Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción general de las bóvedas con huecos de aire lógicos
AWS Backup ofrece un tipo de bóveda secundaria que puede almacenar copias de las copias de seguridad en un contenedor con funciones de seguridad adicionales. Una bóveda hermética es una bóveda especializada que ofrece una seguridad superior a la de una bóveda de backup estándar, además de la posibilidad de compartir el acceso a la bóveda con otras cuentas, de forma que los objetivos de tiempo de recuperación (RTOs) puedan ser más rápidos y flexibles en caso de que se produzca un incidente que requiera una rápida restauración de los recursos.
Lógicamente, las bóvedas herméticas vienen equipadas con funciones de protección adicionales; cada bóveda está cifrada con una AWS clave propia y cada bóveda está equipada con el modo de cumplimiento de Vault Lock.AWS Backup
Consulte los tipos Disponibilidad de características por recurso de recursos que puede copiar a una bóveda aislada de forma lógica.
Temas
- Caso de uso para bóvedas con huecos de aire lógicos
- Comparación y contraste con un almacén de copias de seguridad estándar
- Crea una bóveda con huecos de aire lógicos
- Vea los detalles de la bóveda con huecos lógicos
- Copie a una bóveda con huecos lógicos
- Comparte una bóveda con huecos de aire lógicos
- Restaure una copia de seguridad desde una bóveda cerrada lógicamente
- Elimine una bóveda con huecos lógicos
- Opciones programáticas adicionales para bóvedas con huecos lógicos
- Solucione un problema de bóveda con huecos vacíos de forma lógica
Caso de uso para bóvedas con huecos de aire lógicos
Una almacén aislado lógicamente es un almacén secundario que sirve como parte de una estrategia de protección de datos. Este almacén puede ayudar a mejorar la estrategia de retención y la recuperación de su organización cuando desee un almacén para sus copias de seguridad que
-
Se configura automáticamente con un bloqueo de bóveda en modo de conformidad
-
Viene cifrado con una AWS clave propia
-
Contiene copias de seguridad que AWS RAM, mediante ellas, se pueden compartir y restaurar desde una cuenta diferente a la que creó la copia de seguridad
Consideraciones y limitaciones
-
La copia entre regiones hacia o desde un almacén con huecos lógicos no está disponible actualmente para las copias de seguridad que contienen Amazon Aurora, Amazon DocumentDB y Amazon Neptune.
-
Una copia de seguridad que contenga uno o más EBS volúmenes de Amazon y que se copie en una bóveda aislada de forma lógica debe tener un tamaño inferior a 16 TB; no se admiten copias de seguridad para este tipo de recurso que tengan un tamaño mayor.
-
El ARN (nombre del recurso de Amazon) de un punto de recuperación almacenado en una bóveda con huecos lógicos sustituirá al
backup
tipo de recurso subyacente. Por ejemplo, si el original ARN comienza porarn:aws:ec2:
, entonces será el punto ARN de recuperación de la bóveda con huecos de aire lógicos.region
::image/ami-*arn:aws:backup:
region
:account-id
:recovery-point:*Puede usar el CLI comando
list-recovery-points-by-backup-vault
para determinar el. ARN
Comparación y contraste con un almacén de copias de seguridad estándar
Un almacén de copias de seguridad es el tipo de almacén principal y estándar que se utiliza en AWS Backup. Cada copia de seguridad se almacena en un almacén de copias de seguridad cuando se crea la copia de seguridad. Puede asignar políticas basadas en recursos para administrar las copias de seguridad almacenadas en el almacén, como el ciclo de vida de las copias de seguridad almacenadas.
Una bóveda con huecos lógicos es una bóveda especializada con seguridad adicional y un uso compartido flexible para acelerar el tiempo de recuperación (). RTO Este almacén conserva copias de las copias de seguridad que se crearon inicialmente y se guardaron en un almacén de copias de seguridad estándar.
