Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción general de las bóvedas con huecos lógicos
AWS Backup ofrece un tipo de bóveda secundaria que puede almacenar copias de las copias de seguridad en un contenedor con funciones de seguridad adicionales. Una bóveda hermética es una bóveda especializada que proporciona una seguridad superior a la de una bóveda de backup estándar, además de la posibilidad de compartir el acceso a la bóveda con otras cuentas, de forma que los objetivos de tiempo de recuperación (RTOs) puedan ser más rápidos y flexibles en caso de que se produzca un incidente que requiera una rápida restauración de los recursos.
Un almacén aislado lógicamente viene equipado con características de protección adicionales: cada almacén está cifrado con una clave de AWS propia y cada almacén tiene un modo de cumplimiento de bloqueo de almacén AWS Backup.
Puede optar por integrarse con AWS Resource Access Manager(RAM) para compartir una bóveda aislada de forma lógica con otras AWS cuentas (incluidas las cuentas de otras organizaciones), de modo que las copias de seguridad almacenadas en la bóveda se puedan restaurar desde una cuenta con la que se comparte la bóveda, si es necesario para realizar pruebas de recuperación ante pérdidas de datos o de restauración. Como parte de esta seguridad adicional, un almacén cerrado de forma lógica almacena sus copias de seguridad en una cuenta propiedad del AWS Backup servicio (lo que hace que las copias de seguridad se muestren como compartidas fuera de la organización en los elementos de atributos de modificación de los AWS CloudTrail registros).
En la página de precios de AWS Backup
Consulte en Disponibilidad de características por recurso los tipos de recursos que puede copiar en un almacén aislado lógicamente.
Temas
Caso de uso para almacenes aislados lógicamente
Una almacén aislado lógicamente es un almacén secundario que sirve como parte de una estrategia de protección de datos. Este almacén puede ayudar a mejorar la estrategia de retención y la recuperación de su organización cuando quiera un almacén para sus copias de seguridad que
-
esté configurado automáticamente con un bloqueo de almacén en modo de cumplimiento;
-
Viene encriptado con una clave propia AWS
-
Contiene copias de seguridad que AWS RAM, mediante ellas, se pueden compartir y restaurar desde una cuenta diferente a la que creó la copia de seguridad
Consideraciones y limitaciones
-
La copia entre regiones en un almacén aislado lógicamente o desde este no está disponible actualmente para las copias de seguridad que contienen Amazon Aurora, Amazon DocumentDB y Amazon Neptune.
-
Una copia de seguridad que contenga uno o más volúmenes de Amazon EBS y que se copie en un almacén aislado lógicamente debe tener un tamaño inferior a 16 TB; no se admiten copias de seguridad para este tipo de recurso que sean de mayor tamaño.
-
EC2 Se permiten EC2 ofertas de Amazon AMIs. Si esta configuración está habilitada en tu cuenta, añade el alias
aws-backup-vaulta tu lista de permitidos.Si no se incluye este alias, las operaciones de copia de un almacén con espacios vacíos de forma lógica a un almacén de respaldo y las operaciones de restauración de EC2 instancias desde un almacén con espacios vacíos de forma lógica fallarán y aparecerá un mensaje de error como «La AMI de origen ami-xxxxxx no se encuentra en la región».
-
El ARN (nombre de recurso de Amazon) de un punto de recuperación almacenado en un almacén aislado lógicamente sustituirá al tipo de recurso subyacente por
backup. Por ejemplo, si el ARN original comienza porarn:aws:ec2:, entonces el ARN del punto de recuperación en el almacén aislado lógicamente seráregion::image/ami-*arn:aws:backup:.region:account-id:recovery-point:*Puede utilizar el comando CLI
list-recovery-points-by-backup-vaultpara determinar el ARN.
Comparación y contraste con un almacén de copias de seguridad estándar
Un almacén de copias de seguridad es el tipo de almacén principal y estándar que se utiliza en AWS Backup. Cada copia de seguridad se almacena en un almacén de copias de seguridad cuando se crea la copia de seguridad. Puede asignar políticas basadas en recursos para administrar las copias de seguridad almacenadas en el almacén, como el ciclo de vida de las copias de seguridad almacenadas.
