Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Almacenes de copias de seguridad
<a name="vaults"></a>

En AWS Backup, una *bóveda de copias* de seguridad es un contenedor que almacena y organiza las copias de seguridad.

Al crear un almacén de copias de seguridad, debe especificar la clave de cifrado AWS Key Management Service (AWS KMS) que cifra algunas de las copias de seguridad almacenadas en este almacén. El cifrado de otras copias de seguridad lo administran sus AWS servicios de origen. Para obtener más información acerca del cifrado de copias de seguridad, consulte el gráfico [Cifrado para copias de seguridad en AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).

En estas secciones se proporciona información general sobre cómo administrar los almacenes de copia de seguridad en AWS Backup.

**Topics**
+ [Creación y eliminación de almacenes de copias de seguridad](create-a-vault.md)
+ [Tener un almacén aislado lógicamente](logicallyairgappedvault.md)
+ [Políticas de acceso a almacenes](create-a-vault-access-policy.md)
+ [AWS Backup Vault Lock](vault-lock.md)

# Creación y eliminación de almacenes de copias de seguridad
<a name="create-a-vault"></a>

Debe crear al menos un almacén antes de crear un plan de copia de seguridad o iniciar un trabajo de copia de seguridad.

Cuando utiliza por primera vez la página **Backup Vaults** de la AWS Backup consola de una Región de AWS, la consola crea automáticamente un almacén predeterminado para la región.

Sin embargo, si utiliza AWS Backup el AWS SDK o CloudFormation el AWS CLI almacén predeterminado, no se crea un almacén predeterminado. Debe crear su propio almacén.

## Permisos necesarios
<a name="creating-a-vault-permissions"></a>

Debe disponer de los siguientes permisos para crear un almacén de copias de seguridad mediante AWS Backup.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowKMSOperations",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "AllowCreateBackupVault",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
    },
    {
      "Sid": "AllowMountCapsule",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Creación de un almacén de copias de seguridad (consola)
<a name="creating-a-vault-console"></a>

En lugar de utilizar el almacén de copias de seguridad predeterminado que se crea automáticamente en la consola de AWS Backup , puede crear almacenes de copia de seguridad específicos para guardar y organizar grupos de copias de seguridad en el mismo almacén.

**Cómo crear un almacén de copias de seguridad**

1. En la AWS Backup consola, en el panel de navegación, seleccione **Backup Vaults**.
**nota**  
Si el panel de navegación no está visible en el lado izquierdo, puede abrirlo seleccionando el icono de menú situado en la esquina superior izquierda de la consola. AWS Backup 

1. Seleccione **Create backup vault (Crear almacén de copias de seguridad)**.

1. Escriba un nombre para su almacén de copias de seguridad. Puede asignar un nombre a su almacén para reflejar lo que almacenará en él o para facilitar la búsqueda de las copias de seguridad que necesite. Por ejemplo, podría denominarlo **FinancialBackups**.

1. Seleccione una tecla AWS Key Management Service (AWS KMS). Puede usar una clave que ya haya creado o seleccionar la clave AWS Backup KMS predeterminada.
**nota**  
La AWS KMS clave que se especifica aquí solo se aplica a las copias de seguridad de los servicios que admiten el cifrado AWS Backup independiente. Para ver la lista de tipos de recursos que admiten el cifrado AWS Backup independiente, consulte la sección «Administración total» de la [Disponibilidad de características por recurso](backup-feature-availability.md#features-by-resource) tabla.

1. Opcionalmente, añada etiquetas que le ayudarán a buscar e identificar el almacén de copias de seguridad. Por ejemplo, podría añadir una etiqueta **BackupType:Financial**.

1. Seleccione **Create Backup vault** (Crear almacén de copias de seguridad).

1. En el panel de navegación, elija **Backup vaults (Almacenes de copias de seguridad)** y verifique que se ha añadido el almacén de copias de seguridad.

**nota**  
Ahora puede editar una regla de uno de los planes para que las copias de seguridad creadas por esa regla se guarden en el almacén que acaba de crear.

## Creación de un almacén de copias de seguridad (mediante programación)
<a name="creating-a-vault-cli"></a>

El siguiente AWS Command Line Interface comando crea una bóveda de respaldo:

```
aws backup create-backup-vault --backup-vault-name test-vault
```

También puede especificar las siguientes configuraciones para un almacén de copias de seguridad.

## Nombre del almacén de copias de seguridad
<a name="vault-name"></a>

Los nombres de los almacenes de copia de seguridad distinguen entre mayúsculas y minúsculas. Deben tener de 2 a 50 caracteres alfanuméricos, guiones o guiones bajos.

## AWS KMS clave de cifrado
<a name="kms-key"></a>

La clave AWS KMS de cifrado protege sus copias de seguridad en esta bóveda de copias de seguridad. De forma predeterminada, AWS Backup crea una clave de KMS con el alias `aws/backup` automáticamente. Puede elegir esa clave o cualquier otra clave de su cuenta (las claves de KMS entre cuentas se pueden usar mediante la CLI).

Puede crear una nueva clave de cifrado siguiendo el procedimiento [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) de la *Guía para desarrolladores de AWS Key Management Service *.

Después de crear una bóveda de respaldo y configurar la clave de AWS KMS cifrado, ya no podrá editar la clave de esa bóveda de respaldo.

La clave de cifrado que se especifica en un AWS Backup almacén se aplica a las copias de seguridad de determinados tipos de recursos. Para obtener más información acerca del cifrado de copias de seguridad, consulte [Cifrado de copias de seguridad en AWS Backup](encryption.md) en la sección Seguridad. Las copias de seguridad de los demás tipos de recursos se realizan con la clave que se usa para cifrar el recurso de origen.

## Etiquetas de almacén de copias de seguridad
<a name="vault-tags"></a>

Estas etiquetas están asociadas al almacén de copias de seguridad para ayudarle a organizar y realizar un seguimiento de sus almacenes de copias de seguridad.

## Eliminar un almacén
<a name="delete-a-vault"></a>

Para evitar la eliminación masiva accidental o malintencionada, solo puede eliminar un almacén de copias de seguridad en AWS Backup después de eliminar (o de que su plan de copia de seguridad complete el ciclo de vida) todos los puntos de recuperación del almacén de copias de seguridad. Para eliminar los puntos de recuperación manualmente, consulte [Eliminar copias de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

Cuando se elimina un almacén de copias de seguridad, actualice los planes de copias de seguridad para que apunten a nuevos almacenes de copias de seguridad. Un plan de copias de seguridad que apunte a un almacén de copias de seguridad eliminado provocará un error en la creación de la copia de seguridad.

No puede eliminar el almacén de copias de seguridad predeterminado o el almacén de copias de seguridad automáticas de Amazon EFS mediante Consola de administración de AWS. Puede eliminar una bóveda de copias de seguridad predeterminada utilizando la opción AWS CLI si está vacía. Sin embargo, si abre la AWS Backup consola y selecciona esa región, la consola vuelve a crear el almacén de copias de seguridad predeterminado. Puede eliminar las instantáneas no utilizadas en el almacén de copias de seguridad automático de Amazon EFS.

**Para eliminar un almacén de copias de seguridad mediante la consola AWS Backup**

1. Inicie sesión en y abra la AWS Backup consola en [https://console.aws.amazon.com/backup. Consola de administración de AWS](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Elija el nombre del almacén de copias de seguridad para abrir su página de detalles.

1. Elija y elimine todas las copias de seguridad que estén asociadas al almacén de copias de seguridad.

1. Elija **Eliminar almacén**. Cuando le pidan confirmación, escriba el nombre del almacén y elija **Eliminar almacén de copias de seguridad**.

# Tener un almacén aislado lógicamente
<a name="logicallyairgappedvault"></a>

## Información general de los almacenes aislados lógicamente
<a name="lag-overview"></a>

AWS Backup ofrece un tipo de almacén secundario que puede almacenar las copias de seguridad en un contenedor con funciones de seguridad adicionales. Una bóveda **hermética lógica es una bóveda especializada que proporciona una seguridad superior a la de una bóveda de copias de seguridad estándar, además de la posibilidad de compartir el acceso a la bóveda con otras cuentas, de modo que los objetivos de tiempo de recuperación (RTOs) puedan ser más rápidos y flexibles en caso de que se produzca un incidente que requiera una restauración rápida de los recursos**.

Lógicamente, las bóvedas herméticas vienen equipadas con funciones de protección adicionales; cada bóveda se cifra con una [AWS clave](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) propia (predeterminada) o, opcionalmente, con una clave KMS administrada por el cliente, y cada bóveda está equipada con el modo de cumplimiento de [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html). La información sobre el tipo de clave de cifrado es visible a través de una consola para generar informes de transparencia AWS Backup APIs y conformidad.

Puede integrar sus bóvedas herméticas de forma lógica con la [aprobación de varias partes](multipartyapproval.md) (MPA) para poder recuperar las copias de seguridad que se encuentran en las bóvedas, incluso si no se puede acceder a la cuenta propietaria del almacén, lo que ayuda a mantener la continuidad empresarial. Además, puede optar por integrarse con [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) para compartir una bóveda aislada de forma lógica con otras AWS cuentas (incluidas las cuentas de otras organizaciones), de modo que las copias de seguridad almacenadas en la bóveda se puedan restaurar desde una cuenta con la que se comparte la bóveda, si es necesario para [realizar pruebas de recuperación ante pérdidas de datos o de restauración](restore-testing.md). Como parte de esta seguridad adicional, un almacén cerrado de forma lógica almacena sus copias de seguridad en una cuenta propiedad del AWS Backup servicio (lo que hace que las copias de seguridad se muestren como compartidas fuera de la organización en los elementos de atributos de modificación de los AWS CloudTrail registros).