Los almacenes de copias de seguridad se pueden cifrar con una clave, un mecanismo de seguridad que limita el acceso a los usuarios previstos. Estas claves pueden gestionarse o gestionarse por el cliente. AWS Además, una bóveda de respaldo puede tener seguridad adicional a través de una cerradura de bóveda; lógicamente, las bóvedas con huecos de aire vienen equipadas con una cerradura de bóveda en modo de conformidad.
En el caso de los tipos de recursos gestionados en su totalidad AWS Backup, no se puede copiar una copia de seguridad en un almacén cerrado de forma lógica si la AWS KMS clave no se ha cambiado manualmente o se ha configurado como clave en el momento en que se creó el recurso KMS inicial.
Característica | Almacén de copias de seguridad | Bóveda con huecos lógicos |
---|---|---|
AWS Backup Audit Manager | Puede utilizar AWS Backup Audit Manager Controles y corrección para supervisar sus almacenes de backup. | Asegúrese de que se haya copiado una copia de seguridad de un recurso específico en al menos un almacén con huecos lógicos según un cronograma que usted determine, además de los controles disponibles en los almacenes estándar. |
Cuando se crea una copia de seguridad, se almacena como punto de recuperación. |
Las copias de seguridad no se almacenan en este almacén al crearlas. |
|
Puede almacenar las copias de seguridad iniciales de los recursos y las copias de las copias de seguridad |
Puede almacenar copias de las copias de seguridad de otros almacenes |
|
Facturación |
Los cargos por almacenamiento y transferencia de datos de los recursos gestionados en su totalidad AWS Backup por él figuran en "AWS Backup». Los cargos de almacenamiento y transferencia de datos de otros tipos de recursos se aplicarán en sus respectivos servicios. Por ejemplo, las EBS copias de seguridad de Amazon se mostrarán en EBS «Amazon»; las copias de seguridad de Amazon S3 se mostrarán en "AWS Backup». |
Todos los cargos de facturación de estos almacenes (almacenamiento o transferencia de datos) se incluyen en "AWS Backup». |
Disponible en todas las regiones en las que opera AWS Backup |
Disponible en la mayoría de las regiones compatibles con AWS Backup. Actualmente no está disponible en Asia Pacífico (Malasia), Canadá oeste (Calgary), China (Pekín), China (Ningxia), (EE. UU. Este) ni AWS GovCloud AWS GovCloud (EE. UU. Oeste). |
|
Puede almacenar copias de seguridad para la mayoría de los tipos de recursos que admiten la copia multicuenta. |
Amazon RDS y las FSx copias de seguridad de Amazon no se pueden almacenar actualmente en estos almacenes. |
|
Las copias de seguridad se pueden restaurar con la misma cuenta a la que pertenece la bóveda. |
Las copias de seguridad se pueden restaurar con una cuenta diferente a la que pertenece la bóveda si la bóveda se comparte con esa cuenta independiente. |
|
Opcionalmente, se puede cifrar con una clave (administrada por AWS o por el cliente) Opcionalmente, se puede utilizar un bloqueo de almacén en modo de cumplimiento o gobierno |
Está cifrado con una AWS clave propia Siempre se bloquea con un bloqueo de almacén en modo de cumplimiento |
|
El acceso se puede administrar mediante políticas y AWS Organizations No es compatible con AWS RAM |
Opcionalmente, se puede compartir entre cuentas mediante AWS RAM |
Crea una bóveda con huecos de aire lógicos
Puede crear una bóveda con huecos de forma lógica mediante la AWS Backup consola o mediante una combinación de comandos y. AWS Backup AWS RAM CLI
Cada una de las bóvedas, con huecos lógicos, viene equipada con una cerradura de bóveda en modo de conformidad. Consulte AWS Backup Bloqueo de bóveda para ayudar a determinar los valores del período de retención más adecuados para su operación
Creación de un almacén aislado lógicamente desde la consola
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación, seleccione Almacenes.