Un almacén aislado lógicamente es un almacén especializado con seguridad adicional y uso compartido flexible para acelerar el tiempo de recuperación (RTO). Este almacén conserva copias de las copias de seguridad que se crearon inicialmente y se guardaron en un almacén de copias de seguridad estándar.
Las bóvedas de backup se cifran con una clave, un mecanismo de seguridad que limita el acceso a los usuarios previstos. Estas claves pueden gestionarse o AWS gestionarse por el cliente. Consulte Cifrado de copias para conocer el comportamiento de cifrado durante los trabajos de copia, incluida la copia en un almacén cerrado de forma lógica.
Además, un almacén de copias de seguridad tener más seguridad con un bloqueo de almacén; los almacenes aislados lógicamente vienen equipados con un bloqueo de almacén en modo de cumplimiento.
| Característica | Almacén de copias de seguridad | Tener un almacén aislado lógicamente |
|---|---|---|
| AWS Backup Audit Manager | Puede utilizar AWS Backup Audit Manager Controles y corrección para supervisar sus almacenes de backup. | Asegúrese de que se haya copiado una copia de seguridad de un recurso específico en al menos un almacén aislado lógicamente según un cronograma que usted determine, además de los controles disponibles en los almacenes estándar. |
Cuando se crea una copia de seguridad, se almacena como un punto de recuperación. |
Las copias de seguridad no se almacenan en este almacén al crearlas. |
|
Puede almacenar las copias de seguridad iniciales de los recursos y las copias de las copias de seguridad |
Puede almacenar copias de las copias de seguridad de otros almacenes |
|
Facturación |
Los cargos por almacenamiento y transferencia de datos de los recursos totalmente administrados por AWS Backup figuran en "AWS Backup". Los cargos de almacenamiento y transferencia de datos de otros tipos de recursos se aplicarán en sus respectivos servicios. Por ejemplo, las copias de seguridad de Amazon EBS se mostrarán en "Amazon EBS"; las copias de seguridad de Amazon S3 se mostrarán en "AWS Backup". |
Todos los cargos de facturación de estos almacenes (almacenamiento o transferencia de datos) se incluyen en "AWS Backup". |
Disponible en todas las regiones en las que opera AWS Backup |
Disponible en la mayoría de las regiones compatibles con AWS Backup. Actualmente no está disponible en Asia Pacífico (Malasia), Canadá oeste (Calgary), China (Pekín), China (Ningxia), (EE. UU. Este) AWS GovCloud o (EE. UU. Oeste). AWS GovCloud |
|
Puede almacenar copias de copias de seguridad para la mayoría de los tipos de recursos que admiten las copias entre cuentas. |
Consulte la columna de la bóveda con huecos lógicos Disponibilidad de características por recurso para ver los recursos que se pueden copiar a esta bóveda. |
|
Las copias de seguridad se pueden restaurar por medio de la misma cuenta a la que pertenece el almacén. |
Las copias de seguridad se pueden restaurar con una cuenta distinta de la que es propietaria del almacén si el almacén se comparte con esa cuenta independiente. |
|
|
Opcionalmente, se puede cifrar con una clave (administrada por AWS o por el cliente) Puede utilizar opcionalmente un bloqueo de almacén en modo de cumplimiento o gobernanza |
Está cifrado con una clave de AWS propia Siempre se bloquea con un bloqueo de almacén en modo de cumplimiento |
|
|
El acceso se puede administrar mediante políticas y AWS Organizations No es compatible con AWS RAM |
Opcionalmente, se puede compartir entre cuentas mediante AWS RAM |
Crear un almacén aislado lógicamente
Puede crear una bóveda aislada de forma lógica a través de la AWS Backup consola o mediante una combinación de AWS Backup comandos CLI AWS RAM .
Cada almacén aislado lógicamente viene equipado con un bloqueo de almacén en modo de cumplimiento. Consulte AWS Backup Vault Lock para determinar los valores del período de retención más adecuados para su operación
Creación de un almacén aislado lógicamente desde la consola
Abra la AWS Backup consola en /backup. https://console.aws.amazon.com
-
En el panel de navegación, seleccione Almacenes.