[En el caso de que su cuenta de propietario de un almacén, que por razones lógicas se encuentre cerrada (de forma malintencionada o no), podrá seguir accediendo a las copias de seguridad del almacén (restaurarlas o copiarlas) a través de MPA hasta que finalice el período posterior al cierre.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) Una vez transcurrido el período posterior al cierre, ya no podrá acceder a las copias de seguridad. Durante el período posterior al cierre, puedes consultar la [documentación de administración de AWS cuentas](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) para recuperar el control de tu cuenta mientras trabajas en la recuperación.

Para una mayor resiliencia, te recomendamos crear copias entre regiones en bóvedas cerradas de forma lógica en cuentas iguales o independientes. Sin embargo, si quiere reducir los costes de almacenamiento manteniendo una sola copia, puede utilizar las [copias de seguridad principales para almacenar de forma lógica espacios vacíos, tras incorporarlas a MPA](lag-vault-primary-backup.md). AWS 

En la página de [precios de AWS Backup](https://aws.amazon.com/backup/pricing/), puede consultar los precios del almacenamiento de las copias de seguridad de los servicios compatibles en un almacén aislado lógicamente.

Consulte en [Disponibilidad de características por recurso](backup-feature-availability.md#features-by-resource) los tipos de recursos que puede copiar en un almacén aislado lógicamente.

**Topics**
+ [Información general de los almacenes aislados lógicamente](#lag-overview)
+ [Caso de uso para almacenes aislados lógicamente](#lag-usecase)
+ [Comparación y contraste con un almacén de copias de seguridad estándar](#lag-compare-and-contrast)
+ [Crear un almacén aislado lógicamente](#lag-create)
+ [Visualización de los detalles del almacén aislado lógicamente](#lag-view)
+ [Crear copias de seguridad en una bóveda aislada de forma lógica](#lag-creation)
+ [Compartir un almacén aislado lógicamente](#lag-share)
+ [Restauración de una copia de seguridad desde un almacén aislado lógicamente](#lag-restore)
+ [Eliminar un almacén aislado lógicamente](#lag-delete)
+ [Opciones de programación adicionales para almacenes aislados lógicamente](#lag-programmatic)
+ [Descripción de los tipos de claves de cifrado para bóvedas con espacios vacíos de forma lógica](#lag-encryption-key-types)
+ [Uso de una clave propiedad del servicio](#lag-service-owned-key)
+ [Consideraciones para la corrección automática de la seguridad](#lag-security-auto-remediation)
+ [Solución de un problema de almacén aislado lógicamente](#lag-troubleshoot)
+ [Copias de seguridad principales en almacenes aislados lógicamente](lag-vault-primary-backup.md)
+ [Aprobación de varias partes para almacenes aislados lógicamente](multipartyapproval.md)

## Caso de uso para almacenes aislados lógicamente
<a name="lag-usecase"></a>

Una almacén aislado lógicamente es un almacén secundario que sirve como parte de una estrategia de protección de datos. Este almacén puede ayudar a mejorar la estrategia de retención y la recuperación de su organización cuando quiera un almacén para sus copias de seguridad que
+ esté configurado automáticamente con un bloqueo de almacén en [modo de cumplimiento](vault-lock.md);
+ De forma predeterminada, ofrece cifrado con una clave propia. AWS Si lo desea, puede proporcionar una clave gestionada por el cliente
+ Contiene copias de seguridad que, mediante AWS RAM MPA, se pueden compartir y restaurar desde una cuenta diferente a la que creó la copia de seguridad

**Consideraciones y limitaciones**
+ Los clústeres no cifrados de Amazon Aurora, Amazon DocumentDB y Amazon Neptune no son compatibles con los almacenes con huecos lógicos, ya que no admiten el cifrado de instantáneas de clústeres de bases de datos no cifradas.
+ Amazon EC2 ofrece [EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Allowed. AMIs Si esta configuración está habilitada en su cuenta, añada el alias `aws-backup-vault` a su lista de permitidos.

   Si no se incluye este alias, las operaciones de copia desde un almacén aislado lógicamente a un almacén de copias de seguridad y las operaciones de restauración de instancias de EC2 desde un almacén aislado lógicamente fallarán y aparecerá un mensaje de error similar a “Source AMI ami-xxxxxx not found in Region”.
+ El ARN (nombre de recurso de Amazon) de un punto de recuperación almacenado en un almacén aislado lógicamente sustituirá al tipo de recurso subyacente por `backup`. Por ejemplo, si el ARN original comienza por `arn:aws:ec2:region::image/ami-*`, entonces el ARN del punto de recuperación en el almacén aislado lógicamente será `arn:aws:backup:region:account-id:recovery-point:*`.

  Puede utilizar el comando CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html) para determinar el ARN.

## Comparación y contraste con un almacén de copias de seguridad estándar
<a name="lag-compare-and-contrast"></a>

Un **almacén de copias de seguridad** es el tipo de almacén principal y estándar que se utiliza en AWS Backup. Cada copia de seguridad se almacena en un almacén de copias de seguridad cuando se crea la copia de seguridad. Puede asignar políticas basadas en recursos para administrar las copias de seguridad almacenadas en el almacén, como el ciclo de vida de las copias de seguridad almacenadas.

Un **almacén aislado lógicamente** es un almacén especializado con seguridad adicional y uso compartido flexible para acelerar el tiempo de recuperación (RTO). Este almacén almacena las copias de seguridad principales o copias de las copias de seguridad que se crearon y almacenaron inicialmente en una bóveda de copias de seguridad estándar.

Los almacenes de copias de seguridad se cifran con una clave, que es un mecanismo de seguridad que limita el acceso a los usuarios previstos. Estas claves pueden gestionarse o AWS gestionarse por el cliente. Consulte [Cifrado de copias](encryption.md#copy-encryption) para conocer el comportamiento de cifrado durante los trabajos de copia, incluida la copia en un almacén aislado lógicamente.

Además, un almacén de copias de seguridad tener más seguridad con un bloqueo de almacén; los almacenes aislados lógicamente vienen equipados con un bloqueo de almacén en modo de cumplimiento.

[Al igual que las bóvedas de respaldo, las bóvedas con huecos lógicos también admiten etiquetas restringidas para las copias de seguridad de Amazon EC2.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)


| Característica | Almacén de copias de seguridad | Tener un almacén aislado lógicamente | 
| --- | --- | --- | 
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | Puede utilizar AWS Backup Audit Manager [Controles y corrección](controls-and-remediation.md) para supervisar sus almacenes de backup. | Asegúrese de que la copia de seguridad de un recurso específico se almacene en [al menos una bóveda aislada de forma lógica](controls-and-remediation.md#resources-in-lag-vault-control) según un cronograma que usted determine, además de los controles disponibles para las bóvedas estándar. | 
| [Facturación](https://aws.amazon.com/backup/pricing/) | Los cargos por almacenamiento y transferencia de datos de los recursos totalmente administrados por AWS Backup figuran en "AWS Backup". Los cargos de almacenamiento y transferencia de datos de otros tipos de recursos se aplicarán en sus respectivos servicios. Por ejemplo, las copias de seguridad de Amazon EBS se mostrarán en "Amazon EBS"; las copias de seguridad de Amazon S3 se mostrarán en "AWS Backup". | Todos los cargos de facturación de estos almacenes (almacenamiento o transferencia de datos) se incluyen en "AWS Backup". | 
|   [Regiones](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Disponible en todas las regiones en las que opera AWS Backup  | Disponible en la mayoría de las regiones compatibles con AWS Backup. Actualmente no está disponible en Asia Pacífico (Malasia), Canadá Oeste (Calgary), México (Central), Asia Pacífico (Tailandia), Asia Pacífico (Taipéi), Asia Pacífico (Nueva Zelanda), China (Pekín), China (Ningxia), (EE. UU. Este) o (EE. UU. Oeste) AWS GovCloud . AWS GovCloud  | 
|   [Recursos](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Puede almacenar copias de copias de seguridad para la mayoría de los tipos de recursos que admiten las copias entre cuentas. | Consulte la columna del almacén aislado lógicamente en [Disponibilidad de características por recurso](backup-feature-availability.md#features-by-resource) para ver los recursos que se pueden copiar a este almacén. | 
|  [ Restaurar](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | Las copias de seguridad se pueden restaurar por medio de la misma cuenta a la que pertenece el almacén. | Las copias de seguridad se pueden restaurar con una cuenta distinta de la que es propietaria del almacén si el almacén se comparte con esa cuenta independiente. | 
| [Seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) |  Opcionalmente, se puede cifrar con una clave (administrada por AWS o por el cliente) Puede utilizar opcionalmente un bloqueo de almacén en modo de cumplimiento o gobernanza |  Se puede cifrar con una [clave propia o AWS gestionada](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) por el cliente Siempre se bloquea con un [bloqueo de almacén](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) en modo de cumplimiento La información sobre el tipo de clave de cifrado se conserva y es visible cuando los almacenes se comparten a través AWS RAM de un MPA  | 
| [Uso compartido](#lag-share) |  El acceso se puede administrar mediante políticas y [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) No es compatible con AWS RAM  | Opcionalmente, se puede compartir entre cuentas mediante [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) | 

## Crear un almacén aislado lógicamente
<a name="lag-create"></a>

Puede crear una bóveda aislada de forma lógica a través de la AWS Backup consola o mediante una combinación de AWS Backup comandos CLI AWS RAM .