-
Se mostrarán ambos tipos de almacén. Seleccione Crear nuevo almacén.
-
Escriba un nombre para su almacén de copias de seguridad. Puede asignar un nombre a su almacén para reflejar lo que almacenará en él o para facilitar la búsqueda de las copias de seguridad que necesite. Por ejemplo, podría denominarlo
FinancialBackups
. -
Seleccione el botón de radio para acceder a la bóveda con huecos lógicos.
-
Establezca el Periodo de retención mínimo.
Este valor (en días, meses o años) es el tiempo mínimo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención inferiores a este valor no se podrán copiar a este almacén.
El valor mínimo permitido son días.
7
Los valores de meses y años cumplen con este mínimo. -
Establezca el Periodo de retención máximo.
Este valor (en días, meses o años) es el tiempo máximo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención superiores a este valor no se podrán copiar a este almacén.
-
(Opcional) Agregue etiquetas que le ayuden a buscar e identificar su almacén aislado lógicamente. Por ejemplo, podría añadir una etiqueta
BackupType:Financial
. -
Seleccione Crear almacén.
-
Revise la configuración. Si todos los ajustes se muestran como esperaba, seleccione Crear almacén aislado lógicamente.
-
La consola le llevará a la página de detalles del nuevo almacén. Compruebe que los detalles del almacén son los esperados.
-
Selecciona Bóvedas para ver las bóvedas de tu cuenta. Aparecerá tu bóveda con huecos lógicos. La KMS clave estará disponible aproximadamente entre 1 y 3 minutos después de la creación de la bóveda. Actualice la página para ver la clave asociada. Una vez que la clave esté visible, el almacén estará disponible y se podrá utilizar.
Vea los detalles de la bóveda con huecos lógicos
Puede ver los detalles del almacén, como el resumen, los puntos de recuperación, los recursos protegidos, las cuentas compartidas, la política de acceso y las etiquetas, a través de la AWS Backup consola o el. AWS Backup CLI
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación izquierdo, seleccione Almacenes.
-
Debajo de las descripciones de los almacenes hay dos listas: Almacenes propiedad de esta cuenta y Almacenes compartidos con esta cuenta. Seleccione la pestaña que desee para ver los almacenes.
-
En Nombre del almacén , haga clic en el nombre del almacén para abrir la página de detalles. Puede ver el resumen, los puntos de recuperación, los recursos protegidos, las cuentas compartidas, la política de acceso y los detalles de las etiquetas.
Los detalles se muestran en función del tipo de cuenta: las cuentas que poseen una bóveda pueden ver las cuentas compartidas; las cuentas que no poseen una bóveda no podrán ver las cuentas compartidas.
Copie a una bóveda con huecos lógicos
Los almacenes aislados lógicamente solo pueden ser el destino de un trabajo de copia en un plan de copia de seguridad o el destino de un trabajo de copia bajo demanda.
Cifrado compatible
Un trabajo de copia correcto de una bóveda de respaldo a una bóveda aislada de forma lógica requiere una clave de cifrado que viene determinada por el tipo de recurso que se está copiando.
Al copiar una copia de seguridad de un tipo de recurso totalmente gestionado, la copia de seguridad de origen del almacén de copias de seguridad estándar se puede cifrar mediante una clave gestionada por el cliente o mediante una AWS clave gestionada.
Al copiar una copia de seguridad de otros tipos de recursos (aquellos que no estén totalmente gestionados), tanto la copia de seguridad como el recurso del que se hizo la copia de seguridad deben estar cifrados con una clave gestionada por el cliente. AWS Las claves administradas para los tipos de recursos no se admiten en las copias.