-
Se mostrarán ambos tipos de almacén. Seleccione Crear nuevo almacén.
-
Escriba un nombre para su almacén de copias de seguridad. Puede asignar un nombre a su almacén para reflejar lo que almacenará en él o para facilitar la búsqueda de las copias de seguridad que necesite. Por ejemplo, podría denominarlo
FinancialBackups. -
Seleccione el botón de opción de Almacén aislado lógicamente.
-
Establezca el Periodo de retención mínimo.
Este valor (en días, meses o años) es el tiempo mínimo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención inferiores a este valor no se podrán copiar a este almacén.
El valor mínimo permitido es
7días. Los valores de meses y años cumplen con este mínimo. -
Establezca el Periodo de retención máximo.
Este valor (en días, meses o años) es el tiempo máximo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención superiores a este valor no se podrán copiar a este almacén.
-
(Opcional) Agregue etiquetas que le ayuden a buscar e identificar su almacén aislado lógicamente. Por ejemplo, podría añadir una etiqueta
BackupType:Financial. -
Seleccione Crear almacén.
-
Revise la configuración. Si todos los ajustes se muestran como esperaba, seleccione Crear almacén aislado lógicamente.
-
La consola le llevará a la página de detalles del nuevo almacén. Compruebe que los detalles del almacén son los esperados.
-
Seleccione Almacenes para ver los almacenes de su cuenta. Aparecerá su almacén aislado lógicamente. La clave de KMS estará disponible aproximadamente entre 1 y 3 minutos después de la creación del almacén. Actualice la página para ver la clave asociada. Una vez que la clave esté visible, el almacén estará disponible y se podrá utilizar.
Visualización de los detalles del almacén aislado lógicamente
Puede ver los detalles del almacén, como el resumen, los puntos de recuperación, los recursos protegidos, el uso compartido de cuentas, la política de acceso y las etiquetas, a través de la AWS Backup consola o la AWS Backup CLI.
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación izquierdo, seleccione Almacenes.
-
Debajo de las descripciones de los almacenes hay dos listas: Almacenes propiedad de esta cuenta y Almacenes compartidos con esta cuenta. Seleccione la pestaña que desee para ver los almacenes.
-
En Nombre del almacén , haga clic en el nombre del almacén para abrir la página de detalles. Puede ver el resumen, los puntos de recuperación, los recursos protegidos, las cuentas compartidas, la política de acceso y los detalles de las etiquetas.
Los detalles mostrados dependen del tipo de cuenta: las cuentas que poseen un almacén pueden ver las cuentas compartidas; las cuentas que no poseen un almacén no podrán ver las cuentas compartidas.
Copiar en un almacén aislado lógicamente
Los almacenes aislados lógicamente solo pueden ser el destino de un trabajo de copia en un plan de copia de seguridad o el destino de un trabajo de copia bajo demanda.
Cifrado compatible
Para completar un trabajo de copia correctamente desde un almacén de copias de seguridad a un almacén aislado lógicamente, es necesaria una clave de cifrado determinada por el tipo de recurso que se va a copiar.
Al copiar una copia de seguridad de un tipo de recurso totalmente gestionado, la copia de seguridad de origen que se encuentra en la bóveda de copias de seguridad estándar se puede cifrar mediante una clave gestionada por el cliente o mediante una clave AWS gestionada.
Al copiar una copia de seguridad de otros tipos de recursos (aquellos que no estén totalmente gestionados), tanto la copia de seguridad como el recurso del que se hizo la copia de seguridad deben estar cifrados con una clave gestionada por el cliente. AWS Las claves administradas para los tipos de recursos no se admiten en las copias.