Cada almacén aislado lógicamente viene equipado con un bloqueo de almacén en modo de cumplimiento. Consulte [AWS Backup Vault Lock](vault-lock.md) para determinar los valores del período de retención más adecuados para su operación

------
#### [ Console ]

**Creación de un almacén aislado lógicamente desde la consola**

1. [Abra la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. En el panel de navegación, seleccione **Almacenes**.

1. Se mostrarán ambos tipos de almacén. Seleccione **Crear nuevo almacén**.

1. Escriba un nombre para su almacén de copias de seguridad. Puede asignar un nombre a su almacén para reflejar lo que almacenará en él o para facilitar la búsqueda de las copias de seguridad que necesite. Por ejemplo, podría denominarlo `FinancialBackups`.

1. Seleccione el botón de opción de **Almacén aislado lógicamente**. 

1. *(Opcional)* Elija una clave de cifrado. Puede seleccionar una clave KMS administrada por el cliente para tener un control adicional sobre el cifrado o usar la clave de AWS propiedad predeterminada (se recomienda).

1. Establezca el **Periodo de retención mínimo**.

   Este valor (en días, meses o años) es el tiempo mínimo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención inferiores a este valor no se podrán copiar a este almacén.

   El valor mínimo permitido es `7` días. Los valores de meses y años cumplen con este mínimo.

1. Establezca el **Periodo de retención máximo**.

   Este valor (en días, meses o años) es el tiempo máximo que se puede retener una copia de seguridad en este almacén. Las copias de seguridad con periodos de retención superiores a este valor no se podrán copiar a este almacén.

1. *(Opcional)* **Defina la clave de cifrado.**

   Especifique la clave que se va a utilizar con la bóveda. Puede elegir una **AWS clave propia (gestionada por AWS Backup)** o introducir el ARN de una **clave gestionada por el cliente** que, preferiblemente, pertenezca a una cuenta diferente a la que tenga acceso. AWS Backup recomienda utilizar una clave AWS propia.

1. *(Opcional)* Agregue etiquetas que le ayuden a buscar e identificar su almacén aislado lógicamente. Por ejemplo, podría añadir una etiqueta `BackupType:Financial`.

1. Seleccione **Crear almacén**.

1. Revise la configuración. Si todos los ajustes se muestran como esperaba, seleccione **Crear almacén aislado lógicamente**.

1. La consola le llevará a la página de detalles del nuevo almacén. Compruebe que los detalles del almacén son los esperados.

1. Seleccione **Almacenes** para ver los almacenes de su cuenta. Aparecerá su almacén aislado lógicamente. La clave de KMS estará disponible aproximadamente entre 1 y 3 minutos después de la creación del almacén. Actualice la página para ver la clave asociada. Una vez que la clave esté visible, el almacén estará disponible y se podrá utilizar.

------
#### [ AWS CLI ]

Crear un almacén aislado lógicamente desde CLI

Se puede utilizar AWS CLI para realizar operaciones mediante programación en bóvedas con huecos de forma lógica. Cada CLI es específica del AWS servicio en el que se origina. Los comandos relacionados con el uso compartido llevan el prefijo `aws ram`; todos los demás comandos deben llevar el prefijo `aws backup`.

Utilice el comando de CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html) modificado con los parámetros siguientes:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```

El `--encryption-key-arn` parámetro opcional le permite especificar una clave KMS administrada por el cliente para el cifrado del almacén. Si no se proporciona, el almacén utilizará una clave propia AWS.

Ejemplo de comando de CLI para crear un almacén aislado lógicamente:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```

Ejemplo de comando CLI para crear una bóveda aislada de forma lógica con cifrado administrado por el cliente:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```

Consulte los [elementos de respuesta CreateLogicallyAirGappedBackupVault de la API](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html) para obtener información después de la operación de creación. Si la operación se realizó correctamente, la nueva bóveda con huecos de aire lógicos tendrá el de. VaultState `CREATING`

Una vez que se complete la creación y se haya asignado la clave cifrada KMS, VaultState pasará a. `AVAILABLE` Cuando esté disponible, se podrá utilizar el almacén. `VaultState` se puede recuperar llamando a [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html) o [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html).

------

## Visualización de los detalles del almacén aislado lógicamente
<a name="lag-view"></a>

Puede ver los detalles del almacén, como el resumen, los puntos de recuperación, los recursos protegidos, el uso compartido de cuentas, la política de acceso y las etiquetas, a través de la AWS Backup consola o la AWS Backup CLI.

------
#### [ Console ]

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación izquierdo, seleccione **Almacenes**.

1. **Debajo de las descripciones de las bóvedas hay tres listas: las bóvedas **creadas por esta cuenta, las bóvedas** **compartidas a través de la RAM y las bóvedas a las que se puede acceder mediante** la aprobación de varias partes.** Seleccione la pestaña que desee para ver los almacenes.

1. En **Nombre del almacén **, haga clic en el nombre del almacén para abrir la página de detalles. Puede ver el resumen, los puntos de recuperación, los recursos protegidos, las cuentas compartidas, la política de acceso y los detalles de las etiquetas.

   Los detalles mostrados dependen del tipo de cuenta: las cuentas que poseen un almacén pueden ver las cuentas compartidas; las cuentas que no poseen un almacén no podrán ver las cuentas compartidas. En el caso de los almacenes compartidos, el tipo de clave de cifrado (clave KMS AWS propiedad o gestionada por el cliente) se muestra en el resumen del almacén.

------
#### [ AWS CLI ]

Visualización de detalles de un almacén aislado lógicamente mediante la CLI

El comando de CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html) se puede utilizar para obtener detalles sobre un almacén. El parámetro `backup-vault-name` es obligatorio; `region` es opcional.

```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```

Ejemplo de respuesta:

```
{
            "BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
            "BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 8,
            "MaxRetentionDays": 30,
            "LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```

**nota**  
El `VaultType` campo no se incluye en la respuesta de la API en las regiones en las que no están disponibles los almacenes aislados de forma lógica.

------

## Crear copias de seguridad en una bóveda aislada de forma lógica
<a name="lag-creation"></a>

Lógicamente, las bóvedas con espacios vacíos pueden ser el destino de un trabajo de copia en un plan de respaldo o un objetivo para un trabajo de copia bajo demanda. También se puede utilizar como destino principal de la copia de seguridad. Consulte [Copias de seguridad principales en bóvedas aisladas de forma lógica](lag-vault-primary-backup.md).

**Cifrado compatible**

Para completar un trabajo de copia correctamente desde un almacén de copias de seguridad a un almacén aislado lógicamente, es necesaria una clave de cifrado determinada por el tipo de recurso que se va a copiar.

Al crear o copiar una copia de seguridad de un [tipo de recurso totalmente gestionado, el recurso](backup-feature-availability.md#features-by-resource) de origen se puede cifrar mediante una clave gestionada por el cliente o mediante una clave gestionada. AWS 

Al crear o copiar una copia de seguridad de otros tipos de recursos (los que [no estén totalmente gestionados](backup-feature-availability.md#features-by-resource)), la fuente debe cifrarse con una clave gestionada por el cliente. AWS no se admiten las claves administradas para los recursos que no están completamente administrados.

**Cree o copie copias de seguridad en una bóveda aislada de forma lógica mediante un plan de copias de seguridad**

Puede copiar una copia de seguridad (punto de recuperación) de una bóveda de copias de seguridad estándar a una bóveda vacía de forma lógica [creando un nuevo plan de copias](creating-a-backup-plan.md) de seguridad o [actualizando uno existente](updating-a-backup-plan.md) en la AWS Backup consola o mediante los comandos y. AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) También puede crear copias de seguridad directamente en una bóveda aislada de forma lógica utilizándola como destino principal. Consulte [Copias de seguridad principales en bóvedas con espacios vacíos de forma lógica para obtener más información](lag-vault-primary-backup.md).

Puede copiar bajo demanda una copia de seguridad de un almacén aislado lógicamente a otro (este tipo de copia de seguridad no se puede programar en un plan de copias de seguridad). Puede copiar una copia de seguridad de un almacén aislado lógicamente a un almacén de copias de seguridad estándar siempre que la copia esté cifrada con una clave administrada por el cliente.

**Copia de seguridad bajo demanda a un almacén aislado lógicamente**

Para crear una copia única y [bajo demanda](recov-point-create-on-demand-backup.md) de una copia de seguridad en un almacén aislado lógicamente, puede copiarla desde un almacén de copias de seguridad estándar. Las copias entre regiones o entre cuentas están disponibles si el tipo de recurso es compatible con el tipo de copia.

**Disponibilidad de copias**

Se puede crear una copia de seguridad desde la cuenta a la que pertenece el almacén. Las cuentas con las que se ha compartido el almacén tienen la capacidad de ver o restaurar una copia de seguridad, pero no de crear una copia.

Solo se pueden incluir [los tipos de recursos que admitan la copia entre regiones o entre cuentas](backup-feature-availability.md#features-by-resource).

------
#### [ Console ]

1. [Abra la consola en /backup. AWS Backup https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. En el panel de navegación izquierdo, seleccione **Almacenes**.

1. En la página de detalles del almacén, se muestran todos los puntos de recuperación del almacén. Coloque una marca de verificación junto al punto de recuperación que desee copiar.

1. Seleccione **Acciones** y **Editar** en el menú desplegable.

1. En la siguiente pantalla, introduzca los detalles del destino.

   1. Especifique la región de destino.

   1. El menú desplegable del almacén de copias de seguridad de destino muestra los almacenes de destino elegibles. Seleccione uno con el tipo `logically air-gapped vault`

1. Seleccione **Copiar** una vez que todos los detalles estén configurados según sus preferencias. 

En la página **Trabajos** de la consola, puede seleccionar **Trabajos de copia** para ver los trabajos de copia actuales.