Cópielas a una bóveda aislada de forma lógica mediante un plan de copias de seguridad
Puede copiar una copia de seguridad (punto de recuperación) de una bóveda de copias de seguridad estándar a una bóveda vacía de forma lógica creando un nuevo plan de copia de seguridad o actualizando uno existente en la AWS Backup
consola o mediante los comandos y. AWS CLI create-backup-plan
update-backup-plan
Puede copiar bajo demanda una copia de seguridad de una bóveda aislada de forma lógica a otra bóveda aislada de forma lógica (este tipo de copia de seguridad no se puede programar en un plan de copias de seguridad). Puede copiar una copia de seguridad de una bóveda estancada de forma lógica a una bóveda de copias de seguridad estándar siempre que la copia esté cifrada con una clave gestionada por el cliente.
Copia de seguridad bajo demanda a una bóveda aislada de forma lógica
Para crear una copia única y bajo demanda de una copia de seguridad en una bóveda aislada de forma lógica, puede copiarla desde una bóveda de copias de seguridad estándar. Las copias entre regiones o entre cuentas están disponibles si el tipo de recurso es compatible con el tipo de copia.
Disponibilidad de copias
Se puede crear una copia de seguridad desde la cuenta a la que pertenece el almacén. Las cuentas con las que se ha compartido el almacén pueden ver o restaurar una copia de seguridad, pero no pueden crear una copia.
Solo se pueden incluir los tipos de recursos que admitan la copia entre regiones o entre cuentas.
Abra la AWS Backup consola en /backup. https://console.aws.amazon.com
-
En el panel de navegación izquierdo, seleccione Almacenes.
-
En la página de detalles del almacén, se muestran todos los puntos de recuperación del almacén. Coloque una marca de verificación junto al punto de recuperación que desee copiar.
-
Seleccione Acciones y Editar en el menú desplegable.
-
En la siguiente pantalla, introduzca los detalles del destino.
-
Especifique la región de destino.
-
El menú desplegable del almacén de copias de seguridad de destino muestra los almacenes de destino elegibles. Seleccione uno con el tipo
logically air-gapped vault
-
-
Seleccione Copiar una vez que todos los detalles estén configurados según sus preferencias.
En la página Trabajos de la consola, puede seleccionar Trabajos de copia para ver los trabajos de copia actuales.
Para obtener más información, consulte Copia de una copia de seguridad, Copia de seguridad entre regiones y Copia de seguridad entre cuentas.
Comparte una bóveda con huecos de aire lógicos
Puedes usar AWS Resource Access Manager (RAM) para compartir una bóveda vacía de forma lógica con otras cuentas que designes.
Una bóveda se puede compartir con una cuenta de su organización o con una cuenta de otra organización. El almacén no se puede compartir con toda la organización, solo con las cuentas de la organización.
Solo las cuentas con IAM privilegios específicos pueden compartir y administrar el uso compartido de cuentas.
Para compartir el uso AWS RAM, asegúrate de tener lo siguiente:
-
Dos o más cuentas a las que puedan acceder AWS Backup
-
La cuenta propietaria de Vault que pretenda compartir tiene los permisos necesarios. RAM El permiso
ram:CreateResourceShare
es necesario para realizar este procedimiento. La políticaAWSResourceAccessManagerFullAccess
contiene todos los permisos relacionados necesarios: RAM-
backup:DescribeBackupVault
-
backup:DescribeRecoveryPoint
-
backup:GetRecoveryPointRestoreMetadata
-
backup:ListProtectedResourcesByBackupVault
-
backup:ListRecoveryPointsByBackupVault
-
backup:ListTags
-
backup:StartRestoreJob
-
-
Al menos un almacén aislado lógicamente
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación izquierdo, seleccione Almacenes.
-
Debajo de las descripciones de los almacenes hay dos listas: Almacenes propiedad de esta cuenta y Almacenes compartidos con esta cuenta. Las bóvedas propiedad de la cuenta pueden compartirse.
-
En Nombre del almacén , seleccione el nombre del almacén aislado lógicamente para abrir la página de detalles.
