgänge blockieren könnten. Es gelten die folgenden Bedingungen:
+ Für alle Kopierszenarien CMKs muss die Rolle mit der Quellkopierrolle gemeinsam genutzt werden

```
{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}
```
+ Beim Kopieren von einem CMK-verschlüsselten Tresor mit logischem Air-Gap in einen Backup-Tresor muss der CMK auch für das Zielkonto SLR freigegeben werden

```
{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```
+ Beim Kopieren oder Wiederherstellen von einem Wiederherstellungskonto mithilfe eines gemeinsam genutzten Tresors mit logischem Air-Gap RAM/MPA 

```
{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```

**IAM Role** (IAM-Rolle)

Bei Kopiervorgängen im Tresor mit logischem Air-Gapped können Kunden die Richtlinie verwenden, die auch die `AWSBackupDefaultServiceRole` verwaltete Richtlinie beinhaltet. AWS`AWSBackupServiceRolePolicyForBackup` Wenn Kunden es jedoch vorziehen, einen Richtlinienansatz mit den geringsten Rechten zu implementieren, muss ihre IAM-Richtlinie eine bestimmte Anforderung beinhalten:
+ Die Kopierrolle des Quellkontos muss über Zugriffsberechtigungen sowohl für die Quelle als auch für das Ziel verfügen. CMKs

```
{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}
```

Aus diesem Grund tritt einer der häufigsten Kundenfehler beim Kopieren auf, wenn Kunden nicht genügend Berechtigungen für ihre Rollen CMKs und für die Kopierrolle bereitstellen.

### Verschlüsselungsschlüsseltypen anzeigen
<a name="viewing-encryption-key-types"></a>

Sie können Informationen zum Typ des Verschlüsselungsschlüssels sowohl über die AWS Backup Konsole als auch programmgesteuert mithilfe von oder anzeigen. AWS CLI SDKs

**Konsole:** Bei der Anzeige von Tresoren mit logischem Air-Gap in der AWS Backup Konsole wird der Typ des Verschlüsselungsschlüssels auf der Seite mit den Tresordetails im Bereich Sicherheitsinformationen angezeigt.

**AWS CLI/API:** Der Typ des Verschlüsselungsschlüssels wird als Antwort auf die folgenden Operationen zurückgegeben, wenn Tresore mit logischem Air-Gap abgefragt werden:
+ `list-backup-vaults`(auch für gemeinsam genutzte Tresore) `--by-shared`
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`

### Überlegungen zur Tresorverschlüsselung
<a name="encryption-key-type-considerations"></a>

Beachten Sie bei der Arbeit mit Tresoren und Verschlüsselungsschlüsseltypen mit logischem Air-Gap Folgendes:
+ **Schlüsselauswahl bei der Erstellung:** Sie können optional einen vom Kunden verwalteten KMS-Schlüssel angeben, wenn Sie einen Tresor mit logischem Air-Gapped erstellen. Falls nicht angegeben, wird ein AWS eigener Schlüssel verwendet.
+ **Sichtbarkeit gemeinsam genutzter Tresore:** Konten, mit denen ein Tresor gemeinsam genutzt wird, können den Typ des Verschlüsselungsschlüssels sehen, die Verschlüsselungskonfiguration jedoch nicht ändern.
+ **Informationen zum Wiederherstellungspunkt:** Der Typ des Verschlüsselungsschlüssels ist auch verfügbar, wenn Sie Wiederherstellungspunkte in Tresoren mit logischem Air-Gap anzeigen.
+ **Wiederherstellungsvorgänge:** Wenn Sie den Typ des Verschlüsselungsschlüssels kennen, können Sie Wiederherstellungsvorgänge besser planen und mögliche Zugriffsanforderungen besser verstehen.
+ **Konformität:** Die Informationen zum Typ des Verschlüsselungsschlüssels unterstützen die Anforderungen an Compliance-Berichte und Audits, indem sie Transparenz über die Verschlüsselungsmethoden bieten, die für Backup-Daten verwendet werden.

## Verwendung eines Schlüssels, der dem Dienst gehört
<a name="lag-service-owned-key"></a>

AWS Backup erstellt und verwaltet Verschlüsselungsschlüssel, die zur Verschlüsselung aller Backup-Daten verwendet werden, die in Tresoren mit logischem Air-Gap gespeichert sind, um den Verlust des Zugriffs auf den Verschlüsselungsschlüssel bei einem Datenverlust zu schützen und zu verhindern.
+ Diese Schlüssel sind kostenlos und werden nicht auf die Kontingente für Ihr Konto angerechnet. AWS KMS 
+ Ein einziger Schlüssel wird nur für einen bestimmten Tresor verwendet und nicht für andere Konten oder Zwecke verwendet.
+ Diese Schlüssel werden gelöscht, sobald der zugewiesene (leere) Tresor ebenfalls gelöscht wurde.
+ Diese Schlüssel werden unter Verwendung der [SYMMETRIC\$1DEFAULT-Schlüsselspezifikation](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks) erstellt.
+ Die Standard-Rotationsrichtlinie ist 90 Tage. Sie können über ein Support-Ticket die Rotation (einmal alle 6 Monate) der diensteigenen Verschlüsselungsschlüssel für Ihre Tresore mit logischem Air-Gap beantragen.

[Weitere Informationen finden Sie in der Dokumentation AWS KMS .](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)

## Überlegungen zur automatischen Sicherheitsbehebung
<a name="lag-security-auto-remediation"></a>

Wenn ein EC2 (AMI) -Backup in einen Tresor mit logischem Air-Gap AWS Backup kopiert wird, gewährt es vorübergehend `launchPermission` (auf dem AMI) und `createVolumePermission` (auf zugehörigen EBS-Snapshots) einem diensteigenen Konto Zugriff. Diese Berechtigungen werden nach Abschluss des Kopiervorgangs automatisch aufgehoben.

Bei diesen Vorgängen werden `ModifySnapshotAttribute` Ereignisse in Ihren AWS CloudTrail Protokollen generiert`ModifyImageAttribute`, wobei die `userIdentity.invokedBy` Einstellung auf `backup.amazonaws.com` gesetzt ist.

Wenn Sie über eine automatische Sicherheitsabwehrlogik verfügen (z. B. Amazon EventBridge Rules with AWS Lambda), die diese Ereignisse überwacht und die kontoübergreifende gemeinsame Nutzung widerruft, müssen Sie Ereignisse ausschließen, sofern dies der Fall ist. `userIdentity.invokedBy` `backup.amazonaws.com` Andernfalls schlägt das Kopieren von Aufträgen in Tresore mit logischem Air-Gap fehl und wird mit folgender Meldung angezeigt: „Sie haben keine Berechtigung, auf den Speicher dieses AMIs zuzugreifen.“

Dieser Ausschluss ist sicher, da die Kopie durch Ihre Tresorzugriffsrichtlinien (im Quell-Tresor und `backup:CopyFromBackupVault` im Ziel-Tresor) autorisiert wird, die überprüft werden, bevor Änderungen `backup:CopyIntoBackupVault` an den EC2-Attributen vorgenommen werden. Die temporären Berechtigungen werden nur einem festen Konto gewährt, das dem AWS Dienst gehört, und werden nach Abschluss des Kopiervorgangs automatisch widerrufen.

Beispiel für ein EventBridge Regelereignismuster, das Operationen ausschließt AWS Backup :

```
{
  "source": ["aws.ec2"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["ec2.amazonaws.com"],
    "eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
    "userIdentity": {
      "invokedBy": [{"anything-but": "backup.amazonaws.com"}]
    }
  }
}
```

## Beheben Sie ein Problem mit einem Tresor mit logischem Air-Gap
<a name="lag-troubleshoot"></a>

Wenn Sie während Ihres Workflows auf Fehler stoßen, sehen Sie sich die folgenden Beispielfehler und Lösungsvorschläge an:

### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
<a name="w2aac15c13c31b5"></a>

**Fehler:** `Copy job fails with "You do not have permission to access the storage of this ami."`

**Mögliche Ursache:** Während eines EC2-AMI-Kopierauftrags in einen Tresor mit logischem Air-Gap werden AWS Backup vorübergehend Startberechtigungen (AMI) und Erstellungsberechtigungen (EBS-Snapshot) für ein Konto erteilt, das dem Dienst gehört, und Ereignisse in Ihren Protokollen generiert`ModifyImageAttribute`. `ModifySnapshotAttribute` AWS CloudTrail Wenn Sie über eine Logik zur automatischen Sicherheitsbehebung verfügen (z. B. EventBridge Regeln mit Lambda), die diese Ereignisse überwacht und Kontoübergreifende Freigabeberechtigungen automatisch widerruft, kann sie den temporären Zugriff entfernen, bevor der Kopiervorgang abgeschlossen ist.

**Anmerkung**  
Dies kann in ähnlicher Weise bei Kopieraufträgen für andere Ressourcen wie Amazon der Fall sein FSx.

**Lösung:** Aktualisieren Sie Ihr EventBridge Regelereignismuster, um Vorgänge auszuschließen, die von ausgeführt wurden AWS Backup. Schließen Sie insbesondere Ereignisse aus, bei denen sichergestellt werden `userIdentity.invokedBy` `backup.amazonaws.com` soll, dass Ihre automatische Korrekturlogik die temporären kontoübergreifenden Berechtigungen, die während des Kopiervorgangs AWS Backup gewährt wurden, nicht widerruft.

### `AccessDeniedException`
<a name="w2aac15c13c31b7"></a>

**Fehler:** `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`

**Mögliche Ursache:** Der Parameter `--backup-vault-account-id` war nicht enthalten, als eine der folgenden Anfragen in einem vom RAM gemeinsam genutzten Tresor ausgeführt wurde:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`

**Lösung: Wiederholen** Sie den Befehl, der den Fehler zurückgegeben hat, geben Sie jedoch den Parameter an, der `--backup-vault-account-id` das Konto angibt, dem der Tresor gehört.

### `OperationNotPermittedException`
<a name="w2aac15c13c31b9"></a>

**Fehler:** `OperationNotPermittedException` wird nach einem `CreateResourceShare` Anruf zurückgegeben.

**Mögliche Ursache:** Wenn Sie versuchen, eine Ressource, z. B. einen Tresor mit logischem Air-Gap, mit einer anderen Organisation gemeinsam zu nutzen, tritt möglicherweise diese Ausnahme auf. Ein Tresor kann mit einem Konto in einer anderen Organisation geteilt werden, aber er kann nicht mit der anderen Organisation selbst geteilt werden.

**Lösung:** Versuchen Sie den Vorgang erneut, geben Sie jedoch ein Konto als Wert für `principals` anstelle einer Organisation oder Organisationseinheit an.

### Der Typ des Verschlüsselungsschlüssels wird nicht angezeigt
<a name="w2aac15c13c31c11"></a>

**Problem:** Der Typ des Verschlüsselungsschlüssels ist nicht sichtbar, wenn ein Tresor mit logischem Air-Gap oder dessen Wiederherstellungspunkten angezeigt wird.

**Mögliche Ursachen:**
+ Sie sehen einen älteren Tresor, der erstellt wurde, bevor die Unterstützung für Verschlüsselungsschlüsseltypen hinzugefügt wurde
+ Sie verwenden eine ältere Version des AWS CLI oder SDK
+ Die API-Antwort enthält nicht das Feld für den Typ des Verschlüsselungsschlüssels

**Auflösung**
+ Aktualisieren Sie Ihre AWS CLI auf die neueste Version
+ Bei älteren Tresoren wird der Typ des Verschlüsselungsschlüssels automatisch ausgefüllt und sollte in nachfolgenden API-Aufrufen erscheinen
+ Stellen Sie sicher, dass Sie die richtigen API-Operationen verwenden, die Informationen zum Typ des Verschlüsselungsschlüssels zurückgeben
+ Stellen Sie bei gemeinsam genutzten Tresoren sicher, dass der Tresor ordnungsgemäß gemeinsam genutzt wird über AWS Resource Access Manager

### AccessDeniedException In CloudTrail den Protokollen steht „FEHLGESCHLAGEN“ VaultState
<a name="w2aac15c13c31c13"></a>

**Fehler in CloudTrail:** `"User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`

**Mögliche Ursachen:**
+ Der Tresor wurde mit einem vom Kunden verwalteten Schlüssel erstellt, aber die übernommene Rolle verfügt nicht über die erforderlichen CreateGrant Berechtigungen für die Schlüsselrichtlinie, um den Schlüssel für die Tresorerstellung zu verwenden

**Auflösung**
+ Erteilen Sie die im [Wichtige Richtlinie für die Erstellung von mit CMK verschlüsselten Tresoren mit logischem Air-Gap](#key-policy-lag-vault-creation) Abschnitt angegebenen Berechtigungen und versuchen Sie dann erneut, den Workflow zur Tresorerstellung auszuführen.

# Primäre Backups zu logischen Air-Gapped Vaults
<a name="lag-vault-primary-backup"></a>

## -Übersicht
<a name="lag-primary-backup-overview"></a>

Die primäre Backup-Funktion mit logischem Air-Gapped bietet Ihnen die Möglichkeit, einen Tresor mit logischem Air-Gapped als primäres Backup-Ziel innerhalb desselben Kontos anzugeben, und zwar sowohl für geplante als auch für On-Demand-Backup-Jobs. Dadurch entfällt die Notwendigkeit, separate Kopien sowohl in einem Standard-Backup-Tresor als auch in einem Tresor mit logischem Air-Gap zu verwalten, was die Kosten senkt und Arbeitsabläufe vereinfacht, während gleichzeitig die Sicherheitsvorteile des logischen Air-Gappings erhalten bleiben.

In Backup-Plänen, unternehmensweiten Richtlinien oder On-Demand-Backups können Sie einen Tresor mit logischem Air-Gapped als primäres Ziel festlegen. Bisher mussten Sie zur Sicherung in einem Tresor mit logischem Air-Gap zunächst ein Backup in einem Backup-Tresor erstellen und es dann in einen Tresor mit logischem Air-Gap kopieren. Mit dieser Funktion AWS Backup können Sie je nach Ressourcentyp Backups direkt in Ihrem Tresor mit logischem Air-Gap erstellen oder temporäre Backups automatisch verwalten, die in Ihren Tresor mit logischem Air-Gapped kopiert und dann gelöscht werden.