------
#### [ AWS CLI ]

Utilice [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html) para copiar una copia de seguridad existente en almacén de copias de seguridad a un almacén aislado lógicamente.

Ejemplo de entrada de la CLI:

```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```

------

Para obtener más información, consulte [Copia de una copia de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [Copia de seguridad entre regiones](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) y [Copia de seguridad entre cuentas](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html).

## Compartir un almacén aislado lógicamente
<a name="lag-share"></a>

Puede usar AWS Resource Access Manager (RAM) para compartir una bóveda aislada de forma lógica con otras cuentas que designe. Al compartir depósitos, la información sobre el tipo de clave de cifrado (clave KMS propia o AWS gestionada por el cliente) se conserva y es visible para las cuentas con las que se comparte el depósito.

Un almacén se puede compartir con una cuenta de su organización o con una cuenta de otra organización. El almacén no se puede compartir con toda la organización, solo con las cuentas de la organización.

Solo las cuentas con determinados privilegios de IAM pueden compartir y administrar el uso compartido de almacenes.

Para compartir el uso AWS RAM, asegúrese de tener lo siguiente:
+ Dos o más cuentas a las que puedan acceder AWS Backup
+ Una cuenta propietaria de almacenes que quiera compartir tiene los permisos de RAM necesarios. El permiso `ram:CreateResourceShare` es necesario para realizar este procedimiento. La política `AWSResourceAccessManagerFullAccess` contiene todos los permisos relacionados con RAM necesarios:
  + `backup:DescribeBackupVault`
  + `backup:DescribeRecoveryPoint`
  + `backup:GetRecoveryPointRestoreMetadata`
  + `backup:ListProtectedResourcesByBackupVault`
  + `backup:ListRecoveryPointsByBackupVault`
  + `backup:ListTags`
  + `backup:StartRestoreJob`
+ Al menos un almacén aislado lógicamente

------
#### [ Console ]

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación izquierdo, seleccione **Almacenes**.

1. Debajo de las descripciones de los almacenes hay dos listas: **Almacenes propiedad de esta cuenta** y **Almacenes compartidos con esta cuenta**. Los almacenes propiedad de la cuenta son aptos para compartirse.

1. En **Nombre del almacén **, seleccione el nombre del almacén aislado lógicamente para abrir la página de detalles.

1. El panel de **Uso compartido de cuentas** muestra con qué cuentas se comparte el almacén.

1. Para empezar a compartir con otra cuenta o editar las cuentas que ya se comparten, seleccione **Administrar el uso compartido**.

1. La AWS RAM consola se abre cuando se selecciona **Administrar el uso compartido**. Para ver los pasos para compartir un recurso mediante la AWS RAM, consulte [Crear un recurso compartido en la AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM*.

1. La cuenta invitada a aceptar una invitación para recibir un recurso compartido tiene 12 horas para aceptarla. Consulte [Accepting and rejecting resource share invitations](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) en la *Guía del usuario de AWS RAM*.

1. Si ha completado y aceptado los pasos para compartir, la página de resumen del almacén aparecerá en la sección **Uso compartido de cuentas = “Compartido; consulte la tabla de cuentas compartidas que aparece a continuación”**.

------
#### [ AWS CLI ]

AWS RAM usa el comando CLI`create-resource-share`. El acceso a este comando solo está disponible para cuentas con suficientes permisos. Consulte [Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) para ver los pasos de la CLI.

Los pasos 1 a 4 se llevan a cabo con la cuenta propietaria del almacén aislado lógicamente. Los pasos 5 a 8 se llevan a cabo con la cuenta con la que se compartirá el almacén aislado lógicamente.

1. Inicie sesión en la cuenta propietaria O solicite que complete estos pasos un usuario de su organización con suficientes credenciales para acceder a la cuenta de origen. 

   1. Si antes se había creado un recurso compartido y desea agregarle un recurso adicional, utilice, en cambio, la CLI `associate-resource-share` con el ARN del nuevo almacén.

1. Obtenga las credenciales de un rol con permisos suficientes para compartir a través de RAM. [Introdúzcalos en la CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new). 

   1. El permiso `ram:CreateResourceShare` es necesario para realizar este procedimiento. La política [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)contiene todos los permisos relacionados con la RAM. 

1. Utilice [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).

   1. Incluya el ARN del almacén aislado lógicamente.

   1. Ejemplo de entrada:

      ```
      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1
      ```

   1. Ejemplo de salida:

      ```
      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }
      ```

1. Copie el ARN del recurso compartido en el resultado (lo que es necesario para los pasos siguientes). Entregue el ARN al operador de la cuenta a la que invita a recibir el uso compartido.

1. Obtenga el ARN del recurso compartido.

   1. Si no ha realizado los pasos 1 a 4, obtenga el permiso resourceShareArn de quien lo haya hecho.

   1. Ejemplo: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`

1. En la CLI, asuma las credenciales de la cuenta del destinatario.

1. Obtenga una invitación para compartir recursos con [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html). Para obtener más información, consulte [Accepting and rejecting invitations](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) en la *Guía del usuario de AWS RAM *.

1. Acepte la invitación en la cuenta de destino (recuperación).

   1. Use [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (también puede [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)).

Puede usar los comandos AWS RAM CLI para ver los elementos compartidos:
+ Recursos que ha compartido:

  `aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Mostrar la entidad principal:

  `aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Recursos compartidos por otras cuentas:

  `aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`

------

## Restauración de una copia de seguridad desde un almacén aislado lógicamente
<a name="lag-restore"></a>

Puede restaurar una copia de seguridad almacenada en un almacén aislado lógicamente desde la cuenta propietaria del almacén o desde cualquier cuenta con la que se comparta el almacén.

Consulte [Restauración de una copia de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) para obtener información sobre cómo restaurar un punto de recuperación mediante la consola AWS Backup .

Una vez que se haya compartido una copia de seguridad desde un almacén aislado lógicamente con su cuenta, podrá utilizar [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html) para restaurarla.

Un ejemplo de entrada de la CLI puede incluir el comando y los parámetros siguientes:

```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```

## Eliminar un almacén aislado lógicamente
<a name="lag-delete"></a>

Consulte [Eliminación de un almacén](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault). Los almacenes no se pueden eliminar si aún contienen copias de seguridad (puntos de recuperación). Asegúrese de que el almacén esté vacío antes de iniciar una operación de eliminación.

Al eliminar un almacén, también se elimina la clave asociada al almacén siete días después de su eliminación, de acuerdo con la política de eliminación de claves.

El siguiente comando de la CLI de ejemplo, [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html), se puede utilizar para eliminar un almacén.

```
aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname
```

## Opciones de programación adicionales para almacenes aislados lógicamente
<a name="lag-programmatic"></a>

El comando de la CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) se puede modificar para enumerar todos los almacenes que pertenecen a la cuenta y están presentes en ella:

```
aws backup list-backup-vaults
--region us-east-1
```

Para enumerar solo los almacenes aislados lógicamente, agregue el parámetro

```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```

Incluya el parámetro `by-shared` para filtrar la lista de almacenes devuelta para mostrar solo los almacenes aislados lógicamente compartidos. La respuesta incluirá información sobre el tipo de clave de cifrado de cada almacén compartido.

```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```

Ejemplo de respuesta que muestra información sobre el tipo de clave de cifrado:

```
{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}
```

**nota**  
El `VaultType` campo no se incluye en la respuesta de la API en las regiones en las que las bóvedas con huecos lógicos no están disponibles.

## Descripción de los tipos de claves de cifrado para bóvedas con espacios vacíos de forma lógica
<a name="lag-encryption-key-types"></a>

Lógicamente, las bóvedas con huecos vacíos admiten diferentes tipos de claves de cifrado, y esta información es visible a través de una consola. AWS Backup APIs Cuando las bóvedas se comparten a través AWS RAM de una MPA, la información del tipo de clave de cifrado se conserva y se hace visible para las cuentas con las que se comparte la bóveda. Esta transparencia le ayuda a comprender la configuración de cifrado de los almacenes y a tomar decisiones informadas sobre las operaciones de copia de seguridad y restauración.

### Valores de los tipos de clave de cifrado
<a name="encryption-key-type-values"></a>

El `EncryptionKeyType` campo puede tener los siguientes valores:
+ `AWS_OWNED_KMS_KEY`- La bóveda está cifrada con una clave AWS propia. Este es el método de cifrado predeterminado para las bóvedas aisladas de forma lógica cuando no se especifica ninguna clave gestionada por el cliente.
+ `CUSTOMER_MANAGED_KMS_KEY`- El almacén se cifra con una clave KMS gestionada por el cliente que usted controla. Esta opción proporciona un control adicional sobre las claves de cifrado y las políticas de acceso.

**nota**  
AWS Backup recomienda utilizar las llaves AWS propias con bóvedas cerradas de forma lógica.
Si la política de su organización exige el uso de una clave gestionada por el cliente, AWS no le recomendamos que utilice claves de la misma cuenta, excepto con fines de prueba. Para las cargas de trabajo de producción, se recomienda utilizar una clave gestionada por el cliente de otra cuenta de una organización secundaria dedicada a la recuperación. Puede consultar el blog [Encrypt AWS Backup: bóvedas aisladas de forma lógica con claves gestionadas por el cliente para obtener más información sobre la configuración de bóvedas](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) aisladas lógicas basadas en CMK.
 Solo puede AWS seleccionar una clave de cifrado KMS durante la creación de la bóveda. Una vez creadas, todas las copias de seguridad contenidas en el almacén se cifrarán con esa clave. No puede cambiar ni migrar sus almacenes para utilizar una clave de cifrado diferente.