Copia a un almacén aislado lógicamente mediante un plan de copia de seguridad
Puede copiar una copia de seguridad (punto de recuperación) de una bóveda de copias de seguridad estándar a una bóveda aislada de forma lógica creando un nuevo plan de copia de seguridad o actualizando uno existente en la AWS Backup
consola o mediante los AWS CLI comandos y. create-backup-planupdate-backup-plan
Puede copiar bajo demanda una copia de seguridad de un almacén aislado lógicamente a otro (este tipo de copia de seguridad no se puede programar en un plan de copias de seguridad). Puede copiar una copia de seguridad de un almacén aislado lógicamente a un almacén de copias de seguridad estándar siempre que la copia esté cifrada con una clave administrada por el cliente.
Copia de seguridad bajo demanda a un almacén aislado lógicamente
Para crear una copia única y bajo demanda de una copia de seguridad en un almacén aislado lógicamente, puede copiarla desde un almacén de copias de seguridad estándar. Las copias entre regiones o entre cuentas están disponibles si el tipo de recurso es compatible con el tipo de copia.
Disponibilidad de copias
Se puede crear una copia de seguridad desde la cuenta a la que pertenece el almacén. Las cuentas con las que se ha compartido el almacén tienen la capacidad de ver o restaurar una copia de seguridad, pero no de crear una copia.
Solo se pueden incluir los tipos de recursos que admitan la copia entre regiones o entre cuentas.
Abra la AWS Backup consola en /backup. https://console.aws.amazon.com
-
En el panel de navegación izquierdo, seleccione Almacenes.
-
En la página de detalles del almacén, se muestran todos los puntos de recuperación del almacén. Coloque una marca de verificación junto al punto de recuperación que desee copiar.
-
Seleccione Acciones y Editar en el menú desplegable.
-
En la siguiente pantalla, introduzca los detalles del destino.
-
Especifique la región de destino.
-
El menú desplegable del almacén de copias de seguridad de destino muestra los almacenes de destino elegibles. Seleccione uno con el tipo
logically air-gapped vault
-
-
Seleccione Copiar una vez que todos los detalles estén configurados según sus preferencias.
En la página Trabajos de la consola, puede seleccionar Trabajos de copia para ver los trabajos de copia actuales.
Para obtener más información, consulte Copia de una copia de seguridad, Copia de seguridad entre regiones y Copia de seguridad entre cuentas.
Compartir un almacén aislado lógicamente
Puede usar AWS Resource Access Manager (RAM) para compartir una bóveda aislada de forma lógica con otras cuentas que designe.
Un almacén se puede compartir con una cuenta de su organización o con una cuenta de otra organización. El almacén no se puede compartir con toda la organización, solo con las cuentas de la organización.
Solo las cuentas con privilegios de IAM específicos pueden compartir y gestionar el uso compartido de almacenes.
Para compartir el uso AWS RAM, asegúrate de tener lo siguiente:
-
Dos o más cuentas a las que puedan acceder AWS Backup
-
Una cuenta propietaria de almacenes que quiera compartir tiene los permisos de RAM necesarios. El permiso
ram:CreateResourceSharees necesario para realizar este procedimiento. La políticaAWSResourceAccessManagerFullAccesscontiene todos los permisos relacionados con RAM necesarios:-
backup:DescribeBackupVault -
backup:DescribeRecoveryPoint -
backup:GetRecoveryPointRestoreMetadata -
backup:ListProtectedResourcesByBackupVault -
backup:ListRecoveryPointsByBackupVault -
backup:ListTags -
backup:StartRestoreJob
-
-
Al menos un almacén aislado lógicamente
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación izquierdo, seleccione Almacenes.
-
Debajo de las descripciones de los almacenes hay dos listas: Almacenes propiedad de esta cuenta y Almacenes compartidos con esta cuenta. Los almacenes propiedad de la cuenta son aptos para compartirse.
-
En Nombre del almacén , seleccione el nombre del almacén aislado lógicamente para abrir la página de detalles.
-
El panel de Uso compartido de cuentas muestra con qué cuentas se comparte el almacén.
-
Para empezar a compartir con otra cuenta o editar las cuentas que ya se comparten, seleccione Administrar el uso compartido.
-
La AWS RAM consola se abre cuando se selecciona Administrar el uso compartido. Para ver los pasos para compartir un recurso mediante la AWS RAM, consulte Crear un recurso compartido en la AWS RAM en la Guía del usuario de AWS RAM.