Das Verhalten hängt von zwei Faktoren ab:
+ Ob der Ressourcentyp von einem Tresor mit logischem Air-Gap unterstützt wird.
+ [Ob der Ressourcentyp die vollständige Verwaltung unterstützt. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management)

**Warnung**  
Wenn Sie diese Funktion nutzen, empfehlen wir Ihnen, Ihre Tresore mit logischem Air-Gapped mit [Multi-Party Approval](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA) zu integrieren. Dadurch können Backups im Tresor auch dann wiederhergestellt werden, wenn auf das Konto, dem der Tresor gehört, nicht zugegriffen werden kann.

Für diese Funktion gibt es keine neuen Preise. Ihnen werden nur Backups in Tresoren mit logischem Air-Gap und temporäre Snapshots (während der Aufbewahrungszeit im System) für entsprechende Ressourcen zu den jeweils geltenden Tarifen in Rechnung gestellt. Weitere Informationen finden Sie unter [AWS Backup Preise](https://aws.amazon.com/backup/pricing/).

**Topics**
+ [-Übersicht](#lag-primary-backup-overview)
+ [Funktionsweise](#lag-primary-backup-how-it-works)
+ [Kostenüberlegungen](#lag-primary-backup-cost)
+ [Konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped](#lag-primary-backup-configure)
+ [Überwachen Sie das primäre Vault-Backup mit logischem Air-Gap](#lag-primary-backup-monitor)
+ [Onboarding und Migration](#lag-primary-backup-onboarding)
+ [Fehlerbehebung](#lag-primary-backup-troubleshooting)

## Funktionsweise
<a name="lag-primary-backup-how-it-works"></a>

Sie können diese Funktion nutzen, indem Sie Ihren bestehenden Backup-Plan aktualisieren oder einen neuen erstellen und einen Vault-ARN (Feldname:`TargetLogicallyAirGappedBackupVaultArn`) mit logischem Air-Gapped als primäres Backup-Ziel hinzufügen. Sie können diesen Vorgang entweder über die AWS Backup Konsole oder über AWS Backup CLI-Befehle ausführen.

```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```

Wenn Sie sowohl einen Backup-Tresor als auch einen Tresor mit logischem Air-Gap als Ziele für Ihre Backup-Jobs angeben, AWS Backup bestimmt der entsprechende Workflow auf der Grundlage des Ressourcentyps und der Verschlüsselungskonfiguration.

![\[alt text not found\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)


**Unterstützte Ressourcen für primäres Backup in Tresoren mit logischem Air-Gap**  
[Die vollständige Liste der unterstützten Ressourcen für Tresore mit logischem Air-Gap finden Sie unter Verfügbarkeit der Funktionen. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources) Alle Ressourcen, die Tresore mit logischem Air-Gap unterstützen, folgen dem Prinzip, dass bei Verwendung dieser Funktion nur eine Kopie Ihres Backups gespeichert wird, anstatt zwei separate Kopien zu speichern.

**Warnung**  
Für Ressourcen, die derzeit nicht für diese Funktion unterstützt werden, wird ihre Unterstützung möglicherweise in future aktiviert. In diesem Fall beginnt Ihre neu unterstützte Ressource automatisch mit der Sicherung im Tresor mit logischem Air-Gap. Dabei wird der oben dargestellte Arbeitsablauf verwendet.

**Überlegungen und Einschränkungen:**  

+ **Nur dasselbe Konto und dieselbe Region** — Ihr logischer Air-Gap-Tresor muss sich in demselben AWS Konto und derselben Region wie Ihre Ressourcen befinden, um diese Funktion nutzen zu können. Sie können Backups nicht direkt konto- oder regionsübergreifend erstellen. Wir empfehlen, Backups in einem Tresor mit logischem Air-Gap in derselben Region zu speichern, um eine schnellere Wiederherstellung zu ermöglichen, ohne dass eine Kopie erforderlich ist. Wenn Sie eine Kopie Ihrer Daten in einer zweiten Region für Disaster Recovery (DR) benötigen, empfehlen wir entweder eine regionsübergreifende Replikation Ihrer primären Ressourcen für ein schnelles Failover oder regionsübergreifende Wiederherstellungspunktkopien in einen gesperrten Backup-Tresor.
+ **Einschränkungen bei der Verwendung AWS verwalteter Schlüssel** — Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen und mit AWS verwalteten Schlüsseln verschlüsselt sind (z. B.`aws/rds`)`aws/ebs`, können nicht in Tresore mit logischem Air-Gap kopiert werden. Diese Ressourcen müssen mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt oder unverschlüsselt sein. Für Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, **gilt diese Einschränkung nicht**.
+ **Sicherungshäufigkeit und gleichzeitige Kopien** — Stellen Sie bei Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen, sicher, dass Ihre Sicherungshäufigkeit ausreichend Zeit für die Fertigstellung der Kopien bietet. Wenn Backups häufiger geplant werden, als Kopien abgeschlossen werden können, werden Kopieraufträge in eine Warteschlange gestellt und können irgendwann fehlschlagen. Hinweise zu den Beschränkungen für gleichzeitige Kopien finden Sie [unter Kontingente](aws-backup-limits.md#lag-vault-quotas-table).
+ **Lebenszykluskompatibilität** — Der in Ihrem Backup-Plan angegebene Aufbewahrungszeitraum muss mit den Mindest- und Höchstaufbewahrungszeiträumen kompatibel sein, die für Ihren Logic Air-Gapped Vault konfiguriert sind.
+ **Gesperrte Backup-Tresore** — Wenn in Ihrem Ziel-Backup-Tresor eine Tresorsperre aktiviert ist, können temporäre Wiederherstellungspunkte nicht manuell gelöscht werden. Sie werden aufbewahrt, bis entweder der Kopiervorgang abgeschlossen ist oder die Aufbewahrungsfrist abgelaufen ist.
+ **Testen, Indizieren und Scannen wiederherstellen — Bei Wiederherstellungstests,** bei der Indizierung von Wiederherstellungspunkten und beim Scannen auf Schadsoftware werden temporäre Wiederherstellungspunkte mit einem Lebenszyklus ignoriert. `DELETE_AFTER_COPY` Die Indizierung von Wiederherstellungspunkten unterstützt keine Wiederherstellungspunkte in einem Tresor mit logischem Air-Gap. Das Scannen auf Schadsoftware unterstützt keine geplanten Scans kopierter Wiederherstellungspunkte. Dazu gehören automatische Kopien, die als Teil primärer Backups in den Tresor mit logischem Air-Gap erstellt wurden.

### Ressourcen zur Unterstützung der vollständigen Verwaltung AWS Backup
<a name="lag-primary-backup-full-management"></a>

Einige Ressourcentypen, wie Amazon EFS, Amazon S3, Amazon DynamoDB mit [AWS Backup erweiterten Funktionen](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html) usw., die die vollständige AWS Backup Verwaltung unterstützen, können direkt in Ihrem Logical Air-Gapped Vault gesichert werden. In Ihrem Backup-Tresor wird kein Wiederherstellungspunkt erstellt, und es ist kein Kopiervorgang erforderlich. Für alle geplanten Kopieraktionen in Ihrem Backup-Plan wird der Recovery Point in Ihrem Tresor mit logischem Air-Gap als Quelle verwendet.

Ressourcen, die kontinuierliche Backups unterstützen, wie Amazon S3, können auch kontinuierliche Backups direkt in einem Tresor mit logischem Air-Gap durchführen.

Eine Liste der Ressourcentypen, die vollständige AWS Backup Verwaltung und Tresore mit logischem Air-Gap unterstützen, finden Sie unter [Verfügbarkeit von Funktionen nach Ressourcen](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) in den Spalten „Vollständige Verwaltung“ und „Tresore mit logischem Air-Gap“.

### AWS Backup Ressource unterstützt keine vollständige Verwaltung
<a name="lag-primary-backup-not-full-management"></a>

Ressourcen wie Amazon EBS/EC2, Amazon Aurora und Amazon FSx können keine direkten Backups in Tresoren mit logischem Air-Gap erstellen. AWS Backup Erstellt für diese Ressourcentypen einen temporären Erholungspunkt in Ihrem Backup-Tresor und kopiert ihn dann automatisch in Ihren Tresor mit logischem Air-Gap.

Für den temporären Erholungspunkt gibt es eine spezielle Lebenszykluseinstellung namens. `DELETE_AFTER_COPY` Sobald der Kopiervorgang in Ihren Tresor mit logischem Air-Gap erfolgreich abgeschlossen wurde, AWS Backup wird der temporäre Erholungspunkt automatisch gelöscht. Alle anderen geplanten Kopieraktionen in Ihrem Backup-Plan beginnen parallel mit der Kopie in Ihren Tresor mit logischem Air-Gap und wirken sich nicht auf Ihr derzeitiges Kopiererlebnis aus.

Wenn die Kopie in Ihren Tresor mit logischem Air-Gap fehlschlägt, wird der temporäre Wiederherstellungspunkt gemäß dem von Ihnen angegebenen Aufbewahrungszeitraum in Ihrem Backup-Tresor aufbewahrt. Auf diese Weise können Sie sicherstellen, dass Sie nach Abschluss eines Backup-Jobs immer über einen verwendbaren Erholungspunkt verfügen. Wenn der Recovery Point später manuell in den Tresor mit logischem Air-Gap kopiert wird, wird er gemäß der Regel automatisch bereinigt. `DELETE_AFTER_COPY`

**Warnung**  
Ressourcen, die mit AWS verwalteten Schlüsseln verschlüsselt wurden (z. B.`aws/ebs`), werden für das Kopieren in Tresore mit logischem Air-Gap nicht unterstützt. Diese Ressourcen müssen mit einem vom AWS Key Management Service Kunden verwalteten Schlüssel verschlüsselt oder unverschlüsselt sein. Für Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, gilt diese Einschränkung nicht.

#### Nach dem Kopierzyklus löschen
<a name="lag-primary-backup-delete-after-copy"></a>

Temporäre Wiederherstellungspunkte verfügen über ein neues Lebenszyklusattribut `DeleteAfterEvent` mit dem Wert`DELETE_AFTER_COPY`. Dieses Attribut gibt an, dass der Recovery Point automatisch gelöscht wird, wenn alle Kopieraufträge abgeschlossen sind oder nach Ablauf der von Ihnen angegebenen Aufbewahrungszeit, je nachdem, was zuerst eintritt.

Ein temporärer Erholungspunkt wird gelöscht, wenn alle der folgenden Bedingungen erfüllt sind:
+ Alle automatischen und geplanten Kopieraufträge wurden abgeschlossen.
+ Es wurde ein Kopierauftrag für Ihren Ziel-Tresor mit logischem Air-Gap abgeschlossen, dessen Aufbewahrungsdauer mindestens so lang ist wie der des Quell-Wiederherstellungspunkts.

Wenn Sie das manuelle Löschen des temporären Wiederherstellungspunkts während laufender Kopien verhindern möchten, sollten Sie einen gesperrten Backup-Tresor als Ziel-Backup-Tresor verwenden.

#### Kontinuierliches Backup für Resource unterstützt keine vollständige AWS Backup Verwaltung
<a name="lag-primary-backup-continuous-backup"></a>

Wenn Sie für Ressourcen wie Amazon Aurora Continuous Backup aktivieren, AWS Backup wird ein kontinuierlicher Wiederherstellungspunkt in Ihrem Backup-Tresor erstellt und ein temporärer Snapshot erstellt, der in Ihren Tresor mit logischem Air-Gap kopiert wird. Der temporäre Snapshot sollte nach Abschluss des Kopiervorgangs automatisch gelöscht werden, unabhängig davon, ob der Kopiervorgang erfolgreich ist oder nicht, da Sie in Ihrem Backup-Tresor einen kontinuierlichen Wiederherstellungspunkt behalten.

Wenn Sie in Ihrem Backup-Tresor keinen Continuous Recovery Point für Amazon Aurora erstellen möchten, sondern einen Continuous Recovery Point für Amazon S3 in Ihrem Tresor mit logischem Air-Gap wünschen, können Sie die Einstellung Continuous Backup (`EnableContinuousBackup`) im aktuellen Plan deaktivieren und S3 Continuous von einem anderen Plan aus aktivieren.

Weitere Informationen zum Aurora-Backup-Speicher finden Sie unter [Grundlegendes zur Nutzung des Amazon Aurora Aurora-Backup-Speichers](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated).

### Nicht unterstützte Ressourcen
<a name="lag-primary-backup-unsupported"></a>

Wenn ein Ressourcentyp von Tresoren mit logischem Air-Gap nicht unterstützt wird oder wenn eine nicht vollständig verwaltete Ressource mit einem AWS verwalteten Schlüssel verschlüsselt ist, wird das Backup nur in Ihrem Backup-Tresor AWS Backup erstellt. Es wird nicht versucht, eine Kopie in Ihren Tresor mit logischem Air-Gap zu kopieren. Der Backup-Job wurde erfolgreich abgeschlossen und es wird eine Meldung angezeigt, die angibt, warum das Backup nicht in Ihren Tresor mit logischem Air-Gap verschoben wurde.

## Kostenüberlegungen
<a name="lag-primary-backup-cost"></a>
+ Für diese Funktion fallen keine neuen Gebühren an. Sie zahlen nur für den Speicher in Ihren Tresoren.
+ Bei Ressourcen, die eine vollständige AWS Backup Verwaltung unterstützen, kann die ausschließliche Aufbewahrung von Backups in Ihrem Tresor mit logischem Air-Gap zu erheblichen Kosteneinsparungen im Vergleich zur Aufbewahrung von zwei Sicherungskopien sowohl in einem Backup-Tresor als auch in einem Tresor mit logischem Air-Gapped führen.
+ Bei Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen, werden Ihnen sowohl der temporäre Wiederherstellungspunkt in Ihrem Backup-Tresor als auch die Wiederherstellungspunkte in Ihrem Tresor mit logischem Air-Gap in Rechnung gestellt.
  + Sie können immer noch erhebliche Kosteneinsparungen erzielen, wenn Sie nur eine einzige Sicherungskopie aufbewahren. Diese Einsparungen können jedoch je nach Backup-Häufigkeit und Änderungsrate variieren.
  + Niedrigere Backup-Frequenzen führen in der Regel zu größeren Einsparungen, da temporäre Wiederherstellungspunkte Speicherplatz für einen kürzeren Prozentsatz Ihres Abrechnungszeitraums belegen.
  + Einige Ressourcen haben eine Mindestabrechnungsdauer, wodurch die Kosten für temporäre Wiederherstellungspunkte steigen.
+ Deaktivieren Sie das Abrufen von Tags oder ACLs Metadaten in Ihrer Backup-Konfiguration, wenn Sie diese S3-Funktionen nicht verwenden. Dadurch werden API-Aufrufe und die damit verbundenen Gebühren für Metadatenprüfungen während Kopiervorgängen reduziert.

## Konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped
<a name="lag-primary-backup-configure"></a>

Sie können das primäre Vault-Backup mit logischem Air-Gapped über die AWS Backup Konsole, die, oder die Backup-Richtlinien konfigurieren. AWS CLI AWS CloudFormation AWS Organizations 

### Einen Backup-Plan konfigurieren
<a name="lag-primary-backup-configure-plan"></a>

------
#### [ Console ]

**So konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped für einen Backup-Plan**

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com//backup)

1. Wählen Sie im Navigationsbereich **Backup-Pläne** und dann **Backup-Plan erstellen** aus oder wählen Sie einen vorhandenen Backup-Plan zur Bearbeitung aus.

1. Geben Sie im Abschnitt **Konfiguration der Backup-Regel** Ihre Backup-Regeleinstellungen an.

1. Wählen Sie für **Backup-Tresor** den Backup-Tresor aus, in dem temporäre Wiederherstellungspunkte gespeichert werden (für nicht vollständig verwaltete Ressourcen) oder in dem Backups gespeichert werden, wenn sie nicht in Ihrem Tresor mit logischem Air-Gap platziert werden können.

1. Wählen Sie für Tresor mit **logischem Air-Gap (optional) den Tresor** mit logischem Air-Gap aus, in dem Ihre Backups gespeichert werden sollen.
**Anmerkung**  
Der Tresor mit logischem Air-Gap muss sich in demselben Konto und derselben Region wie Ihr Backup-Tresor befinden.

1. Konfigurieren Sie die übrigen Einstellungen für die Backup-Regel, einschließlich Lebenszyklus- und Kopieroptionen.

1. Wählen Sie **Plan erstellen** oder **Änderungen speichern**.

------
#### [ AWS CLI ]

Verwenden Sie den CLI-Befehl, [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)um einen neuen Plan [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)zu erstellen oder einen vorhandenen Plan zu aktualisieren und den `TargetLogicallyAirGappedBackupVaultArn` Parameter in Ihre Backup-Regel aufzunehmen.

Beispiel für einen CLI-Befehl zum Erstellen eines Backup-Plans mithilfe eines JSON-Dokuments:

```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```

Beispiel für einen CLI-Befehl zum Erstellen eines Backup-Plans direkt in CLI:

```
aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'
```

------

### Konfigurieren Sie das Backup auf Abruf
<a name="lag-primary-backup-configure-ondemand"></a>

------
#### [ Console ]

**So konfigurieren Sie das primäre Vault-Backup mit logischem Air-Gapped für ein On-Demand-Backup**

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com//backup)

1. Wählen Sie im Navigationsbereich **Geschützte Ressourcen** aus.

1. Wählen Sie auf der Seite **Geschützte Ressourcen** die Option **On-Demand-Backup erstellen** aus.

1. Wählen Sie den Ressourcentyp und den Ressourcen-ARN aus, die Sie sichern möchten.

1. Wählen Sie für **Backup-Tresor** den Backup-Tresor aus.

1. Wählen Sie für **Logically Air-Gapped Tresor (optional)** den Tresor mit logischem Air-Gapped aus, in dem das Backup gespeichert werden soll.

1. **Konfigurieren Sie die übrigen Einstellungen und wählen Sie Backup auf Abruf erstellen.**

------
#### [ AWS CLI ]

Verwenden Sie den start-backup-job Befehl mit dem neuen `--logically-air-gapped-backup-vault-arn` Parameter:

```
aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35
```

------

## Überwachen Sie das primäre Vault-Backup mit logischem Air-Gap
<a name="lag-primary-backup-monitor"></a>

Sie können den Status Ihrer Backups und Kopieraufträge über die AWS Backup Konsole oder über Amazon EventBridge Events überwachen. AWS CLI

### Auf Backup-Jobs achten
<a name="lag-primary-backup-monitor-backup-jobs"></a>

Überwachen Sie den Status der Backup-Jobs ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)), um sicherzustellen, dass Ihre Ressourcen geschützt bleiben. Ein fehlgeschlagener Backup-Job weist darauf hin, dass kein Erholungspunkt erstellt wurde.
+ **Überprüfen Sie den Speicherort für die Erstellung des Wiederherstellungspunkts** — Wenn ein Backup-Job erfolgreich abgeschlossen wurde, haben Sie entweder in Ihrem Ziel-Backup-Tresor oder in Ihrem Ziel-Tresor mit logischem Air-Gap einen Wiederherstellungspunkt. Überprüfen Sie das `BackupVaultArn` Feld, um festzustellen, wo der Recovery Point erstellt wurde.
+ **Auftragsstatus überprüfen** — Wenn eine Ressource nicht von Tresoren mit logischem Air-Gap unterstützt wird, wird der Backup-Job mit der Meldung „Von“ `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED` und einer Statusmeldung abgeschlossen, in `MessageCategory` der erklärt wird, warum das Backup stattdessen in Ihrem Backup-Tresor erstellt wurde.
+ **Überprüfen Sie den Typ des temporären Wiederherstellungspunkts** — Suchen Sie nach dem `RecoveryPointLifecycle.DeleteAfterEvent` Feld mit dem Wert von, um zu überprüfen, ob es sich um einen temporären Wiederherstellungspunkt handelt. `DELETE_AFTER_COPY`

### Überwachen Sie die Anzahl der Kopieraufträge
<a name="lag-primary-backup-monitor-copy-jobs"></a>

Überwachen Sie Kopieraufträge ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) in Ihren Tresor mit logischem Air-Gap auf Fehler. Ein fehlgeschlagener Kopierauftrag bedeutet, dass Ihr Recovery Point in Ihrem Standard-Backup-Tresor verbleibt, ohne dass ein logischer Air-Gap-Schutz erforderlich ist.
+ Status des **Kopierauftrags überprüfen — Sie können den Status** des Kopierauftrags anhand des vorhandenen Ereignisses überwachen. `Copy Job State Change` EventBridge Filtern Sie optional nach dem Zieldepot (`destinationBackupVaultArn`), um den Fokus auf Tresorkopien mit logischem Air-Gap zu legen.
+ **Kopien für einen Quellwiederherstellungspunkt verifizieren** — Verwenden Sie die [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)API mit dem neuen `BySourceRecoveryPointArn` Filter, um alle Kopieraufträge zu finden, die mit einem bestimmten Wiederherstellungspunkt verknüpft sind, einschließlich automatischer Kopien in Ihren Tresor mit logischem Air-Gap und geplanten Kopien an andere Ziele.
+ **Überprüfen Sie das Löschen des temporären Wiederherstellungspunkts** — Verfolgen Sie den Abschluss des Löschvorgangs des temporären Wiederherstellungspunkts. Wenn der Status des `RUNNING` Kopierauftrags lautet, wurde der Wiederherstellungspunkt noch nicht gelöscht. Wenn die Kopie in Ihrem Tresor mit logischem Air-Gap gespeichert wurde`FAILED`, wird der Recovery Point für den von Ihnen angegebenen Aufbewahrungszeitraum aufbewahrt.

**Anmerkung**  
Die Aufzeichnungen von Kopieraufträgen laufen ab und werden 30 Tage nach Abschluss gelöscht. Nach Ablauf dieses Zeitraums können Sie `ListCopyJobs` den Status historischer Kopien nicht mehr ermitteln.

### Überwachen Sie den Erholungspunkt
<a name="lag-primary-backup-monitor-recovery-points"></a>

Suchen Sie nach `EXPIRED` Wiederherstellungspunkten ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)), was darauf hindeutet, dass sie nicht gelöscht werden AWS Backup konnten (möglicherweise aufgrund fehlender Berechtigungen). `EXPIRED`Wiederherstellungspunkte können sich auf Kosten auswirken.
+ **Überprüfen Sie den Status des Wiederherstellungspunkts** — Verwenden Sie das bestehende EventBridge Ereignis zur Änderung des Wiederherstellungspunkts, um die Ablaufzeiten zu überwachen.
+ **Überprüfen Sie das Löschen des temporären Wiederherstellungspunkts** — Falls ein Recovery Point, der noch nicht gelöscht wurde, ermitteln Sie mithilfe der `ListCopyJobs` API den Grund, wie oben beschrieben. `DeleteAfterEvent: DELETE_AFTER_COPY`

## Onboarding und Migration
<a name="lag-primary-backup-onboarding"></a>

Wenn Sie derzeit Kopieraktionen verwenden, um Backups in einen Tresor mit logischem Air-Gap zu kopieren, können Sie zur Kostensenkung auf ein primäres Backup mit logischem Air-Gapped Tresor migrieren. Sie können auch Ihre bestehenden kontinuierlichen Amazon S3 S3-Backups von einem Backup-Tresor in einen Tresor mit logischem Air-Gap migrieren. In diesem Handbuch werden die Voraussetzungen und Schritte erläutert, die für die Migration zur primären Backup-Funktion des Tresors mit logischem Air-Gapped erforderlich sind.

### Voraussetzungen und bewährte Methoden
<a name="lag-primary-backup-prerequisites"></a>

Bevor Sie die primäre Backup-Funktion von Vault mit logischem Air-Gap effektiv nutzen können, müssen einige Voraussetzungen und empfohlene bewährte Methoden erfüllt sein.

**Voraussetzungen**  


Derzeit unterstützt ein Tresor mit logischem Air-Gapped als primäres Backup-Ziel nur Backups innerhalb desselben AWS Kontos und AWS derselben Region wie Ihre Backup-Ressourcen. Tresor-Backups mit logischem Air-Gap werden grundsätzlich in separaten Dienstkonten gespeichert, wodurch eine kontoübergreifende und organisationsübergreifende Isolierung gewährleistet wird, ohne dass Kopien auf separate Konten erforderlich sind. Wenn Sie regionsübergreifende Backups benötigen, verwenden Sie weiterhin den Tresor mit logischem Air-Gapped als Kopierziel. Stellen Sie vor der Migration zu dieser Funktion sicher, dass Sie die folgenden Anforderungen erfüllen:
+ **Anforderungen an Region und Konto**
  + Ihr Tresor mit logischem Air-Gap muss sich in demselben AWS Konto und derselben Region befinden wie Ihre Ressourcen
+ **Kompatibilität mit Ressourcen**
  + Vergewissern Sie sich unter Verfügbarkeit von [Funktionen](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) nach Ressourcen, dass Ihre Ressourcen durch Tresore mit logischem Air-Gap unterstützt werden.
  + Prüfen Sie, ob Ihre Ressourcen die [vollständige AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) Verwaltung unterstützen oder nicht. Die Erfahrung mit der Erstellung von Air-Gap-Backups unterscheidet sich zwischen diesen beiden Ressourcentypen, auch wenn das Ergebnis für beide ähnlich ist.
+ **Anforderungen an die Verschlüsselung**
  + Ressourcen, die keine vollständige AWS Backup Verwaltung unterstützen, müssen entweder unverschlüsselt oder mit vom Kunden verwalteten Schlüsseln (CMKs) verschlüsselt werden. AWS Mit Managed Key (AMK) verschlüsselte Ressourcen werden von einem Tresor mit logischem Air-Gap nicht unterstützt.

**Bewährte Methoden**  

+ Beginnen Sie mit einer Pilotmigration unkritischer Ressourcen.
+ Überprüfen und passen Sie die Häufigkeit der Backups auf der Grundlage der Leistung von Kopieraufträgen an.
+ Implementieren Sie vor der vollständigen Migration eine umfassende Überwachung.
+ Überprüfen Sie regelmäßig, ob die Wiederherstellungspunkte in den dafür vorgesehenen Tresoren erstellt wurden.

### Planen Sie Ihre Migration
<a name="lag-primary-backup-planning"></a>
+ Überprüfen Sie die bestehenden Backup-Pläne und -Richtlinien.
+ Identifizieren Sie, welche Ressourcen die vollständige AWS Backup Verwaltung unterstützen und welche nicht.
  + Ressourcen, die das vollständige AWS Backup Management unterstützen (z. B. EFS, S3) — können direkt in einen Tresor mit logischem Air-Gap gesichert werden
  + Ressourcen, die kein vollständiges AWS Backup Management unterstützen (z. B. EC2, EBS FSx) — erfordern eine temporäre Sicherung im Backup-Tresor, bevor sie in den Tresor mit logischem Air-Gap kopiert werden können
+ Überprüfen Sie Ihr aktuelles Backup-Volumen und die Häufigkeit Ihrer Backups und stellen Sie sicher, dass Ihre Konfiguration den Limits für gleichzeitige Kopien für alle Ressourcen entspricht, die kein vollständiges Management unterstützen. AWS Backup 
  + Überspringen Sie diesen Schritt, wenn Sie bereits mit derselben Häufigkeit wie Ihre Standard-Tresor-Backups in einen Tresor mit logischem Air-Gap kopieren.
  + Erwägen Sie, die Häufigkeit der Backups bei Bedarf anzupassen, um zu verhindern, dass Kopieraufträge in die Warteschlange gestellt werden.
  + Wenn es zu einer Warteschlange für Kopieraufträge kommt, haben Sie in Ihrem Standard-Backup-Tresor immer noch einen verwendbaren Wiederherstellungspunkt, bis der Kopiervorgang in Ihren Tresor mit logischem Air-Gap abgeschlossen ist. Dieser Recovery Point bietet jedoch nicht das Schutzniveau, das Logically Air-Gapped Tresor bietet.