### Política de claves para la creación de bóvedas cifradas por CMK de forma lógica
<a name="key-policy-lag-vault-creation"></a>

Al crear un depósito cerrado de forma lógica con una clave gestionada por el cliente, debe aplicar la política gestionada a la AWS función de su cuenta. `AWSBackupFullAccess` Esta política incluye `Allow` acciones que permiten interactuar con AWS Backup las claves de KMS AWS KMS para crear concesiones durante las operaciones de respaldo, copia y almacenamiento. Además, debe asegurarse de que su política de claves administradas por el cliente (si se utiliza) incluya los permisos específicos necesarios.
+ La CMK debe compartirse con la cuenta en la que se encuentra la bóveda aislada de forma lógica

```
{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}
```

**Política clave de copia/restauración**

Para evitar errores en las tareas, revisa tu política AWS KMS clave para asegurarte de que incluye todos los permisos necesarios y no contiene ninguna declaración de denegación que pueda bloquear las operaciones. Se aplican las siguientes condiciones:
+ En todos los escenarios de copia, se CMKs debe compartir con la función de copia de origen

```
{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}
```
+ Al copiar desde una bóveda comprimida de forma lógica cifrada mediante CMK a una bóveda de respaldo, la CMK también debe compartirse con la cuenta de destino SLR

```
{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```
+ Al copiar o restaurar desde una cuenta de recuperación mediante una bóveda compartida con huecos lógicos RAM/MPA 

```
{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```

**IAM Role**

Al realizar operaciones de copia de bóvedas ocultas de forma lógica, los clientes pueden utilizar la política gestionada, que incluye la `AWSBackupDefaultServiceRole` política gestionada. AWS`AWSBackupServiceRolePolicyForBackup` Sin embargo, si los clientes prefieren implementar un enfoque de política de privilegios mínimos, su política de IAM debe incluir un requisito específico:
+ La función de copia de la cuenta de origen debe tener permisos de acceso tanto al origen como al destino. CMKs

```
{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}
```

Por lo tanto, uno de los errores más comunes de los clientes se produce durante la copia, cuando los clientes no proporcionan los permisos suficientes para sus funciones de CMKs copiado y las de copia.

### Visualización de los tipos de claves de cifrado
<a name="viewing-encryption-key-types"></a>

Puede ver la información del tipo de clave de cifrado tanto en la AWS Backup consola como mediante programación mediante la AWS CLI tecla o. SDKs

**Consola:** al ver las bóvedas ocultas de forma lógica en la AWS Backup consola, el tipo de clave de cifrado se muestra en la página de detalles de la bóveda, en la sección de información de seguridad.

**AWS CLI/API:** el tipo de clave de cifrado se devuelve en respuesta a las siguientes operaciones cuando se consultan bóvedas aisladas de forma lógica:
+ `list-backup-vaults`(incluso para bóvedas compartidas) `--by-shared`
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`

### Consideraciones sobre el cifrado de almacenes
<a name="encryption-key-type-considerations"></a>

Al trabajar con bóvedas aisladas de forma lógica y tipos de claves de cifrado, tenga en cuenta lo siguiente:
+ **Selección de la clave durante la creación:** si lo desea, puede especificar una clave KMS administrada por el cliente al crear un almacén aislado de forma lógica. Si no se especifica, se utilizará una clave propia AWS.
+ **Visibilidad del almacén compartido:** las cuentas con las que se comparte un almacén pueden ver el tipo de clave de cifrado, pero no pueden modificar la configuración de cifrado.
+ **Información sobre el punto de recuperación:** el tipo de clave de cifrado también está disponible al ver los puntos de recuperación dentro de bóvedas aisladas de forma lógica.
+ **Operaciones de restauración:** conocer el tipo de clave de cifrado le ayuda a planificar las operaciones de restauración y a comprender los posibles requisitos de acceso.
+ **Conformidad:** la información sobre el tipo de clave de cifrado respalda los requisitos de auditoría y presentación de informes de conformidad, ya que proporciona transparencia sobre los métodos de cifrado utilizados para las copias de seguridad de los datos.

## Uso de una clave propiedad del servicio
<a name="lag-service-owned-key"></a>

AWS Backup crea y administra las claves de cifrado que se utilizan para cifrar todos los datos de respaldo almacenados en bóvedas cerradas de forma lógica, a fin de proteger la clave de cifrado y evitar la pérdida de acceso a ella en caso de pérdida de datos.
+ Estas claves son gratuitas y no se descontarán de las cuotas de su cuenta. AWS KMS 
+ Una sola clave solo se usa para un almacén específico y no se comparte con ninguna otra cuenta ni con ningún otro propósito.
+ Estas claves se eliminan una vez que también se elimina la bóveda asignada (vacía).
+ Estas claves se crean con la especificación de claves [SYMMETRIC\$1DEFAULT](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).
+ La política de rotación predeterminada es de 90 días. Puedes solicitar la rotación (una vez cada 6 meses) de las claves de cifrado propiedad del servicio para tus bóvedas ocultas de forma lógica mediante un ticket de soporte.

[Consulta la documentación para obtener más información.AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)

## Consideraciones para la corrección automática de la seguridad
<a name="lag-security-auto-remediation"></a>

Cuando AWS Backup copia una copia de seguridad de EC2 (AMI) en una bóveda aislada de forma lógica, la concede temporalmente (`launchPermission`en la AMI) y `createVolumePermission` (en las instantáneas de EBS asociadas) a una cuenta propiedad del servicio. Estos permisos se revocan automáticamente una vez finalizada la copia.

Estas operaciones generan `ModifyImageAttribute` `ModifySnapshotAttribute` eventos en sus AWS CloudTrail registros, con el valor `userIdentity.invokedBy` establecido en. `backup.amazonaws.com`

Si tienes una lógica de corrección automática de seguridad (por ejemplo, Amazon EventBridge gobierna con AWS Lambda) que monitorea estos eventos y revoca el uso compartido entre cuentas, debes excluir los eventos donde estén. `userIdentity.invokedBy` `backup.amazonaws.com` De lo contrario, si se copian los trabajos a bóvedas aisladas de forma lógica, se producirá un error con el siguiente mensaje: «No tienes permiso para acceder al almacenamiento de este ami».

Esta exclusión es segura porque la copia está autorizada por las políticas de acceso al almacén (`backup:CopyFromBackupVault`en el almacén de origen y `backup:CopyIntoBackupVault` en el almacén de destino), que se evalúan antes de que se produzca cualquier modificación en los atributos de EC2. Los permisos temporales se conceden únicamente a una cuenta fija AWS propiedad del servicio y se revocan automáticamente una vez finalizada la copia.

Ejemplo de patrón de eventos de EventBridge reglas que excluye las operaciones: AWS Backup 

```
{
  "source": ["aws.ec2"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["ec2.amazonaws.com"],
    "eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
    "userIdentity": {
      "invokedBy": [{"anything-but": "backup.amazonaws.com"}]
    }
  }
}
```

## Solución de un problema de almacén aislado lógicamente
<a name="lag-troubleshoot"></a>

Si encuentra errores durante su flujo de trabajo, consulte los siguientes ejemplos de errores y soluciones sugeridas:

### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
<a name="w2aac15c13c31b5"></a>

**Error**: `Copy job fails with "You do not have permission to access the storage of this ami."`

**Causa posible:** durante un trabajo de copia de una AMI de EC2 a una bóveda aislada de forma lógica, concede AWS Backup temporalmente el permiso de lanzamiento (AMI) y el permiso de creación de volumen (instantánea de EBS) a una cuenta propiedad del servicio, lo que genera eventos en sus registros. `ModifyImageAttribute` `ModifySnapshotAttribute` AWS CloudTrail Si tiene una lógica de corrección automática de la seguridad (como EventBridge las reglas con Lambda) que supervisa estos eventos y revoca automáticamente los permisos de uso compartido entre cuentas, puede eliminar el acceso temporal antes de que se complete la copia.

**nota**  
Esto puede ocurrir de manera similar con los trabajos de copia para otros recursos, como Amazon FSx.

**Solución:** actualice el patrón de eventos de su EventBridge regla para excluir las operaciones realizadas por AWS Backup. En concreto, excluya los eventos `backup.amazonaws.com` para garantizar que su lógica de corrección automática no revoque los permisos temporales entre cuentas que se AWS Backup conceden durante el proceso de copia. `userIdentity.invokedBy`

### `AccessDeniedException`
<a name="w2aac15c13c31b7"></a>

**Error**: `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`

**Causa posible:** el parámetro `--backup-vault-account-id` no se incluyó cuando se ejecutó una de las siguientes solicitudes en un almacén compartido por la RAM:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`

**Solución:** vuelva a probar el comando que devolvió el error, pero incluya el parámetro `--backup-vault-account-id` que especifica la cuenta propietaria del almacén.

### `OperationNotPermittedException`
<a name="w2aac15c13c31b9"></a>

**Error:** `OperationNotPermittedException` se devuelve tras una llamada de `CreateResourceShare`.

**Causa posible:** si ha intentado compartir un recurso, como un almacén aislado lógicamente, con otra organización, es posible que reciba esta excepción. Un almacén se puede compartir con una cuenta de otra organización, pero no se puede compartir con la otra organización en sí.

**Solución:** vuelva a probar la operación, pero especifique una cuenta como valor `principals` en lugar de una organización o unidad organizativa.