-
El panel de uso compartido de cuentas muestra con qué cuentas se comparte la bóveda.
-
Para empezar a compartir con otra cuenta o editar las cuentas que ya se comparten, seleccione Administrar el uso compartido.
-
La AWS RAM consola se abre cuando se selecciona Administrar el uso compartido. Para ver los pasos a seguir para compartir un recurso mediante él AWS RAM, consulte Crear un recurso compartido AWS RAM en la Guía del AWS RAM usuario.
-
La cuenta invitada a aceptar una invitación para recibir un recurso compartido tiene 12 horas para aceptarla. Consulte Aceptar y rechazar invitaciones para compartir recursos en la Guía del AWS RAM usuario.
-
Si ha completado y aceptado los pasos para compartir, la página de resumen del almacén aparecerá en la sección Uso compartido de cuentas = “Compartido; consulte la tabla de cuentas compartidas que aparece a continuación”.
Restaure una copia de seguridad desde una bóveda cerrada lógicamente
Puede restaurar una copia de seguridad almacenada en una bóveda aislada de forma lógica desde la cuenta propietaria de la bóveda o desde cualquier cuenta con la que se comparta la bóveda.
Consulte Restauración de una copia de seguridad para obtener información sobre cómo restaurar un punto de recuperación a través de la consola. AWS Backup
Una vez que la copia de seguridad se haya compartido en tu cuenta desde un almacén cerrado de forma lógica, podrás start-restore-job
Un ejemplo de CLI entrada puede incluir los siguientes comandos y parámetros:
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
Elimine una bóveda con huecos lógicos
Consulte Eliminación de un almacén de copias de seguridad para eliminar un almacén. Los almacenes no se pueden eliminar si aún contienen copias de seguridad (puntos de recuperación). Asegúrese de que el almacén esté vacío antes de iniciar una operación de eliminación.
Al eliminar un depósito, también se elimina la clave asociada al depósito siete días después de su eliminación, de acuerdo con la política de eliminación de claves.
El siguiente CLI comando de ejemplo se delete-backup-vault
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name testvaultname
Opciones programáticas adicionales para bóvedas con huecos lógicos
El CLI comando se list-backup-vaults
puede modificar para que muestre todos los almacenes que pertenecen a la cuenta y están presentes en ella:
aws backup list-backup-vaults
--region us-east-1
Para enumerar solo los almacenes aislados lógicamente, agregue el parámetro
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
Incluya el parámetro by-shared
para filtrar la lista de bóvedas devuelta y mostrar solo las bóvedas compartidas con huecos lógicos.
aws backup list-backup-vaults
--region us-east-1
--by-shared
Solucione un problema de bóveda con huecos vacíos de forma lógica
Si encuentra errores durante su flujo de trabajo, consulte los siguientes ejemplos de errores y soluciones sugeridas:
AccessDeniedException
Error: An error occured (AccessDeniedException) when calling
the [command] operation: Insufficient privileges to perform this action."
Causa posible: el parámetro no --backup-vault-account-id
se incluyó cuando una de las siguientes solicitudes se ejecutó en un almacén compartido porRAM:
describe-backup-vault
describe-recovery-point
get-recovery-point-restore-metadata
list-protected-resources-by-backup-vault
list-recovery-points-by-backup-vault
Solución: vuelva a intentar el comando que devolvió el error, pero incluya el parámetro --backup-vault-account-id
que especifica la cuenta propietaria del almacén.
OperationNotPermittedException
Error: OperationNotPermittedException
se devuelve tras una CreateResourceShare
llamada.
Causa posible: si has intentado compartir un recurso, como una bóveda cerrada de forma lógica, con otra organización, es posible que recibas esta excepción. Un almacén se puede compartir con una cuenta de otra organización, pero no se puede compartir con la otra organización en sí.
Solución: vuelva a intentar la operación, pero especifique una cuenta como valor principals
en lugar de una organización o unidad organizativa.