### Ressourcen, die den Migrationspfad zur vollständigen Verwaltung AWS Backup unterstützen
<a name="lag-primary-backup-full-management-migration"></a>

Bei vollständig verwalteten Ressourcen können Sie Daten direkt in Ihrem Tresor mit logischem Air-Gap sichern, ohne dass Kopiervorgänge erforderlich sind.

#### Für Backups auf Snapshot-Basis
<a name="lag-primary-backup-snapshot-migration"></a>

Dieser Prozess gilt für alle Snapshot-Szenarien, unabhängig davon, ob Ihr Backup-Tresor gesperrt ist. Wenn Sie einen vorhandenen Backup-Plan migrieren oder einen vorhandenen Backup-Tresor (primär) und einen Logic-Air-Gap-Tresor (Kopie) in einem neuen Backup-Plan verwenden:

1. Behalten Sie Ihren vorhandenen Backup-Tresor bei oder fügen Sie ihn als Backup-Ziel hinzu (). `TargetBackupVaultName` Dieser Tresor speichert keine Backups, muss aber aus Gründen der Abwärtskompatibilität bereitgestellt werden.

1. Aktualisieren Sie Ihren Backup-Plan so, dass er den Tresor mit logischem Air-Gap (`TargetLogicallyAirGappedBackupVaultArn`), der sich in demselben Konto befindet, als primäres Ziel enthält.

1. Prüfen Sie alle bestehenden Kopieraktionen in einen anderen Tresor mit logischem Air-Gap, um festzustellen, ob sie noch benötigt werden. Sie können diesen Tresor in Schritt 2 auch als primäres Ziel verschieben, wenn er sich in demselben Konto befindet.

#### Für kontinuierliche Amazon S3 S3-Backups
<a name="lag-primary-backup-s3-continuous-migration"></a>

Logischerweise unterstützt Air-Gapped Vault als primäres Backup-Ziel kontinuierliche Backups für Amazon S3. Sie können jedoch nur einen aktiven kontinuierlichen Wiederherstellungspunkt pro Ressource in einem einzigen Tresor verwalten. Wenn Sie bereits über einen aktiven Amazon S3 Continuous Recovery Point verfügen, müssen Sie ihn trennen oder löschen, bevor Sie einen neuen in einem anderen Tresor erstellen können. Wenn Sie Ihrem Backup-Plan ein Vault-Ziel mit logischem Air-Gap (von demselben Konto) hinzufügen, das über einen aktiven kontinuierlichen Amazon S3 S3-Wiederherstellungspunkt verfügt, schlägt der kontinuierliche Backup-Job fehl.

So migrieren Sie Ihren Amazon S3 S3-Continuous-Recovery-Point von einem **entsperrten** Backup-Tresor zu Ihrem Logic Air-Gap-Speicher:

1. Aktualisieren Sie Ihren Backup-Plan, um Ihrem Tresor mit logischem Air-Gap eine Kopieraktion hinzuzufügen. Dadurch sinken Ihre Kosten für die Erstellung des ersten Backups in Ihrem Tresor mit logischem Air-Gap. Überspringen Sie diesen Schritt, wenn Sie bereits Daten in Ihren lokalen Tresor mit logischem Air-Gap kopieren.

1. Stellen Sie sicher, dass mindestens eine Snapshot-Kopie in Ihrem Tresor mit logischem Air-Gap erfolgreich abgeschlossen wurde, bevor Sie fortfahren.

1. Trennen Sie den bestehenden Amazon S3 Continuous Recovery Point. Rufen Sie die [DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)API auf, um den Status des Wiederherstellungspunkts von VERFÜGBAR auf GESTOPPT zu ändern. Diese Aktion bewahrt Ihre vorhandenen Backup-Daten und verhindert gleichzeitig, dass neue Daten hinzugefügt werden.

1. Aktualisieren Sie den Backup-Plan, um den Tresor mit logischem Air-Gapped (`TargetLogicallyAirGappedBackupVaultArn`) als Backup-Ziel hinzuzufügen.

1. Entfernen Sie alle vorherigen Kopieraktionen aus dem Plan.

1. Bei der nächsten Ausführung des Backup-Plans wird ein neuer kontinuierlicher Wiederherstellungspunkt in Ihrem Tresor mit logischem Air-Gap erstellt. Dieser Wiederherstellungspunkt wird inkrementell sein und auf dem kopierten Snapshot aus Schritt 1 basieren.

So migrieren Sie Ihren Amazon S3 S3-Continuous-Recovery-Point von einem **gesperrten** Backup-Tresor zu Ihrem Logic Air-Gap-Speicher:

1. Aktualisieren Sie Ihren Backup-Plan, um Ihrem Tresor mit logischem Air-Gap eine Kopieraktion hinzuzufügen. Dadurch sinken Ihre Kosten für die Erstellung des ersten Backups in Ihrem Tresor mit logischem Air-Gap. Überspringen Sie diesen Schritt, wenn Sie bereits Daten in Ihren lokalen Tresor mit logischem Air-Gap kopieren.

1. Stellen Sie sicher, dass mindestens eine Snapshot-Kopie in Ihrem Tresor mit logischem Air-Gap erfolgreich abgeschlossen wurde, bevor Sie fortfahren. Stellen Sie sicher, dass der kopierte Snapshot über einen ausreichend langen Aufbewahrungszeitraum verfügt, um verfügbar zu bleiben, bis Sie alle Schritte abgeschlossen haben.

1. Fügen Sie den Tresor mit logischem Air-Gap als primäres Ziel hinzu und entfernen Sie alle Kopieraktionen.

   1. Dieser Schritt ist erforderlich, da gesperrte Tresore die Trennung von kontinuierlichen Wiederherstellungspunkten nicht unterstützen.

   1. Ihr vorhandener Continuous Recovery Point im gesperrten Backup-Tresor sammelt weiterhin Daten an, bis er entsprechend seinem Lebenszyklus abläuft.

   1. Neue kontinuierliche Backup-Jobs schlagen fehl, da pro Ressource nur ein aktiver kontinuierlicher Wiederherstellungspunkt existieren kann. Da diese Jobs fehlschlagen, werden keine Kopieraktionen ausgeführt.

1. Warten Sie, bis der bestehende Continuous Recovery Point abläuft. Nach Ablauf wird im Tresor mit logischem Air-Gap ein neuer Continuous Recovery Point erstellt. Dieser Wiederherstellungspunkt wird auf der Grundlage des kopierten Snapshots aus Schritt 1 inkrementell berechnet, sofern der Snapshot noch in Ihrem Tresor mit logischem Air-Gap vorhanden ist.

1. Alle in Ihrem Standardspeicher gesammelten Daten gehen nach Ablauf verloren. Nur Daten, die nach der Erstellung des neuen Wiederherstellungspunkts im Tresor mit Logical-Air-Gaps gesichert wurden, werden beibehalten.

### Ressourcen, die den Migrationspfad für die vollständige AWS Backup Verwaltung nicht unterstützen
<a name="lag-primary-backup-not-full-management-migration"></a>

Nicht vollständig verwaltete Ressourcen erfordern einen Kopiervorgang in den Tresor mit logischem Air-Gap. Bei diesem Vorgang wird in Ihrem Standard-Backup-Tresor ein temporärer (kostenpflichtiger) Recovery Point erstellt, der automatisch in Ihren Tresor mit logischem Air-Gap kopiert und nach Abschluss des Kopiervorgangs gelöscht wird. Wenn Sie Ihren Backup-Plan so aktualisieren, dass er ein Tresor-Ziel mit logischem Air-Gap enthält, gehen Sie wie folgt vor:
+ Backup-Jobs erstellen einen Wiederherstellungspunkt in Ihrem Backup-Tresor. Dieser Lebenszyklus ist vom `DELETE_AFTER_COPY` Ereignis abhängig.
+ Ein Kopierauftrag leitet automatisch die Übertragung des Wiederherstellungspunkts in Ihren Tresor mit logischem Air-Gap ein.
+ Nachdem der Kopiervorgang erfolgreich abgeschlossen wurde, wird der temporäre Erholungspunkt in Ihrem Tresor gelöscht.
+ Wenn der Kopiervorgang fehlschlägt, wird der temporäre Recovery Point für eine maximale Dauer gemäß der von Ihnen angegebenen Aufbewahrungsdauer aufbewahrt, sodass sichergestellt ist, dass Sie über einen verwendbaren Recovery Point verfügen.

## Fehlerbehebung
<a name="lag-primary-backup-troubleshooting"></a>

### Der Backup- oder Kopierauftrag schlägt mit einem Lebenszyklus-Inkompatibilitätsfehler fehl
<a name="lag-primary-backup-troubleshoot-lifecycle"></a>

**Fehler bei Backup-Jobs:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`

**Fehler bei Kopierjobs:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`

**Mögliche Ursache:** Backup- oder Kopieraufträge schlagen fehl, weil der Aufbewahrungszeitraum nicht mit den Mindest- oder Höchstaufbewahrungseinstellungen des Logic Air-Gapped Tresors vereinbar ist.

**Lösung:** Aktualisieren Sie Ihren Backup-Plan und geben Sie einen Aufbewahrungszeitraum an, der innerhalb der für Ihren Logic Air-Gap-Speicher konfigurierten Mindest- und Höchstaufbewahrungszeiträume liegt.

### Kontinuierliche Backup-Jobs schlagen mit der Meldung „Kontinuierliches Backup ist bereits aktiviert“ fehl
<a name="lag-primary-backup-troubleshoot-continuous"></a>

**Fehler:** `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`

**Mögliche Ursache:** Kontinuierliche Backup-Jobs schlagen fehl, weil es in einem anderen Tresor bereits einen kontinuierlichen Wiederherstellungspunkt für die Ressource gibt.

**Lösung:** Jede Ressource kann nur über einen kontinuierlichen Wiederherstellungspunkt verfügen. Wenn Ihr Backup-Tresor entsperrt ist, trennen Sie den vorhandenen Continuous Recovery Point mit dem [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)folgenden Befehl. Wenn Ihr Backup-Tresor gesperrt ist, warten Sie, bis der bestehende Continuous Recovery Point entsprechend seinem Lebenszyklus abläuft.

### Der Backup-Job wird mit „Mit Problemen abgeschlossen“ abgeschlossen — Ressourcentyp wird nicht unterstützt
<a name="lag-primary-backup-troubleshoot-unsupported-resource"></a>

**Meldung**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`

**Mögliche Ursache:** Backup-Jobs für nicht unterstützte, nicht vollständig verwaltete Ressourcen zeigen „Mit Problemen abgeschlossen“ an und es wird eine Meldung angezeigt, dass die Ressource nicht unterstützt wird.

**Lösung:** Ressourcentypen, die nicht unterstützt werden, werden nur im Backup-Tresor gesichert. Wenn Sie diese Backups in Ihrem Backup-Tresor behalten möchten, sind keine Maßnahmen erforderlich. Wenn Sie es vorziehen, nicht unterstützte Ressourcen mit Ihrem Logic-Air-Gap-Tresor zu kombinieren, haben Sie folgende Möglichkeiten:
+ Entfernen Sie die Ressource oder das Ziel des Tresors mit logischem Air-Gap aus Ihrem Backup-Plan für diese Ressourcen und setzen Sie die Sicherung ausschließlich in Ihrem Backup-Tresor fort. Sie können die Ressource anschließend als Teil eines anderen Plans hinzufügen.

### Der Backup-Job wird mit „Mit Problemen abgeschlossen“ abgeschlossen — Verschlüsselungsschlüssel wird nicht unterstützt
<a name="lag-primary-backup-troubleshoot-encryption-key"></a>

**Meldung**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`

**Mögliche Ursache:** Bei Sicherungsaufträgen für nicht unterstützte, nicht vollständig verwaltete Ressourcen wird die Meldung „Mit Problemen abgeschlossen“ angezeigt. Außerdem wird eine Meldung angezeigt, dass die Ressource mit einem AWS verwalteten Schlüssel verschlüsselt ist.

**Lösung:** Nicht vollständig verwaltete Ressourcen, die mit verwalteten Schlüsseln verschlüsselt wurden, können nicht in Tresore mit AWS logischem Air-Gap kopiert werden. Wenn Sie diese Backups in Ihrem Backup-Tresor behalten möchten, sind keine Maßnahmen erforderlich. Wenn Sie es vorziehen, nicht unterstützte Ressourcen mit Ihrem Logic-Air-Gap-Tresor zu kombinieren, haben Sie folgende Möglichkeiten:
+ Verschlüsseln Sie Ihre Ressourcen erneut mit einem vom Kunden verwalteten KMS-Schlüssel, oder
+ Entfernen Sie die Ressource oder das Vault-Ziel mit logischem Air-Gap aus Ihrem Backup-Plan für diese Ressourcen und setzen Sie die Sicherung ausschließlich in Ihrem Backup-Tresor fort. Sie können die Ressource anschließend als Teil eines anderen Plans hinzufügen.

### Die Wiederherstellungspunkte bleiben im `EXPIRED` Status
<a name="lag-primary-backup-troubleshoot-expired-recovery-points"></a>

**Mögliche Ursache:** Temporäre Wiederherstellungspunkte wechseln in den `EXPIRED` Status, werden aber nicht gelöscht.

**Lösung:** AWS Backup Möglicherweise fehlen die Berechtigungen zum Löschen der Wiederherstellungspunkte. Stellen Sie sicher, dass Ihre Backup-Rolle über die erforderlichen IAM-Berechtigungen verfügt. Möglicherweise müssen Sie `expired` Wiederherstellungspunkte manuell löschen.