### No se muestra el tipo de clave de cifrado
<a name="w2aac15c13c31c11"></a>

**Problema:** el tipo de clave de cifrado no está visible al ver una bóveda con huecos lógicos o sus puntos de recuperación.

**Causas posibles:**
+ Está viendo una bóveda antigua que se creó antes de que se añadiera la compatibilidad con el tipo de clave de cifrado
+ Está utilizando una versión anterior del AWS CLI o del SDK
+ La respuesta de la API no incluye el campo de tipo de clave de cifrado

**Solución**:
+ Actualice su versión AWS CLI a la última
+ En el caso de los almacenes más antiguos, el tipo de clave de cifrado se rellenará automáticamente y debería aparecer en las siguientes llamadas a la API
+ Compruebe que está utilizando las operaciones de API correctas que devuelven información sobre el tipo de clave de cifrado
+ En el caso de las bóvedas compartidas, compruebe que la bóveda se comparte correctamente mediante AWS Resource Access Manager

### «FALLÓ» VaultState con AccessDeniedException los registros CloudTrail
<a name="w2aac15c13c31c13"></a>

**Error en CloudTrail:** `"User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`

**Causas posibles:**
+ El almacén se creó con una clave gestionada por el cliente, pero el rol asumido no tiene CreateGrant permiso sobre la política de claves necesaria para utilizar la clave en la creación del almacén

**Solución**:
+ Conceda los permisos especificados en la [Política de claves para la creación de bóvedas cifradas por CMK de forma lógica](#key-policy-lag-vault-creation) sección y, a continuación, vuelva a intentar el flujo de trabajo de creación del almacén.

# Copias de seguridad principales en almacenes aislados lógicamente
<a name="lag-vault-primary-backup"></a>

## Descripción general de
<a name="lag-primary-backup-overview"></a>

La función de copia de seguridad principal de una bóveda aislada de forma lógica le ofrece la opción de especificar una bóveda aislada de forma lógica como destino de la copia de seguridad principal dentro de la misma cuenta, tanto para las tareas de copia de seguridad programadas como para las solicitadas. Esto elimina la necesidad de mantener copias separadas tanto en una bóveda de copias de seguridad estándar como en una bóveda hermética lógica, lo que reduce los costes y simplifica los flujos de trabajo, a la vez que preserva las ventajas de seguridad que ofrece la filtración lógica.

En los planes de backup, en las políticas de toda la organización o en las copias de seguridad bajo demanda, puede asignar un almacén cerrado de forma lógica como objetivo principal. Antes, para realizar una copia de seguridad en un almacén cerrado de forma lógica, primero había que crear una copia de seguridad en un almacén de copias de seguridad y, a continuación, copiarla en un almacén cerrado de forma lógica. Con esta función, según el tipo de recurso, AWS Backup puede crear copias de seguridad directamente en su bóveda vacía de forma lógica o gestionar automáticamente las copias de seguridad temporales que se copian en su bóveda vacía de forma lógica y, a continuación, se eliminan.

El comportamiento depende de dos factores:
+ Si el tipo de recurso es compatible con una bóveda con huecos lógicos.
+ [Si el tipo de recurso admite una administración completa. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management)

**aviso**  
Si adopta esta capacidad, le recomendamos que integre sus bóvedas herméticas de forma lógica con la [aprobación multipartita](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA). Esto permite recuperar las copias de seguridad del almacén incluso si no se puede acceder a la cuenta propietaria del almacén.

No hay nuevos precios para esta función. Solo se le cobrará por las copias de seguridad almacenadas en bóvedas ocultas de forma lógica y por las instantáneas temporales (durante su período de retención en el sistema) de los recursos aplicables, según las tarifas vigentes. Para obtener más información, consulte los [AWS Backup precios](https://aws.amazon.com/backup/pricing/).

**Topics**
+ [Descripción general de](#lag-primary-backup-overview)
+ [Funcionamiento](#lag-primary-backup-how-it-works)
+ [Consideraciones sobre costos](#lag-primary-backup-cost)
+ [Configure la copia de seguridad principal de la bóveda aislada de forma lógica](#lag-primary-backup-configure)
+ [Supervise de forma lógica la copia de seguridad principal de la bóveda aislada](#lag-primary-backup-monitor)
+ [Incorporación y migración](#lag-primary-backup-onboarding)
+ [Resolución de problemas](#lag-primary-backup-troubleshooting)