-
La cuenta invitada a aceptar una invitación para recibir un recurso compartido tiene 12 horas para aceptarla. Consulte Accepting and rejecting resource share invitations en la Guía del usuario de AWS RAM.
-
Si ha completado y aceptado los pasos para compartir, la página de resumen del almacén aparecerá en la sección Uso compartido de cuentas = “Compartido; consulte la tabla de cuentas compartidas que aparece a continuación”.
Restauración de una copia de seguridad desde un almacén aislado lógicamente
Puede restaurar una copia de seguridad almacenada en un almacén aislado lógicamente desde la cuenta propietaria del almacén o desde cualquier cuenta con la que se comparta el almacén.
Consulte Restauración de una copia de seguridad para obtener información sobre cómo restaurar un punto de recuperación mediante la consola AWS Backup .
Una vez que se haya compartido una copia de seguridad desde un almacén aislado lógicamente con su cuenta, podrá utilizar start-restore-job
Un ejemplo de entrada de la CLI puede incluir el comando y los parámetros siguientes:
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1importante
Amazon EC2 restaura el cifrado
Los puntos de recuperación EC2 AMIs almacenados en una bóveda con huecos lógicos que decida incluir en un trabajo de restauración se restauran con sus instantáneas de EBS. Estas instantáneas se restauran en volúmenes que se cifran automáticamente con la clave gestionada por Amazon vinculada a la cuenta que ejecuta el trabajo de restauración.
Esto difiere de las copias de seguridad EC2 AMIs almacenadas en bóvedas de copias de seguridad estándar, donde los usuarios pueden restaurar AMIs mediante la EC2 consola o la CLI y pueden especificar sus propias claves KMS para el cifrado de volúmenes para un trabajo de restauración.
Eliminar un almacén aislado lógicamente
Consulte eliminar un almacén. Los almacenes no se pueden eliminar si aún contienen copias de seguridad (puntos de recuperación). Asegúrese de que el almacén esté vacío antes de iniciar una operación de eliminación.
Al eliminar un almacén, también se elimina la clave asociada al almacén siete días después de su eliminación, de acuerdo con la política de eliminación de claves.
El siguiente comando de la CLI de ejemplo, delete-backup-vault
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name testvaultnameOpciones de programación adicionales para almacenes aislados lógicamente
El comando de la CLI list-backup-vaults se puede modificar para enumerar todos los almacenes que pertenecen a la cuenta y están presentes en ella:
aws backup list-backup-vaults
--region us-east-1Para enumerar solo los almacenes aislados lógicamente, agregue el parámetro
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
Incluya el parámetro by-shared para filtrar la lista de almacenes devuelta para mostrar solo los almacenes aislados lógicamente compartidos.
aws backup list-backup-vaults
--region us-east-1
--by-sharedSolución de un problema de almacén aislado lógicamente
Si encuentra errores durante su flujo de trabajo, consulte los siguientes ejemplos de errores y soluciones sugeridas:
AccessDeniedException
Error: An error occured (AccessDeniedException) when calling
the [command] operation: Insufficient privileges to perform this action."
Causa posible: el parámetro --backup-vault-account-id no se incluyó cuando se ejecutó una de las siguientes solicitudes en un almacén compartido por la RAM:
describe-backup-vaultdescribe-recovery-pointget-recovery-point-restore-metadatalist-protected-resources-by-backup-vaultlist-recovery-points-by-backup-vault
Solución: vuelva a probar el comando que devolvió el error, pero incluya el parámetro --backup-vault-account-id que especifica la cuenta propietaria del almacén.
OperationNotPermittedException
Error: OperationNotPermittedException se devuelve tras una llamada de CreateResourceShare.
Causa posible: si ha intentado compartir un recurso, como un almacén aislado lógicamente, con otra organización, es posible que reciba esta excepción. Un almacén se puede compartir con una cuenta de otra organización, pero no se puede compartir con la otra organización en sí.
Solución: vuelva a probar la operación, pero especifique una cuenta como valor principals en lugar de una organización o unidad organizativa.