### Kopieraufträge befinden sich in der Warteschlange oder schlagen aufgrund der hohen Backup-Frequenz fehl
<a name="lag-primary-backup-troubleshoot-queued-jobs"></a>

**Mögliche Ursache:** Kopieraufträge in Tresore mit logischem Air-Gap befinden sich in Warteschlangen oder schlagen fehl, weil Backups häufiger geplant werden, als Kopien abgeschlossen werden können.

**Lösung:** Reduzieren Sie die Häufigkeit Ihrer Backups oder passen Sie Ihren Backup-Zeitplan an, um mehr Zeit zwischen den Backups zu haben. Informationen zu den Beschränkungen für gleichzeitige Kopien finden Sie in der [Dokumentation zu den AWS Backup Kontingenten](aws-backup-limits.md#lag-vault-quotas-table).

# Genehmigung durch mehrere Parteien für Tresore mit logischem Air-Gap
<a name="multipartyapproval"></a>



## Überblick über die Genehmigung durch mehrere Parteien in einem Tresor mit logischen Lücken
<a name="multipartyapproval-overview"></a>

AWS Backup bietet Ihnen die Möglichkeit, Ihren Tresoren mit logischem [Air-Gap eine Genehmigung durch mehrere Parteien](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) hinzuzufügen AWS Organizations, eine Funktion von. Die Genehmigung durch mehrere Parteien bietet eine zusätzliche Option, mit der kritische Abläufe durch ein verteiltes Genehmigungsverfahren geschützt werden können. 

Die Genehmigung durch mehrere Parteien dient dem Schutz kritischer Ressourcen und der Minimierung der Zeit bis zur Wiederherstellung des vollen Betriebs, z. B. bei Störungen durch böswillige Akteure oder Malware-Ereignisse. Diese Konfiguration kann Ihnen helfen, den Inhalt eines Tresors mit logischem Air-Gap wiederherzustellen, der möglicherweise kompromittiert wurde.

[Es fallen keine zusätzlichen Kosten für die Integration und den Einsatz von Genehmigungsteams mit mehreren Parteien und AWS Backup Logic-Air-Gap-Tresoren an (es fallen Gebühren für Speicher und regionsübergreifende Übertragungen an, wie auf der Preisseite angegeben).](https://aws.amazon.com/backup/pricing)

Als AWS Backup Kunde können Sie die Mehrparteiengenehmigung verwenden, um einer Gruppe vertrauenswürdiger Personen Genehmigungsfunktionen für einige Operationen zu gewähren, die gemeinsam den Zugriff auf einen Tresor mit logischem Air-Gap von einem separat erstellten Wiederherstellungskonto aus genehmigen können, falls der Verdacht auf böswillige Aktivitäten besteht, die die Nutzung des Hauptkontos gefährden könnten.

In den folgenden Schritten wird der empfohlene Ablauf für die Einrichtung einer AWS Wiederherstellungsorganisation, die Einrichtung der Mehrparteiengenehmigung und die anschließende Verwendung der Mehrparteiengenehmigung mit Ihren Tresoren mit logischen Air-Gaps beschrieben:

1. Ein Administrator [erstellt über Organizations eine neue Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html), die für Wiederherstellungsvorgänge verwendet wird.

1. *Im Verwaltungskonto dieser neuen Organisation erstellt und konfiguriert der Administrator eine IAM Identity Center (IDC) -Instanz (Informationen zur Aktivierung einer Organisationsinstanz finden Sie unter [Aktivieren von IAM Identity Center im IAM Identity Center-Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)).* *Weitere Informationen finden Sie im Benutzerhandbuch für die Genehmigung [mehrerer Parteien in der Reihenfolge „Identitätsquelle für die Genehmigung durch mehrere Parteien erstellen](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)“.*

1. Anschließend stellt der Administrator [ein Genehmigungsteam zusammen. Dabei handelt es sich um](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html) die Kerngruppe vertrauenswürdiger Personen, die die Hauptnutzer von Multi-Party Approval sein werden.

1. Der Administrator [teilt AWS RAM sich ein Genehmigungsteam](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) für jedes Konto, das einen Tresor mit logischem Air-Gap besitzt, sowie für das Wiederherstellungskonto, das Zugriff auf diesen Tresor beantragen muss.

1. Ein Administrator des Accounts, der den Tresor mit logischem Air-Gap besitzt, [ordnet](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) den Tresor einem Genehmigungsteam zu.

1. Ein Wiederherstellungskonto [fordert Zugriff auf](multipartyapproval-tasks-requester.md#create-restore-access-vault) ein Konto an, das über einen Tresor mit logischem Air-Gap verfügt, dem ein Genehmigungsteam („Team“) mit mehreren Parteien zugeordnet ist. Das dem Konto zugeordnete Team [genehmigt](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html) die Anfrage oder lehnt sie ab.

1. Der Administrator des Accounts, dem der Tresor mit logischem Air-Gap gehört, kann beantragen, dass das [Genehmigungsteam vom Tresor getrennt wird](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). Für die Anfrage ist eine aktuelle Genehmigung durch das Team erforderlich.

1. Ein Administrator kann die [Mitglieder des Genehmigungsteams bei Bedarf entsprechend seinen Sicherheitspraktiken aktualisieren](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) oder wenn Personen Ihrer Organisation beitreten oder sie verlassen.

## Voraussetzungen und bewährte Methoden für die Verwendung der Genehmigung durch mehrere Parteien bei einem Tresor mit logischem Air-Gap
<a name="multipartyapproval-prerequisites"></a>

Bevor Sie die Genehmigung durch mehrere Parteien effektiv und sicher für Ihre Datenspeicher mit logischen Air-Gaps nutzen können, müssen zunächst einige Voraussetzungen und empfohlene bewährte Verfahren erfüllt sein.

**Bewährte Verfahren:**
+ Zwei (oder mehr) AWS Organizations über Organisationen. Eines sollte Ihre primäre Organisation sein, in der Sie über ein oder mehrere Konten verfügen, die über mindestens einen Tresor mit logischem Air-Gap verfügen. Die sekundäre Organisation sollte Ihre Wiederherstellungsorganisation sein. In dieser Organisation wird Ihr Genehmigungsteam für mehrere Parteien verwaltet.

**Voraussetzungen**

1. Sie haben die [Genehmigung durch mehrere Parteien eingerichtet](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) und verfügen über mindestens ein Genehmigungsteam.

1. Mindestens ein Konto in Ihrer primären Organisation muss über einen Tresor mit logischem Air-Gap (und den ursprünglichen Backup-Tresor) verfügen.

1. Für das Verwaltungskonto in der primären Organisation wurde die Genehmigung durch mehrere Parteien aktiviert.
**Tipp**  
AWS Backup empfiehlt, eine Service Control Policy (SCP) auf Ihre primäre Organisation anzuwenden und diese mit den entsprechenden Berechtigungen für die Organisation und jedes Genehmigungsteam zu konfigurieren. Ein Beispiel für eine Richtlinie finden Sie im Abschnitt [Bedingungen für die Genehmigung durch mehrere Parteien](#multipartyapproval-terms).

1. Ihr Mehrparteien-Genehmigungsteam aus der sekundären Organisation (Wiederherstellung) wird sowohl AWS RAM mit Ihren [Konten geteilt](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram), denen die Logic Air-Gapped Tresore gehören, als auch mit Ihren Wiederherstellungskonten.

## Regionalübergreifende Überlegungen und Abhängigkeiten bei der Verwendung der Genehmigung durch mehrere Parteien
<a name="multipartyapproval-cross-region"></a>

Wenn Sie die Genehmigung durch mehrere Parteien aktivieren und Ihre IAM Identity Center-Instanz in verschiedenen Regionen aktiviert haben, werden bei der Genehmigung durch mehrere Parteien regionsübergreifend Anrufe an IAM Identity Center weitergeleitet. Das bedeutet, dass Benutzer- und Gruppeninformationen zwischen den Regionen übertragen werden. Ressourcen des Genehmigungsteams mit mehreren Parteien können nur in AWS-Region USA Ost (Nord-Virginia) erstellt und gespeichert werden.

Andere AWS-Regionen , die sich auf Ressourcen des Genehmigungsteams mehrerer Parteien beziehen, hängen von AWS-Region US East (Nord-Virginia) ab. Dementsprechend werden bei der Genehmigung durch mehrere Parteien regionsübergreifende Anrufe getätigt, wenn sich Ihr Identity Center-Instance and/or logischerweise Air-Gap-Tresor nicht in USA Ost (Nord-Virginia) befindet.

## Bedingungen, Konzepte und Benutzerpersönlichkeiten für die Genehmigung durch mehrere Parteien
<a name="multipartyapproval-terms"></a>

Die Genehmigung durch mehrere Parteien in Ihrem Tresor mit logischem Air-Gap ist eine Integration von AWS Organizations, und AWS -Kontenverwaltung AWS Backup, zusammen mit AWS Identity and Access Management (IAM) - und (RAM) -Funktionen. AWS RAM Über die CLI können Sie mit jedem Dienst interagieren, um die entsprechenden Befehle zu senden. Sie können auch die Konsole verwenden, müssen jedoch zur Konsole des entsprechenden Dienstes navigieren, um bestimmte Aufgaben auszuführen.

Wie Sie mit der Genehmigung durch mehrere Parteien umgehen, hängt von Ihren Rollen und Verantwortlichkeiten in Ihren Organisationen sowie von den Berechtigungen ab, die Sie in Ihren AWS Backup Konten haben. 

***Wie im [Benutzerhandbuch für Mehrparteiengenehmigungen beschrieben, handelt](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) es sich bei Mitgliedern Ihrer Organisation, die die Mehrparteiengenehmigung verwenden, entweder um ***Antragsteller***, ***Administrator*** oder Genehmiger.*** [Für jede Stellenfunktion gelten spezifische Berechtigungen.](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html) Gemäß den bewährten Sicherheitsmethoden sollte ein Benutzer nur eine Jobfunktion erfüllen.

 **Konsolen, Portale und Sitzungen** 

AWS Backup Konten mit einem oder mehreren Tresoren mit logischem Air-Gap können von mehreren Parteien genehmigt werden.

Vor dem Genehmigungsprozess durch mehrere Parteien erstellt ein Administrator für Wiederherstellungszwecke eine sekundäre Organisation (eine **Wiederherstellungsorganisation**), sofern noch keine solche eingerichtet wurde. AWS Organizations 

Anschließend verwendet der Administrator AWS Resource Access Manager (RAM), um die organisationsübergreifende gemeinsame Nutzung zwischen der primären Organisation und der Wiederherstellungsorganisation einzurichten.

In der **primären Organisation befinden** sich Konten, die über einen Tresor mit logischem Air-Gap verfügen und diesen nutzen, in dem die geschützten Daten gespeichert werden.

**In der Wiederherstellungsorganisation gibt es mindestens ein Wiederherstellungskonto.** Dieses Konto beherbergt einen Zugriffspunkt, der als wichtige „Hintertür“ zum gemeinsam genutzten Tresor mit logischem Air-Gap dienen kann. **Dieser Zugriffspunkt wird als Backup-Tresor mit Wiederherstellungszugriff bezeichnet.** Dieser Access Vault speichert keine Daten, sondern dient als Zugriffs- oder Bereitstellungspunkt, der den Inhalt des Quell-Tresors mit logischem Air-Gap wiedergibt, aber keine Daten enthält, die geändert oder gelöscht werden können. Wenn ein Kunde beispielsweise den Wiederherstellungsprozess für einen Recovery Point in einem Backup-Tresor mit Wiederherstellungszugriff durchläuft, ist es der Recovery Point im Tresor mit logischem Air-Gap, der durch eine kontenübergreifende Wiederherstellung über das Wiederherstellungskonto wiederhergestellt wird.

Um zusätzliche Sicherheit zu gewährleisten, verwenden Kunden dieses Wiederherstellungskonto, um geschützte Vorgänge im Hauptkonto durchzuführen, jedoch erst, nachdem diese Vorgänge vom zugehörigen [Genehmigungsteam in einer Genehmigungssitzung genehmigt](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources) wurden. Eine Sitzung wird erstellt, AWS sobald eine Genehmigungsanfrage gesendet wurde. Diese Sitzung endet, wenn eine bestimmte Anzahl von Mitgliedern des Genehmigungsteams die Anfrage genehmigt oder ablehnt oder wenn die zulässige Sitzungszeit abgelaufen ist. 

Ein Team besteht aus **Genehmigungsberechtigten** (also die Parteien sind Teil der Genehmigung durch mehrere *Parteien*), die E-Mail-Benachrichtigungen über geschützte Operationsanfragen erhalten. Diese E-Mails bestätigen, dass eine Genehmigungssitzung für die Anfrage begonnen hat. Die Genehmigung wird erteilt, sobald die erforderliche Mindestgenehmigungsschwelle erreicht ist. Dieser Schwellenwert kann bei der Erstellung des **Genehmigungsteams mit mehreren Parteien** („Team“) festgelegt werden.

Genehmigungsteams mit mehreren Parteien werden über das **Mehrparteien-Genehmigungsportal („Portal**“) von Organizations verwaltet, eine AWS verwaltete Anwendung, die Identitäten einen zentralen Ort bietet, an dem Mitglieder des Genehmigungsteams Einladungen und Vorgangsanfragen des Genehmigungsteams empfangen und darauf antworten können.

# Aufgaben des Administrators
<a name="multipartyapproval-tasks-administrator"></a>

Für mehrere Aufgaben, die AWS Backup einen Überblick über mehrere Parteien erforderten, war ein Benutzer mit Administratorberechtigungen und Zugriff auf das Verwaltungskonto erforderlich.

## Stellen Sie ein Genehmigungsteam zusammen
<a name="create-multipartyapproval-team"></a>

Ein Benutzer in Ihrer Organisation mit Administratorberechtigungen für ein AWS Konto muss die [Genehmigung durch mehrere Parteien einrichten](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (Schritt 3 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview)).