## Funcionamiento
<a name="lag-primary-backup-how-it-works"></a>

Puede incorporar esta función actualizando su plan de copia de seguridad existente o creando uno nuevo y añadiendo un ARN de almacén (nombre de campo:`TargetLogicallyAirGappedBackupVaultArn`) con huecos lógicos como destino principal de la copia de seguridad. Puede realizar esta operación a través de la AWS Backup consola o mediante comandos AWS Backup CLI.

```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```

Al especificar un almacén de copias de seguridad y un almacén con espacios vacíos de forma lógica como destinos para sus tareas de copia de seguridad, AWS Backup determina el flujo de trabajo adecuado en función del tipo de recurso y la configuración de cifrado.

![\[alt text not found\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)


**Recursos compatibles para la copia de seguridad principal en bóvedas aisladas de forma lógica**  
[Para ver la lista completa de recursos compatibles con las bóvedas aisladas de forma lógica, consulta la disponibilidad de las funciones. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources) Todos los recursos que admiten bóvedas aisladas de forma lógica siguen el principio de mantener solo una copia de la copia de seguridad, en lugar de almacenar dos copias separadas, cuando se utiliza esta función.

**aviso**  
Es posible que los recursos que actualmente no se admiten para esta función tengan habilitada su compatibilidad en el futuro. Cuando eso ocurra, el recurso que acabas de admitir empezará a hacer copias de seguridad automáticamente en una bóveda con huecos lógicos mediante el flujo de trabajo que se muestra arriba.

**Consideraciones y limitaciones:**  

+ **Solo en la misma cuenta y región**: para poder utilizar esta función, tu bóveda hermética y lógica debe estar en la misma AWS cuenta y región que tus recursos. No puede crear copias de seguridad directamente entre cuentas o regiones. Recomendamos hacer las copias de seguridad en una bóveda cerrada lógicamente en la misma región para permitir una recuperación más rápida sin necesidad de una copia. Si necesita una copia de sus datos en una segunda región para la recuperación ante desastres (DR), le recomendamos que replique sus recursos principales entre regiones para una rápida conmutación por error o que las copias puntuales de recuperación entre regiones se guarden en un almacén de respaldo bloqueado.
+ **Restricciones relacionadas con el uso de claves AWS administradas**: los recursos que no admiten una AWS Backup administración completa y que están cifrados con claves AWS administradas (por ejemplo`aws/ebs`,`aws/rds`) no se pueden copiar en bóvedas aisladas de forma lógica. Estos recursos deben estar cifrados con una clave KMS administrada por el cliente o no estar cifrados. Los recursos que respaldan AWS Backup la administración completa **no tienen esta restricción**.
+ **Frecuencia de respaldo y copias simultáneas**: en el caso de los recursos que no admiten la AWS Backup administración completa, asegúrese de que la frecuencia de respaldo permita suficiente tiempo para que se completen las copias. Si las copias de seguridad se programan con más frecuencia de la que pueden finalizar las copias, los trabajos de copia se pondrán en cola y, eventualmente, podrían fallar. Para obtener información sobre los límites de copias simultáneas, [consulte](aws-backup-limits.md#lag-vault-quotas-table) las cuotas.
+ **Compatibilidad con el ciclo** de vida: el período de retención especificado en su plan de copias de seguridad debe ser compatible con los períodos de retención mínimo y máximo configurados para su almacén limitado de forma lógica.
+ **Bóvedas de respaldo bloqueadas**: si la bóveda de respaldo de destino tiene activado el bloqueo de bóveda, los puntos de recuperación temporales no se pueden eliminar manualmente y se conservarán hasta que se complete la copia o venza el período de retención.
+ **Restaure las pruebas, la indexación y el escaneo**: las pruebas de restauración, la indexación de los puntos de recuperación y el escaneo de malware ignorarán los puntos de recuperación temporales durante un ciclo de vida. `DELETE_AFTER_COPY` La indexación de puntos de recuperación no admite puntos de recuperación en bóvedas aisladas de forma lógica. El análisis de malware no permite realizar escaneos programados de los puntos de recuperación copiados, lo que incluye las copias automáticas realizadas como parte de las copias de seguridad principales en una bóveda aislada de forma lógica.

### Recursos que respaldan la administración completa AWS Backup
<a name="lag-primary-backup-full-management"></a>

Algunos tipos de recursos, como Amazon EFS, Amazon S3, Amazon DynamoDB [AWS Backup con funciones avanzadas](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html), etc., que admiten una administración AWS Backup completa, pueden realizar copias de seguridad directamente en su almacén aislado de forma lógica. No se crea ningún punto de recuperación en el almacén de copias de seguridad ni se requiere ninguna operación de copia. Todas las acciones de copia programadas en su plan de copia de seguridad utilizan como fuente el punto de recuperación de su bóveda, lógicamente estancada.

Los recursos que admiten la copia de seguridad continua, como Amazon S3, también pueden realizar copias de seguridad continuas directamente en un almacén aislado de forma lógica.

Para obtener una lista de los tipos de recursos que permiten la AWS Backup administración completa y los almacenes aislados de forma lógica, consulte [Disponibilidad de funciones por recurso](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) en las columnas denominadas «Administración total» y «Depósito aislado de forma lógica».

### El AWS Backup recurso no admite la administración completa
<a name="lag-primary-backup-not-full-management"></a>

Recursos como Amazon EBS/EC2, Amazon Aurora y Amazon FSx no pueden realizar copias de seguridad directamente en bóvedas aisladas de forma lógica. Para estos tipos de recursos, AWS Backup crea un punto de recuperación temporal en el almacén de copias de seguridad y, a continuación, lo copia automáticamente en el almacén aislado de forma lógica.

El punto de recuperación temporal tiene una configuración de ciclo de vida especial llamada. `DELETE_AFTER_COPY` Una vez que la copia de la bóveda con huecos lógicos se complete correctamente, AWS Backup se eliminará automáticamente el punto de recuperación temporal. Todas las demás acciones de copia programadas de su plan de copia de seguridad comienzan en paralelo con la copia que se envía a su bóveda aislada de forma lógica y no afectan a su experiencia de copia actual.

Si se produce un error en la copia guardada en la bóveda de respaldo, el punto de recuperación temporal se conserva en la bóveda de copia de seguridad según el período de retención que haya especificado. Esto le ayuda a garantizar que siempre dispone de un punto de recuperación utilizable una vez finalizado un trabajo de copia de seguridad. Si el punto de recuperación se copia posteriormente de forma manual en una bóveda con huecos lógicos, se limpia automáticamente de acuerdo con la regla. `DELETE_AFTER_COPY`

**aviso**  
Los recursos cifrados con claves AWS administradas (por ejemplo`aws/ebs`) no se pueden copiar a bóvedas con espacios vacíos de forma lógica. Estos recursos deben estar cifrados con una clave administrada por el AWS Key Management Service cliente o no estar cifrados. Los recursos que respaldan AWS Backup la administración completa no tienen esta limitación.

#### Ciclo de vida de eliminación tras copia
<a name="lag-primary-backup-delete-after-copy"></a>

Los puntos de recuperación temporales tienen un nuevo atributo de ciclo de vida denominado `DeleteAfterEvent` con un valor de`DELETE_AFTER_COPY`. Este atributo indica que el punto de recuperación se eliminará automáticamente una vez que se hayan completado todos los trabajos de copia o después del período de retención que especificó, lo que ocurra primero.

Un punto de recuperación temporal se elimina cuando se cumplen todas las condiciones siguientes:
+ Todos los trabajos de copia automáticos y programados han finalizado.
+ Se ha completado un trabajo de copia en la bóveda de destino, lógicamente cerrada, con un período de retención igual o superior al del punto de recuperación de origen.

Si necesita evitar la eliminación manual del punto de recuperación temporal mientras se están realizando las copias, considere la posibilidad de utilizar un almacén de copias de seguridad bloqueado como almacén de copias de seguridad de destino.

#### El respaldo continuo de Resource no admite la AWS Backup administración completa
<a name="lag-primary-backup-continuous-backup"></a>

En el caso de recursos como Amazon Aurora, si habilita la copia de seguridad continua, AWS Backup crea un punto de recuperación continua en su bóveda de copias de seguridad y toma una instantánea temporal que se copia en su bóveda aislada de forma lógica. La instantánea temporal debe eliminarse automáticamente una vez finalizada la copia, independientemente de si la copia se realiza correctamente o no, ya que se conserva un punto de recuperación continua en el almacén de copias de seguridad.

Si no desea crear un punto de recuperación continua para Amazon Aurora en su bóveda de copias de seguridad, pero sí desea un punto de recuperación continua para Amazon S3 en su bóveda aislada de forma lógica, puede deshabilitar la configuración de backup continuo (`EnableContinuousBackup`) en el plan actual y habilitar S3 continuo desde un plan diferente.

Puede obtener más información sobre el almacenamiento de copias de seguridad de Aurora en [Descripción del uso del almacenamiento de copias de seguridad de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated).

### Recursos no compatibles
<a name="lag-primary-backup-unsupported"></a>

Si un tipo de recurso no es compatible con bóvedas aisladas de forma lógica, o si un recurso que no está totalmente gestionado está cifrado con una clave AWS administrada, AWS Backup crea la copia de seguridad únicamente en su almacén de copias de seguridad. No se intenta realizar ninguna copia de su bóveda aislada de forma lógica. El trabajo de copia de seguridad se completa correctamente con un mensaje en el que se indica por qué la copia de seguridad no ha llegado a su bóveda, que es lógica.

## Consideraciones sobre costos
<a name="lag-primary-backup-cost"></a>
+ Esta función no implica nuevos cargos. Solo pagas por el almacenamiento en tus bóvedas.
+ En el caso de los recursos que permiten una AWS Backup gestión completa, mantener las copias de seguridad únicamente en un almacén cerrado de forma lógica puede suponer un importante ahorro de costes en comparación con el mantenimiento de dos copias de seguridad tanto en un almacén de copias de seguridad como en un almacén cerrado de forma lógica.
+ En el caso de los recursos que no permiten una AWS Backup administración completa, se le cobrará tanto por el punto de recuperación temporal de su almacén de copias de seguridad como por los puntos de recuperación de su almacén, lógicamente cerrado.
  + Aún puede lograr importantes ahorros de costos si conserva una sola copia de respaldo, pero estos ahorros pueden variar en función de la frecuencia y la tasa de cambio de las copias de seguridad.
  + Las frecuencias de respaldo más bajas generalmente generan mayores ahorros, ya que los puntos de recuperación temporales ocupan el almacenamiento durante un porcentaje más corto del período de facturación.
  + Algunos recursos tienen una duración mínima de facturación, lo que aumenta los costes de los puntos de recuperación temporales.
+ Deshabilite la recuperación de etiquetas o ACLs metadatos en la configuración de respaldo si no utiliza estas funciones de S3. Esto reduce las llamadas a la API y los cargos asociados a las comprobaciones de metadatos durante las operaciones de copia.

## Configure la copia de seguridad principal de la bóveda aislada de forma lógica
<a name="lag-primary-backup-configure"></a>

Puede configurar la copia de seguridad principal del almacén de forma lógica mediante la AWS Backup consola, las políticas de copia de seguridad o las políticas de copia de seguridad. AWS CLI AWS CloudFormation AWS Organizations 

### Configurar un plan de Backup
<a name="lag-primary-backup-configure-plan"></a>

------
#### [ Console ]

**Para configurar la copia de seguridad principal de una bóveda aislada de forma lógica para un plan de copia de seguridad**

1. [Abra la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com//backup)

1. En el panel de navegación, elija **Planes de respaldo** y, a continuación, elija **Crear plan de respaldo** o seleccione un plan de respaldo existente para editarlo.

1. En la sección **Configuración de la regla de respaldo**, especifique la configuración de la regla de respaldo.

1. Para **Backup Vault**, elija la bóveda de copias de seguridad donde se almacenarán los puntos de recuperación temporales (para los recursos que no se administren en su totalidad) o donde se almacenarán las copias de seguridad si no se pueden colocar en su bóveda lógicamente aislada.

1. En el caso de una bóveda **con huecos lógicos (opcional), elija la bóveda** con huecos lógicos en la que desee que se almacenen las copias de seguridad.
**nota**  
La bóveda con huecos lógicos debe estar en la misma cuenta y región que la bóveda de copias de seguridad.

1. Configure el resto de los ajustes de las reglas de copia de seguridad, incluidas las opciones de ciclo de vida y copia.

1. Selecciona **Crear plan** o **Guardar cambios**.

------
#### [ AWS CLI ]

Use el comando CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)para crear un plan nuevo o [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)para actualizar un plan existente e incluya el `TargetLogicallyAirGappedBackupVaultArn` parámetro en la regla de respaldo.

Ejemplo de comando CLI para crear un plan de respaldo mediante un documento JSON:

```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```

Ejemplo de comando CLI para crear un plan de respaldo directamente en CLI:

```
aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'
```

------

### Configure el respaldo bajo demanda
<a name="lag-primary-backup-configure-ondemand"></a>

------
#### [ Console ]

**Para configurar una copia de seguridad principal de un almacén aislado de forma lógica para una copia de seguridad bajo demanda**

1. [Abra la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com//backup)

1. En el panel de navegación, elija **Protected resources (Recursos protegidos)**.

1. En la página **Recursos protegidos**, seleccione **Crear copia de seguridad bajo demanda**.

1. Seleccione el tipo de recurso y el ARN del recurso de los que desea hacer una copia de seguridad.

1. En **Backup Vault**, seleccione el Backup Vault.

1. En el caso de la **bóveda con huecos lógicos (opcional)**, elija la bóveda con huecos lógicos en la que desee almacenar la copia de seguridad.