Bevor Sie diesen Schritt ausführen, empfiehlt es sich als bewährte Methode, sowohl eine primäre Organisation als auch eine sekundäre Organisation (für Wiederherstellungszwecke) einzurichten AWS Organizations (Schritt 1 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview)).

Informationen zur [Erstellung Ihres Teams finden Sie unter Erstellen eines Genehmigungsteams](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) *im Benutzerhandbuch zur Genehmigung mehrerer Parteien*.

Während der [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)Operation ist `policies` einer der Parameter. Dies ist eine Liste von Ressourcenrichtlinien ARNs (Amazon Resource Names) für die Genehmigung durch mehrere Parteien, die Berechtigungen zum Schutz des Teams definieren.

Die Richtlinie, die im Beispiel im *Benutzerhandbuch für die Genehmigung mehrerer Parteien* im Verfahren [Ein Genehmigungsteam erstellen](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dargestellt ist, enthält die Richtlinie `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` mit mehreren erforderlichen Berechtigungen. 

Gehen Sie wie folgt vor, um eine Liste der verfügbaren Richtlinien zurückzugeben, indem Sie Folgendes verwenden`mpa list-policies`:

1. Richtlinien auflisten: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Alle Richtlinienversionen auflisten: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Einzelheiten zu einer Richtlinie abrufen: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Weiter unten finden Sie die Richtlinie, die im Rahmen dieses Vorgangs erstellt und dann Ihrem Genehmigungsteam zugewiesen wird:

### Access Vault-Richtlinie wiederherstellen
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Teilen Sie sich ein Genehmigungsteam mit mehreren Parteien unter AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

[Mithilfe von [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), Schritt 4 in der Übersicht, können Sie ein Mehrparteien-Genehmigungsteam mit anderen AWS Accounts teilen.](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Teilen Sie ein Mehrparteien-Genehmigungsteam mit AWS RAM**

1. Melden Sie sich bei der [AWS RAM -Konsole](https://console.aws.amazon.com/ram/home?region=us-east-1) an.

1. Wählen Sie im Navigationsbereich **Resource Shares** aus.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.

1. Geben Sie im Feld **Name** einen aussagekräftigen Namen für Ihre Ressourcenfreigabe ein.

1. Wählen Sie im Dropdownmenü unter **Ressourcentyp** die Option **Genehmigungsteam für mehrere Parteien** aus.

1. Wählen Sie unter **Ressourcen** das Genehmigungsteam aus, das Sie gemeinsam nutzen möchten.

1. Geben Sie unter **Principals** die AWS Accounts an, mit denen Sie das Genehmigungsteam teilen möchten.

1. Um die Daten für bestimmte AWS Konten freizugeben, wählen Sie **AWS Konten** aus und geben Sie das 12-stellige Konto ein. IDs

1. Um Inhalte mit einer Organisation oder Organisationseinheit zu teilen, wählen Sie **Organisation** oder **Organisationseinheit** aus und geben Sie die entsprechende ID ein.

1. (*Optional*) Fügen Sie unter **Tags** alle Tags hinzu, die Sie dieser gemeinsamen Ressource zuordnen möchten.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.

Der Status der Ressourcenfreigabe wird zunächst als angezeigt`PENDING`. Sobald die Empfängerkonten die Einladung annehmen, ändert sich der Status auf`ACTIVE`.

------
#### [ CLI ]

Verwenden Sie die folgenden Befehle, um ein Genehmigungsteam mit mehreren Parteien gemeinsam AWS RAM über die CLI zu verwenden:

Identifizieren Sie zunächst den ARN des Genehmigungsteams, das Sie teilen möchten:

```
aws mpa list-approval-teams --region us-east-1
```

Erstellen Sie eine Ressourcenfreigabe mit dem create-resource-share folgenden Befehl:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Um sie mit einer Organisation statt mit bestimmten Konten zu teilen:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Prüfen Sie den Status Ihrer gemeinsam genutzten Ressource:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

Die Empfängerkonten müssen die Einladung zur gemeinsamen Nutzung von Ressourcen annehmen:

```
aws ram get-resource-share-invitations --region us-east-1
```

Führen Sie das Empfängerkonto aus, um eine Einladung anzunehmen:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Sobald die Einladung angenommen wurde, steht das Team für die Genehmigung mehrerer Parteien im Empfängerkonto zur Verfügung.

------

AWS bietet Tools für den gemeinsamen Kontozugriff, einschließlich Durchgangs [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)- und [Mehrparteienzugriff](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Wenn Sie sich dafür entscheiden, einen Tresor mit logischem Air-Gap gemeinsam mit einem anderen Konto zu nutzen, sollten Sie die folgenden Details berücksichtigen:


| Feature | AWS RAM basiertes Teilen | Auf Genehmigung durch mehrere Parteien basierender Zugriff | 
| --- | --- | --- | 
| Zugriff auf Tresore mit logischem Air-Gap | Sobald die gemeinsame Nutzung des RAM abgeschlossen ist, kann auf die Tresore zugegriffen werden. | Jeder Versuch mit einem anderen Konto muss von einer bestimmten Anzahl von Mitgliedern des Genehmigungsteams für mehrere Parteien genehmigt werden. Die Genehmigungssitzung läuft automatisch 24 Stunden nach der Initiierung der Anfrage ab. | 
| Entfernung des Zugriffs | Das Konto, dem der Tresor mit logischem Air-Gap gehört, kann die RAM-basierte gemeinsame Nutzung jederzeit beenden. | Der Zugriff auf einen Tresor kann nur durch eine Anfrage an das Genehmigungsteam für mehrere Parteien entzogen werden. | 
| Zwischen Konten and/or und Regionen kopieren | Wird derzeit nicht unterstützt. | Backups können innerhalb desselben Kontos oder mit anderen Konten in derselben Organisation wie das Wiederherstellungskonto kopiert werden. | 
| Abrechnung bei regionsübergreifender Überweisung |  | Regionsübergreifende Übertragungen werden demselben Konto in Rechnung gestellt, dem der Backup-Tresor mit Wiederherstellungszugriff gehört. | 
| Empfohlene Verwendung | Es wird hauptsächlich für die Wiederherstellung nach Datenverlust und für Wiederherstellungstests verwendet. | Hauptsächlich wird es in Situationen verwendet, in denen der Verdacht besteht, dass der Kontozugriff oder die Sicherheit gefährdet sind. | 
| Regionen | Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. | Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. | 
| Wiederherstellungen | Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. | Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. | 
| Einrichtung | Die gemeinsame Nutzung kann erfolgen, sobald das AWS Backup Konto die RAM-Sharing eingerichtet hat und das Empfängerkonto die gemeinsame Nutzung akzeptiert. | Für die gemeinsame Nutzung muss das Verwaltungskonto zuerst ein Team erstellen und dann die RAM-Sharing einrichten. Anschließend entscheidet sich das Verwaltungskonto für die Genehmigung durch mehrere Parteien und weist das Team einem Tresor mit logischem Air-Gap zu. | 
| Teilen |  Die gemeinsame Nutzung erfolgt über RAM innerhalb derselben AWS Organisation oder zwischen AWS Organisationen. Der Zugriff wird nach dem „Push“ -Modell gewährt, bei dem das Konto, dem der Tresor mit logischem Air-Gap gehört, zuerst Zugriff gewährt. Dann akzeptiert das andere Konto den Zugriff.  |  Der Zugriff auf einen Tresor mit logischem Air-Gap erfolgt über von Organizations unterstützte Genehmigungsteams innerhalb derselben AWS Organisation oder organisationsübergreifend. Der Zugriff wird nach dem „Pull“ -Modell gewährt, bei dem das empfangende Konto zuerst Zugriff anfordert und dann das Genehmigungsteam die Anfrage gewährt oder ablehnt.  | 

# Aufgaben des Anfragenden
<a name="multipartyapproval-tasks-requester"></a>

## Ordnen Sie einem Tresor mit logischem Air-Gap ein Genehmigungsteam mit mehreren Parteien zu
<a name="associate-multipartyapproval-team"></a>

Anforderer: **Benutzer mit Zugriff auf das Konto, dem der Tresor mit logischem Air-Gap gehört**.

[Sie können einem Tresor mit logischem Air-Gap ein Genehmigungsteam mit mehreren Parteien zuordnen, um gemeinsam den Zugriff auf den Tresor genehmigen zu können (Schritt 5 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Ordnen Sie einem Tresor mit logischen Lücken ein Genehmigungsteam mit mehreren Parteien zu**

1. [Öffnen Sie die Konsole unter AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, den Sie einem MPA-Team zuordnen möchten.

1. Wählen Sie auf der Seite mit den **Tresordetails** die Option Genehmigungsteam **zuweisen** aus.

1. Wählen Sie im Dropdownmenü das Genehmigungsteam aus, das Sie dem Tresor zuordnen möchten

1. *Optional* Geben Sie einen Kommentar ein, in dem der Grund für die Zuordnung erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Zuordnungsanfrage einzureichen.

Wenn dies das erste Genehmigungsteam ist, das dem Tresor zugeordnet wird, wird das Team dem Tresor zugeordnet. Falls dem Tresor bereits ein Team zugeordnet ist, finden Sie die entsprechenden Schritte unter [Genehmigungsteam für mehrere Parteien aktualisieren](#update-multpartyapproval-team).

------
#### [ CLI ]

Verwenden Sie den CLI-Befehl`associate-backup-vault-mpa-approval-team`, der mit den folgenden Parametern geändert wurde:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Wenn dies das erste Genehmigungsteam ist, das dem Tresor zugeordnet wird, wird das Team dem Tresor zugeordnet. Falls dem Tresor bereits ein Team zugeordnet ist, finden Sie die entsprechenden Schritte unter [Genehmigungsteam für mehrere Parteien aktualisieren](#update-multpartyapproval-team).

------

## Beantragen Sie Zugriff auf einen Tresor mit logischem Air-Gap
<a name="create-restore-access-vault"></a>

Anforderer: **Benutzer mit Zugriff auf** das Wiederherstellungskonto.

[Sie können den Zugriff auf einen Tresor mit logischem Air-Gap in einem anderen Konto beantragen (Schritt 6 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

Nachdem ein Genehmigungsteam der Anfrage stattgegeben hat, AWS Backup erstellt es in Ihrem angegebenen Wiederherstellungskonto einen Backup-Tresor mit Wiederherstellungszugriff, sodass dieses Konto Zugriff auf Wiederherstellungspunkte im verbundenen Tresor mit logischem Air-Gap hat.

------
#### [ Console ]

**Beantragen Sie den Zugriff auf einen Tresor mit logischem Air-Gap**

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**

1. Wählen Sie die **Tresore, auf die Sie über die Registerkarte MPA zugreifen** können

1. Wählen Sie **Tresorzugriff anfordern** aus.

1. Geben Sie den ARN des Quell-Backup-Tresors des Tresors mit logischem Air-Gap ein, auf den Sie zugreifen möchten.

1. Geben Sie einen optionalen Namen für den Backup-Tresor mit Wiederherstellungszugriff ein. Wenn Sie keinen Namen eingeben, AWS Backup wird ein Name zugewiesen, der auf dem Namen des Tresors mit logischem Air-Gap basiert.

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für die Zugriffsanfrage erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Zugriffsanfrage einzureichen.

Die Mitglieder des Genehmigungsteams, die dem Quelltresor zugeordnet sind, erhalten eine E-Mail-Benachrichtigung zur Genehmigung der Anfrage.

Sobald die Anfrage von der erforderlichen Anzahl („Schwellenwert“) von Teammitgliedern genehmigt wurde, wird der Backup-Tresor für den Wiederherstellungszugriff im Wiederherstellungskonto erstellt.

------
#### [ CLI ]

Verwendung des `create-restore-access-backup-vault`-CLI-Befehls:

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die Mitglieder des MPA-Genehmigungsteams, die dem Quell-Tresor zugeordnet sind, erhalten eine Benachrichtigung zur Genehmigung der Anfrage. Sobald die Anfrage von der erforderlichen Anzahl („Schwellenwert“) von Teammitgliedern genehmigt wurde, wird der Backup-Tresor für den Wiederherstellungszugriff im Wiederherstellungskonto erstellt.

Sie können den Status des Tresors wie folgt überprüfen:

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Trennen Sie das aus mehreren Parteien bestehende Genehmigungsteam vom Tresor mit logischem Air-Gapped
<a name="disassociate-multipartyapproval-team"></a>

Anforderer: **Administrator des Kontos, dem der Tresor mit logischem Air-Gap gehört**.

[Sie können die Zuordnung eines Genehmigungsteams mit mehreren Parteien zu einem Tresor mit logischem Air-Gap trennen (Schritt 7 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Trennen Sie die Zuordnung des Genehmigungsteams zu einem Tresor mit logischem Air-Gap**

1. [Öffnen Sie die Konsole unter /backup AWS Backup . https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, von dem Sie die Verbindung zum Genehmigungsteam trennen möchten.

1. **Wählen Sie auf der Seite mit den **Tresordetails** die Option Genehmigungsteam trennen aus.**

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für die Trennung erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Anfrage zur Trennung einzureichen.

Die aktuellen Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage.

Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird das Team vom Tresor getrennt.

------
#### [ CLI ]

Verwendung des `disassociate-backup-vault-mpa-approval-team`-CLI-Befehls:

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die aktuellen Mitglieder des MPA-Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung des Antrags. Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird das Team vom Tresor getrennt.

------

## Widerrufen und Zugriff auf Backup-Tresor wiederherstellen
<a name="revoke-restore-access-vault"></a>

Anforderer: **Administrator des Kontos, dem der Tresor mit logischem Air-Gap gehört**.

Sie können den Zugriff auf einen Backup-Tresor mit Wiederherstellungszugriff vom Quelltresorkonto aus widerrufen.

------
#### [ Console ]

**Den Zugriff auf den Backup-Tresor mit Wiederherstellung**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, für den Sie den Zugriff widerrufen möchten.

1. Scrollen Sie auf der Seite mit den **Tresordetails** nach unten zum Abschnitt **Zugriff durch Genehmigung durch mehrere Parteien**.

1. Suchen Sie den Backup-Tresor mit Wiederherstellungszugriff, den Sie entziehen möchten, und wählen Sie dann **Anfrage zum Entfernen des Tresorzugriffs** aus.

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für den Widerruf erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Widerrufsanfrage einzureichen.

Die Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage.

Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird der Backup-Tresor mit Wiederherstellungszugriff aus dem Wiederherstellungskonto gelöscht

------
#### [ CLI ]

Führen Sie zunächst die Backup-Tresore mit Wiederherstellungszugriff auf, die Ihrem Quell-Tresor zugeordnet sind:

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

Verwenden Sie dann den CLI-Befehl`revoke-restore-access-backup-vault`:

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage. Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird der Backup-Tresor mit Wiederherstellungszugriff aus dem Wiederherstellungskonto gelöscht.

------

## Aktualisieren Sie das Genehmigungsteam für mehrere Parteien, das einem Tresor mit logischem Air-Gap zugeordnet ist
<a name="update-multpartyapproval-team"></a>

Anforderer: **Administrator des Kontos, dem der Tresor mit logischem Air-Gap gehört**.

[Sie können das Genehmigungsteam für mehrere Parteien, das einem Tresor mit logischem Air-Gap zugeordnet ist, auf den neuesten Stand bringen (Schritt 8 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Aktualisieren Sie das Genehmigungsteam, das einem Tresor mit logischen Air-Gaps zugeordnet ist**

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, für den Sie das Genehmigungsteam aktualisieren möchten.

1. Wählen Sie auf der Seite mit den Tresordetails die Option Änderung des **Genehmigungsteams beantragen** aus.

1. Wählen Sie im Dropdownmenü das neue Genehmigungsteam aus, das Sie dem Tresor zuordnen möchten.

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für die Änderung erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Änderungsanfrage einzureichen.

Die aktuellen Mitglieder des Genehmigungsteams erhalten eine E-Mail-Benachrichtigung zur Genehmigung der Anfrage.

Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern (Schwellenwert) aus dem aktuellen MPA-Team wird das neue Team dem Tresor zugeordnet.

------
#### [ CLI ]

Verwenden Sie den CLI-Befehl `associate-backup-vault-mpa-approval-team` mit dem neuen Team-ARN:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die aktuellen Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage. Sobald die erforderliche Anzahl von Teammitgliedern (Schwellenwert) aus dem aktuellen Team die Genehmigung erteilt hat, wird das neue MPA-Team dem Tresor zugeordnet.

------

# Aufgaben des Genehmigers
<a name="multipartyapproval-tasks-approver"></a>

Ein Benutzer, der Mitglied eines Genehmigungsteams mit mehreren Parteien ist, kann [Anfragen, die Teil einer Sitzung sind, genehmigen oder ablehnen](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html). Zu den weiteren Aufgaben gehören:
+ [Reagieren Sie auf angeforderte Operationen](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Sehen Sie sich ein Genehmigungsteam an](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Vorgangsverlauf anzeigen](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)

# Richtlinien für den Tresorzugriff
<a name="create-a-vault-access-policy"></a>

Mit AWS Backup können Sie Backup-Tresoren und den darin enthaltenen Ressourcen Richtlinien zuweisen. Durch das Zuweisen von Richtlinien können Sie beispielsweise Benutzern Zugriff gewähren, um Sicherungspläne und On-Demand-Sicherungen zu erstellen, dabei aber die Möglichkeit, Wiederherstellungspunkte nach ihrer Erstellung zu löschen, einschränken.

Informationen zur Verwendung von Richtlinien für das Gewähren oder Einschränken des Zugriffs auf Ressourcen finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im *IAM-Benutzerhandbuch*. Sie können den Zugriff auch mithilfe von Tags steuern.

Sie können die folgenden Beispielrichtlinien als Leitfaden verwenden, um den Zugriff auf Ressourcen einzuschränken, wenn Sie mit AWS Backup Tresoren arbeiten. Im Gegensatz zu anderen IAM-basierten Richtlinien unterstützen AWS Backup Zugriffsrichtlinien keinen Platzhalter im Schlüssel. `Action`

Eine Liste der Amazon-Ressourcennamen (ARNs), mit denen Sie Wiederherstellungspunkte für verschiedene Ressourcentypen identifizieren können, finden Sie unter [AWS Backup Ressource ARNs](access-control.md#resource-arns-table) Ressourcenspezifische Wiederherstellungspunkte. ARNs

Die Richtlinien für den Tresorzugriff regeln nur den Benutzerzugriff auf. AWS Backup APIs Auf einige Backup-Typen, wie Amazon Elastic Block Store (Amazon EBS) und Amazon Relational Database Service (Amazon RDS) -Snapshots, kann auch über diese Services zugegriffen werden. APIs Sie können in IAM separate Zugriffsrichtlinien erstellen, die den Zugriff auf diese steuern, um den Zugriff auf diese APIs Backup-Typen vollständig zu kontrollieren.

Unabhängig von der Zugriffsrichtlinie für den AWS Backup Tresor `backup:CopyIntoBackupVault` wird der kontoübergreifende Zugriff für alle Aktionen abgelehnt, AWS Backup d. h. alle anderen Anfragen von einem Konto, das sich von dem Konto der Ressource unterscheidet, auf die verwiesen wird, abgelehnt.

**Topics**
+ [Verweigern des Zugriffs auf einen Ressourcentyp in einem Backup-Tresor](#deny-access-to-ebs-snapshots)
+ [Verweigern des Zugriffs auf einen Backup-Tresor](#deny-access-to-a-backup-vault)
+ [Verweigern des Zugriffs zum Löschen von Wiederherstellungspunkten in einem Backup-Tresor](#deny-access-to-delete-recovery-points)

## Verweigern des Zugriffs auf einen Ressourcentyp in einem Backup-Tresor
<a name="deny-access-to-ebs-snapshots"></a>

Diese Richtlinie verweigert den Zugriff auf die angegebenen API-Operationen für alle Amazon–EBS-Snapshots in einem Backup-Tresor.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}
```

------

## Verweigern des Zugriffs auf einen Backup-Tresor
<a name="deny-access-to-a-backup-vault"></a>

Diese Richtlinie verweigert den Zugriff auf die angegebenen API-Operationen, die auf einen Sicherungstresor abzielen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}
```

------

## Verweigern des Zugriffs zum Löschen von Wiederherstellungspunkten in einem Backup-Tresor
<a name="deny-access-to-delete-recovery-points"></a>

Der Zugriff auf Tresore sowie die Fähigkeit zum Löschen der darin gespeicherten Wiederherstellungspunkte wird durch den Zugriff gesteuert, den Sie Ihren Benutzern gewähren.

Gehen Sie wie folgt vor, um eine ressourcenbasierte Zugriffsrichtlinie für einen Sicherungstresor zu erstellen, die das Löschen von Sicherungen in dem Sicherungstresor verhindert.

**So erstellen Sie eine ressourcenbasierte Zugriffsrichtlinie für einen Sicherungstresor:**

1. Melden Sie sich bei AWS-Managementkonsole[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) an und öffnen Sie die AWS Backup Konsole.

1. Wählen Sie im Navigationsbereich auf der linken Seite **Backup vaults (Sicherungstresore)** aus.

1. Wählen Sie einen Sicherungstresor in der Liste aus.

1. Fügen Sie im Abschnitt **Access policy (Zugriffsrichtlinie)** das folgende JSON-Beispiel ein. Diese Richtlinie verhindert, dass Personen, die nicht der Prinzipal sind, einen Wiederherstellungspunkt im Zielsicherungstresor löschen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AIDA1234567890EXAMPLE",
                          "AROA1234567890EXAMPLE:my-role-session",
                          "AROA1234567890EXAMPLE:*",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

   Verwenden Sie den globalen Bedingungsschlüssel `aws:PrincipalArn` im folgenden Beispiel, um das Auflisten von IAM-Identitäten mithilfe ihres ARN zu ermöglichen.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "DenyDeleteRecoveryPoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "backup:DeleteRecoveryPoint",
         "Resource": "*",
         "Condition": {
           "ArnNotEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::112233445566:role/mys3role",
               "arn:aws:iam::112233445566:user/shaheer",
               "arn:aws:iam::112233445566:root"
             ]
           }
         }
       }
     ]
   }
   ```

------

   Informationen zum Abrufen einer eindeutigen ID für eine IAM-Entität finden Sie unter [Abrufen des eindeutigen Bezeichners](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id) im *IAM-Benutzerhandbuch*.

   Wenn Sie dies auf bestimmte Ressourcentypen beschränken möchten, können Sie anstelle von `"Resource": "*"` die zu verweigernden Wiederherstellungspunkttypen explizit einschließen. Ändern Sie beispielsweise für Amazon-EBS-Snapshots den Ressourcentyp wie folgt.

   ```
   "Resource": ["arn:aws:ec2::Region::snapshot/*"]
   ```

1. Wählen Sie **Richtlinie anfügen** aus.

# AWS Backup Vault Lock
<a name="vault-lock"></a>

**Anmerkung**  
AWS Backup Vault Lock wurde von Cohasset Associates für den Einsatz in Umgebungen geprüft, die den Bestimmungen von SEC 17a-4, CFTC und FINRA unterliegen. [Weitere Informationen darüber, wie AWS Backup Vault Lock mit diesen Vorschriften zusammenhängt, finden Sie in der Compliance-Bewertung von Cohasset Associates.](samples/cohassetreport.zip)

AWS Backup Vault Lock ist eine optionale Funktion eines Backup-Tresors, die Ihnen zusätzliche Sicherheit und Kontrolle über Ihre Backup-Tresore bieten kann. Wenn eine Sperre im Compliance-Modus aktiv ist und die Übergangszeit abgelaufen ist, kann die Tresorkonfiguration nicht von einem Kunden oder account/data Eigentümer geändert oder gelöscht werden, AWS solange sie Wiederherstellungspunkte enthält. Jeder Tresor kann eine Tresorsperre haben.

AWS Backup stellt sicher, dass Ihre Backups für Sie verfügbar sind, bis ihre Aufbewahrungsfristen abgelaufen sind. Wenn ein Benutzer (einschließlich des Root-Benutzers) versucht, ein Backup zu löschen oder die Lebenszykluseigenschaften in einem gesperrten Tresor zu ändern, AWS Backup wird der Vorgang verweigert.
+ Bei im **Governance-Modus** gesperrten Tresoren kann die Sperre von Benutzern mit ausreichenden IAM-Berechtigungen aufgehoben werden.
+ Im **Compliance-Modus** gesperrte Tresore *können nach Ablauf der Bedenkzeit (“ **Grace Time** „) nicht gelöscht werden*, sofern sich irgendwelche Wiederherstellungspunkte im Tresor befinden. Während der Kulanzzeit können Sie die Tresorsperre weiterhin aufheben und die Sperrkonfiguration ändern.

**Warnung**  
Nach Ablauf der Übergangszeit sind der Tresor und seine Sperre unveränderlich und können weder von einem Benutzer noch von anderen Benutzern geändert oder gelöscht werden. AWS Backups in einem gesperrten Tresor können erst gelöscht werden, wenn ihr Lebenszyklus abgeschlossen ist, was zu dauerhaften Kosten führt, wenn Sie nicht vorsichtig sind. Stellen Sie beispielsweise sicher, dass es keine Wiederherstellungspunkte gibt, deren Aufbewahrungszeitraum auf „Immer“ festgelegt ist. Nach Ablauf der Übergangszeit werden diese Wiederherstellungspunkte für immer aufbewahrt und können nicht geändert oder gelöscht werden.

## Modi der Tresorsperre
<a name="backup-vault-lock-modes"></a>

Wenn Sie eine Tresorsperre erstellen, haben Sie die Wahl zwischen zwei Modi: dem **Governance-Modus** und dem **Compliance-Modus**. Im Governance-Modus kann ein Tresor nur von Benutzern mit ausreichenden IAM-Berechtigungen verwaltet werden. Der Governance-Modus unterstützt eine Organisation bei der Erfüllung von Governance-Anforderungen und stellt sicher, dass nur speziell bestimmtes Personal Änderungen an einem Backup-Tresor vornehmen kann. Der Compliance-Modus ist für Backup-Tresore vorgesehen, bei denen davon ausgegangen wird, dass der Tresor (und damit auch sein Inhalt) vor Ablauf des Datenaufbewahrungszeitraums niemals gelöscht oder verändert wird. Sobald ein Tresor im Compliance-Modus gesperrt ist, ist er **unveränderlich**, was bedeutet, dass die Sperre *nicht aufgehoben werden kann* (der Tresor selbst kann gelöscht werden, wenn er leer ist und keine Wiederherstellungspunkte enthält).

Ein im Governance-Modus gesperrter Tresor kann von Benutzern verwaltet oder gelöscht werden, die über die entsprechenden IAM-Berechtigungen verfügen.

Eine Tresorsperre im Compliance-Modus kann weder von Benutzern noch von AWS geändert oder gelöscht werden. Für eine Tresorsperre im Compliance-Modus gilt eine von Ihnen festgelegte Übergangszeit, bis sie gesperrt wird und der Inhalt und die Tresorsperre unveränderlich werden.

## Vorteile der Tresorsperre
<a name="backup-vault-lock-benefits"></a>

AWS Backup Vault Lock bietet mehrere Vorteile, darunter:
+ WORM-Konfiguration (*Write Once, Read Many*) für alle Backups, die Sie in einem Backup-Tresor speichern und erstellen;
+ Eine zusätzliche Schutzebene, die Backups (Wiederherstellungspunkte) in Ihren Backup-Tresoren vor versehentlichem oder böswilligem Löschen schützt;
+ Durchsetzung von Aufbewahrungsfristen, die vorzeitige Löschungen durch privilegierte Benutzer (einschließlich AWS-Konto Root-Benutzer) verhindern und die Datenschutzrichtlinien und -verfahren Ihres Unternehmens einhalten.

## Sperren eines Backup-Tresors über die Konsole
<a name="lock-backup-vault-console"></a>

Sie können Ihrem Tresor mithilfe der Backup-Konsole eine AWS Backup Tresorsperre hinzufügen.

So fügen Sie Ihrem Backup-Tresor eine Tresorsperre hinzu

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Suchen Sie im Navigationsbereich die Option **Backup-Tresore**. Klicken Sie auf den Link unterhalb der Backup-Tresore mit dem Namen **Tresorsperren**.

1. Klicken Sie unter **So funktionieren Tresorverriegelungen** oder **Tresorsperren** auf **\$1 Tresorsperre erstellen**.

1. Wählen Sie im Bereich **Details zur Tresorsperre** den Tresor aus, auf den die Sperre angewendet werden soll.

1. Wählen Sie unter **Modus der Tresorsperre** aus, in welchem Modus Ihr Tresor gesperrt werden soll. Weitere Informationen zur Auswahl Ihrer Modi finden Sie unter [Modi der Tresorsperre](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes) weiter oben auf dieser Seite.

1. Wählen Sie für den **Aufbewahrungszeitraum** die Mindest- und Höchstdauer aus (Aufbewahrungszeiträume sind *optional*). Neue Sicherungs- und Kopieraufträge, die im Tresor erstellt werden, schlagen fehl, wenn sie nicht den von Ihnen festgelegten Aufbewahrungsfristen entsprechen. Diese Zeiträume gelten nicht für Wiederherstellungspunkte, die sich bereits im Tresor befinden. Für Wiederherstellungspunkte, die vor der Aktivierung der Tresorsperre im Tresor vorhanden waren, gelten ihre vorherigen Lebenszykluseinstellungen.

1. Wenn Sie den Compliance-Modus gewählt haben, wird ein Abschnitt mit der Bezeichnung **Startdatum der Tresorverriegelung** angezeigt. Wenn Sie den Governance-Modus gewählt haben, wird dieser Abschnitt nicht angezeigt und dieser Schritt kann übersprungen werden.

   Im Compliance-Modus gilt für eine Tresorsperre ab dem Zeitpunkt der Erstellung der Tresorsperre eine Bedenkzeit, ehe der Tresor und seine Sperre unveränderlich werden. Sie selbst entscheiden über die Dauer dieses Zeitraums (die sogenannte **Kulanzzeit**), sie muss jedoch *mindestens* 3 Tage (72 Stunden) betragen.
**Wichtig**  
Nach Ablauf der Übergangszeit sind der Tresor und seine Sperre unveränderlich und können weder von einem Benutzer noch von anderen Benutzern geändert oder gelöscht werden. AWS

1. Wenn Sie mit den Konfigurationseinstellungen zufrieden sind, klicken Sie auf **Tresorsperre erstellen**.

1. Um zu bestätigen, dass Sie diese Sperre im ausgewählten Modus erstellen möchten, geben Sie `confirm` in das Textfeld ein und aktivieren Sie dann das Kontrollkästchen, um zu bestätigen, dass die Konfiguration Ihren Anforderungen entspricht.

Wenn die Schritte erfolgreich abgeschlossen wurden, erscheint oben in der Konsole ein Erfolgsbanner.

## Programmgesteuertes Sperren eines Backup-Tresors
<a name="lock-backup-vault-cli"></a>

Verwenden Sie die API`[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`, um AWS Backup Vault Lock zu konfigurieren. Die einzubeziehenden Parameter hängen davon ab, welchen Modus der Tresorsperre Sie zu verwenden beabsichtigen. Wenn Sie eine Tresorsperre im Governance-Modus einrichten möchten, **schließen Sie `ChangeableForDays` nicht ein**. Wenn dieser Parameter enthalten ist, wird die Tresorsperre im Compliance-Modus erstellt.

Hier ist ein CLI-Beispiel für die Erstellung einer Tresorsperre im Compliance-Modus:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30
```

Hier ist ein CLI-Beispiel für die Erstellung einer Tresorsperre im Governance-Modus:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30
```

Sie können vier Optionen konfigurieren. 

1. `BackupVaultName`

   Der Name des zu sperrenden Tresors.

1. `ChangeableForDays` (*nur* für den Compliance-Modus einzuschließen)

   Dieser Parameter weist an AWS Backup , dass die Tresorsperre im **Compliance-Modus** erstellt werden soll. Lassen Sie diesen Parameter weg, wenn Sie vorhaben, die Sperre im **Governance-Modus** zu erstellen.

   Dieser Wert wird in Tagen ausgedrückt. Er muss eine Zahl sein, die nicht kleiner als 3 und nicht größer als 36.500 ist. Andernfalls wird ein Fehler zurückgegeben.

   Von der Erstellung dieser Tresorsperre bis zum Ablauf des angegebenen Datums kann die Tresorsperre mithilfe von `DeleteBackupVaultLockConfiguration` aus dem Tresor entfernt werden. Alternativ können Sie während dieser Zeit die Konfiguration mithilfe von `PutBackupVaultLockConfiguration` ändern.

   An und nach dem von diesem Parameter festgelegten spezifischen Datum wird der Backup-Tresor unveränderlich und kann nicht geändert oder gelöscht werden.

1. `MaxRetentionDays` *(optional)*

   Dies ist ein numerischer Wert, der in Tagen ausgedrückt wird. Dies ist die maximale Aufbewahrungsdauer, in der der Tresor seine Wiederherstellungspunkte beibehält.

   Der von Ihnen gewählte maximale Aufbewahrungszeitraum sollte mit den Richtlinien Ihrer Organisation für die Aufbewahrung von Daten in Einklang stehen. Wenn Ihre Organisation vorschreibt, dass Daten für einen bestimmten Zeitraum aufbewahrt werden müssen, kann dieser Wert auf diesen Zeitraum (in Tagen) festgelegt werden. Beispielsweise müssen Finanz- oder Bankdaten möglicherweise 7 Jahre lang aufbewahrt werden (ca. 2 557 Tage, abhängig von Schaltjahren).

   Wenn nicht angegeben, erzwingt AWS Backup Vault Lock keinen maximalen Aufbewahrungszeitraum. Falls angegeben, schlagen Backup- und Kopieraufträge in diesen Tresor mit Lebenszyklus-Aufbewahrungsfristen, die die maximale Aufbewahrungsdauer überschreiten, fehl. Wiederherstellungspunkte, die bereits vor der Erstellung der Tresorsperre im Tresor gespeichert wurden, sind nicht betroffen. Die längste maximale Aufbewahrungsdauer, die Sie angeben können, beträgt 36.500 Tage (ungefähr 100 Jahre).

1. `MinRetentionDays`(*optional*; erforderlich für CloudFormation)

   Dies ist ein numerischer Wert, der in Tagen ausgedrückt wird. Dies ist der Mindestaufbewahrungszeitraum, in dem der Tresor seine Wiederherstellungspunkte beibehält. Diese Einstellung sollte auf die Zeitdauer festgelegt werden, die in Ihrer Organisation für die Datenverwaltung *erforderlich* ist. Wenn beispielsweise Vorschriften oder Gesetze vorschreiben, dass Daten mindestens sieben Jahre aufbewahrt werden müssen, würde der Wert in Tagen je nach Schaltjahren etwa 2 557 betragen.

   Falls nicht angegeben, erzwingt AWS Backup Vault Lock keine Mindestaufbewahrungsdauer. Falls angegeben, schlagen Backup- und Kopieraufträge in diesen Tresor mit Lebenszyklus-Aufbewahrungsfristen, die die Mindestaufbewahrungsdauer unterschreiten, fehl. Wiederherstellungspunkte, die bereits vor AWS Backup Vault Lock im Tresor gespeichert wurden, sind davon nicht betroffen. Die kürzeste Mindestaufbewahrungsdauer, die Sie angeben können, ist 1 Tag.

## Überprüfen Sie einen Backup-Tresor auf seine AWS Backup Vault Lock-Konfiguration
<a name="review-vault-lock-config"></a>

Sie können die Details von AWS Backup Vault Lock in einem Tresor jederzeit telefonisch unter `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` oder überprüfen `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs.

Um festzustellen, ob Sie eine Tresorsperre auf einen Backup-Tresor angewendet haben, rufen Sie `DescribeBackupVault` auf und überprüfen Sie die `Locked`-Eigenschaft. Wenn Sie`"Locked": true`, wie im folgenden Beispiel, AWS Backup Vault Lock auf Ihren Backup-Tresor angewendet haben.

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```

Die vorherige Ausgabe bestätigt die folgenden Optionen:

1. `Locked`ist ein boolescher Wert, der angibt, ob Sie AWS Backup Vault Lock auf diesen Backup-Tresor angewendet haben. `True`bedeutet, dass AWS Backup Vault Lock dazu führt, dass Lösch- oder Aktualisierungsvorgänge an den im Tresor gespeicherten Wiederherstellungspunkten fehlschlagen (unabhängig davon, ob Sie sich noch in der Bedenkzeit befinden).

1. `LockDate` benennt UTC-Datum und ‑Uhrzeit, zu der Ihre Bedenkzeit abläuft. Nach Ablauf dieser Zeit können Sie die Sperre für diesen Tresor nicht mehr löschen oder ändern. Verwenden Sie öffentlich verfügbare Zeitkonverter, um diese Zeichenfolge in Ihre Ortszeit zu konvertieren.

Im Fall von `"Locked":false`, wie im folgenden Beispiel, haben Sie keine Tresorsperre angewendet (oder eine vorherige wurde gelöscht).

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}
```

## Aufheben der Tresorsperre während der Kulanzzeit (Compliance-Modus)
<a name="delete-vault-lock"></a>

Um Ihre Tresorsperre während der Kulanzzeit (die Zeit nach dem Sperren des Tresors, aber vor Ihrem`LockDate`) mithilfe der AWS Backup Konsole zu löschen,

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Klicken Sie in der linken Navigationsleiste unter **Mein Konto** auf „Backup-Tresore“ und dann auf „Backup-Tresorsperre“.

1. Klicken Sie auf Vault Lock, die Sie entfernen möchten, und dann auf **Tresorsperre verwalten**.

1. Klicken Sie auf **Tresorsperre löschen**.

1. Es erscheint ein Warnfeld, in dem Sie aufgefordert werden, Ihre Absicht, die Tresorsperre zu löschen, zu bestätigen. Geben Sie `confirm` in das Textfeld ein und klicken Sie dann auf **Bestätigen**.

Nachdem die Schritte erfolgreich abgeschlossen wurden, erscheint oben im Konsolenbildschirm ein Erfolgsbanner.

Verwenden Sie `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` wie in diesem CLI-Beispiel, um Ihre Tresorsperre während der Kulanzzeit mithilfe eines CLI-Befehls zu löschen:

```
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock
```

## AWS-Konto Schließung mit einem verschlossenen Tresor
<a name="close-account-with-locked-vault"></a>

Wenn Sie einen schließen AWS-Konto , der einen Backup-Tresor enthält, AWS und Ihr Konto für 90 Tage AWS Backup sperren, während Ihre Backups intakt sind. Wenn Sie Ihr Konto während dieser 90 Tage nicht erneut öffnen, wird der Inhalt Ihres Backup-Tresors AWS gelöscht, auch wenn AWS Backup Vault Lock aktiviert war.

## Zusätzliche Sicherheitsüberlegungen
<a name="using-vault-lock-with-backup"></a>

AWS Backup Vault Lock erweitert Ihren umfassenden Datenschutz um eine zusätzliche Sicherheitsebene. Vault Lock kann mit diesen weiteren Sicherheitsfunktionen kombiniert werden:
+ [ Verschlüsselung für Ihre Wiederherstellungspunkte](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup Zugriffsrichtlinien für Tresore und Wiederherstellungspunkte](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), mit denen Sie Berechtigungen auf Tresorebene gewähren oder verweigern können,
+ [AWS Backup bewährte Sicherheitsmethoden](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), einschließlich der Bibliothek mit vom [Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies), mit denen Sie dem AWS unterstützten Dienst Sicherungs- und Wiederherstellungsberechtigungen gewähren oder verweigern können, und
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), mit dem Sie Konformitätsprüfungen für Ihre Backups anhand [einer von Ihnen definierten Liste von Kontrollen](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) automatisieren können.

  Sie können für die Kontrolle von [Ressourcen befinden sich in einem Backup-Plan mit AWS Backup Vault Lock](controls-and-remediation.md#backup-vault-lock-control) mit AWS Backup Audit Manager [Frameworks mithilfe der AWS Backup API erstellen](creating-frameworks-api.md) durchgehen, um sicherzustellen, dass Ihre vorgesehenen Ressourcen durch eine Tresorsperre geschützt sind.
+ Mechanismen, die Ressourcen inaktiv machen, können sich auf die Fähigkeit auswirken, sie wiederherzustellen. Sie können in einem gesperrten Tresor zwar immer noch nicht gelöscht werden, sie können sich aber auch in einem anderen Status als aktiv befinden. Beispielsweise kann die Amazon Elastic Compute Cloud-Einstellung, mit der Sie [ein AMI deaktivieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) können, vorübergehend die Wiederherstellung von Backups von EC2-Instances blockieren. Dies wirkt sich auf alle EC2-Wiederherstellungspunkte aus, auch auf Backups, die von einer Tresorsperre oder einer gesetzlichen Sperre betroffen sind. 

  Wenn ein EC2-Backup deaktiviert ist, können Sie [ein deaktiviertes AMI erneut aktivieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami). Sobald es wieder aktiviert ist, kann es wiederhergestellt werden. Um die AMI-Deaktivierungsfunktion zu blockieren, können Sie IAM-Richtlinien verwenden, um sie nicht zuzulassen`ec2:DisableImage`.

**Anmerkung**  
AWS Backup Vault Lock ist nicht dieselbe Funktion wie [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html), das nur mit Amazon Glacier kompatibel ist.