1. **Configure los ajustes restantes y seleccione Crear copia de seguridad bajo demanda.**

------
#### [ AWS CLI ]

Utilice el start-backup-job comando con el nuevo `--logically-air-gapped-backup-vault-arn` parámetro:

```
aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35
```

------

## Supervise de forma lógica la copia de seguridad principal de la bóveda aislada
<a name="lag-primary-backup-monitor"></a>

Puede supervisar el estado de sus copias de seguridad y trabajos de copia mediante la AWS Backup consola o EventBridge los eventos de Amazon. AWS CLI

### Supervise los trabajos de Backup
<a name="lag-primary-backup-monitor-backup-jobs"></a>

Supervise el estado de las tareas de respaldo ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)) para garantizar que sus recursos permanezcan protegidos. Un trabajo de copia de seguridad fallido indica que no se creó ningún punto de recuperación.
+ **Compruebe la ubicación de creación del punto de recuperación**: cuando un trabajo de copia de seguridad se completa correctamente, dispondrá de un punto de recuperación en la bóveda de copia de seguridad de destino o en la bóveda de destino aislada de forma lógica. Marque el `BackupVaultArn` campo para determinar dónde se creó el punto de recuperación.
+ **Compruebe el estado del trabajo**: si un recurso no es compatible con bóvedas aisladas de forma lógica, el trabajo de copia de seguridad se completa con un signo de `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED` y un mensaje `MessageCategory` de estado en el que se explica por qué la copia de seguridad se creó en su almacén de copias de seguridad.
+ **Verificar el tipo de punto de recuperación temporal**: para comprobar si un punto de recuperación es temporal, busque el `RecoveryPointLifecycle.DeleteAfterEvent` campo con un valor de. `DELETE_AFTER_COPY`

### Supervise los trabajos de copia
<a name="lag-primary-backup-monitor-copy-jobs"></a>

Supervise los trabajos de copia ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) en su bóveda con huecos lógicos para detectar errores. Un trabajo de copia fallido significa que su punto de recuperación permanece en su bóveda de respaldo estándar sin una protección lógica de la bóveda vacía.
+ **Compruebe el estado del trabajo de copia**: puede supervisar el estado del trabajo de copia mediante el evento existente. `Copy Job State Change` EventBridge Si lo desea, filtre por el almacén de destino (`destinationBackupVaultArn`) para centrarse en las copias del almacén agrupadas de forma lógica.
+ **Verifique las copias para un punto de recuperación de origen**: utilice la [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)API con el nuevo `BySourceRecoveryPointArn` filtro para encontrar todos los trabajos de copia asociados a un punto de recuperación específico, incluidas las copias automáticas a su almacén con espacios vacíos de forma lógica y las copias programadas para otros destinos.
+ **Verifique la eliminación del punto de recuperación temporal**: realice un seguimiento de la finalización de la eliminación del punto de recuperación temporal. Si el estado del trabajo de copia es`RUNNING`, el punto de recuperación aún no se ha eliminado. Si la copia guardada en su almacén con huecos lógicos sí lo ha hecho`FAILED`, el punto de recuperación se conservará durante el período de retención especificado.

**nota**  
Los registros de trabajos copiados caducan y se eliminan 30 días después de su finalización. Después de este período, no podrá utilizarlos `ListCopyJobs` para determinar el estado histórico de las copias.

### Supervise el punto de recuperación
<a name="lag-primary-backup-monitor-recovery-points"></a>

Supervise los puntos de `EXPIRED` recuperación ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)), lo que puede indicar que no se han AWS Backup podido eliminar (posiblemente debido a la falta de permisos). `EXPIRED`los puntos de recuperación pueden repercutir en los costes.
+ **Verifique el estado del punto de recuperación**: utilice el EventBridge evento de cambio de estado del punto de recuperación existente para monitorear los vencimientos.
+ **Verifique la eliminación del punto de recuperación temporal**: si no se `DeleteAfterEvent: DELETE_AFTER_COPY` ha eliminado un punto de recuperación, utilice la `ListCopyJobs` API para determinar el motivo, tal y como se ha mencionado anteriormente.

## Incorporación y migración
<a name="lag-primary-backup-onboarding"></a>

Si actualmente utiliza acciones de copia para copiar las copias de seguridad a un almacén con espacios vacíos de forma lógica, puede migrar a una copia de seguridad principal de un almacén con huecos lógicos para reducir los costes. También puede migrar sus copias de seguridad continuas de Amazon S3 existentes de una bóveda de copias de seguridad a una bóveda aislada de forma lógica. En esta guía se explican los requisitos previos y los pasos necesarios para migrar a la función de copia de seguridad principal de la bóveda, que tiene lagunas lógicas.

### Requisitos previos y mejores prácticas
<a name="lag-primary-backup-prerequisites"></a>

Antes de poder utilizar de forma eficaz la función de copia de seguridad principal del almacén, que contiene lagunas lógicas, existen requisitos previos y prácticas recomendadas.

**Requisitos previos**  


En la actualidad, un almacén cerrado de forma lógica como destino principal de las copias de seguridad solo admite las copias de seguridad de la misma AWS cuenta y región que sus recursos de copia de seguridad. AWS Como es lógico, las copias de seguridad en bóveda se almacenan de forma inherente en cuentas de servicio independientes, lo que aísla entre cuentas y organizaciones sin necesidad de realizar copias en cuentas separadas. Si necesita copias de seguridad entre regiones, siga utilizando el almacén cerrado de forma lógica como destino de las copias. Antes de migrar a esta función, asegúrese de cumplir los siguientes requisitos:
+ **Requisitos de región y cuenta**
  + Tu bóveda, lógicamente cerrada, debe estar en la misma AWS cuenta y región que tus recursos
+ **Compatibilidad de recursos**
  + [Compruebe que sus recursos estén respaldados por bóvedas aisladas de forma lógica en Disponibilidad de funciones por recurso.](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)
  + [Compruebe si sus recursos son compatibles con la administración completa o no. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) La experiencia de crear copias de seguridad aisladas difiere entre estos dos tipos de recursos, aunque el resultado es similar para ambos.
+ **Requisitos de cifrado**
  + Los recursos que no admitan una AWS Backup administración completa deben estar cifrados o cifrados con claves administradas por el cliente (CMKs). AWS Los recursos cifrados con clave gestionada (AMK) no son compatibles con un almacén cerrado de forma lógica.

**Prácticas recomendadas**  

+ Comience con una migración piloto de recursos no críticos.
+ Revise y ajuste las frecuencias de respaldo en función del rendimiento del trabajo de copia.
+ Implemente una supervisión integral antes de la migración completa.
+ Verifique periódicamente la creación de puntos de recuperación en los almacenes previstos.

### Planeando tu migración
<a name="lag-primary-backup-planning"></a>
+ Revise los planes y políticas de respaldo existentes.
+ Identifique qué recursos respaldan AWS Backup la administración completa y cuáles no.
  + Recursos que respaldan la AWS Backup administración completa (por ejemplo, EFS, S3): pueden realizar copias de seguridad directamente en una bóveda aislada de forma lógica
  + Los recursos que no permiten una AWS Backup administración completa (por ejemplo, EC2, EBS FSx): requieren una copia de seguridad temporal en una bóveda de respaldo antes de copiarse a una bóveda aislada lógicamente
+ Revise el volumen y la frecuencia de las copias de seguridad actuales y asegúrese de que la configuración se ajuste a los límites de copias simultáneas para todos los recursos que no admiten una administración completa. AWS Backup 
  + Omita este paso si ya realiza copias en una bóveda aislada de forma lógica con la misma frecuencia que las copias de seguridad de las bóvedas estándar.
  + Considere ajustar la frecuencia de las copias de seguridad, si es necesario, para evitar que las copias se pongan en cola.
  + Si las tareas de copia se ponen en cola, seguirá teniendo un punto de recuperación utilizable en su almacén de copias de seguridad estándar mientras espera que se complete la copia y se deposite en su almacén cerrado de forma lógica. Sin embargo, ese punto de recuperación no proporcionará el nivel de protección que ofrece la bóveda aislada de Logically.

### Recursos que respaldan la ruta de migración de la administración completa AWS Backup
<a name="lag-primary-backup-full-management-migration"></a>

Si se trata de recursos totalmente gestionados, puede realizar copias de seguridad directamente en su bóveda aislada de forma lógica sin necesidad de realizar operaciones de copia.

#### Para copias de seguridad basadas en instantáneas
<a name="lag-primary-backup-snapshot-migration"></a>

Este proceso se aplica a todos los escenarios de instantáneas, independientemente de si el almacén de copias de seguridad está bloqueado. Al migrar un plan de copias de seguridad existente o al utilizar una bóveda de copias de seguridad existente (principal) y una bóveda aislada de forma lógica (copia) en un nuevo plan de copias de seguridad:

1. Mantenga su almacén de respaldo existente o agréguelo como destino de respaldo (). `TargetBackupVaultName` Esta bóveda no almacenará ninguna copia de seguridad, pero debe proporcionarse para garantizar la compatibilidad con versiones anteriores.

1. Actualice su plan de copias de seguridad para incluir la bóveda (`TargetLogicallyAirGappedBackupVaultArn`), que se encuentra en la misma cuenta, como objetivo principal.

1. Revisa cualquier acción de copia existente a otra bóveda aislada lógicamente para determinar si sigue siendo necesaria. También puedes mover esta bóveda como objetivo principal en el paso 2 si está en la misma cuenta.

#### Para copias de seguridad continuas de Amazon S3
<a name="lag-primary-backup-s3-continuous-migration"></a>

La bóveda aislada de forma lógica como destino principal de la copia de seguridad admite la copia de seguridad continua para Amazon S3. Sin embargo, solo puede mantener un punto de recuperación continuo activo por recurso en un único almacén. Si ya tiene un punto de recuperación continua de Amazon S3 activo, debe desasociarlo o eliminarlo antes de crear uno nuevo en un almacén diferente. Si añade un objetivo de almacén con lagunas lógicas (de la misma cuenta) a su plan de backup, con un punto de recuperación continua Amazon S3 activo, se producirá un error en el trabajo de backup continuo.

Para migrar su punto de recuperación continua de Amazon S3 a su bóveda aislada de forma lógica desde una bóveda de copias de seguridad **desbloqueada**:

1. Actualice su plan de copias de seguridad para añadir una acción de copia a su bóveda aislada de forma lógica. Esto reducirá el costo de generar la copia de seguridad inicial en su bóveda, que tiene un vacío lógico. Omita este paso si ya está copiando en su bóveda local con espacios vacíos lógicos.

1. Compruebe que al menos una copia instantánea se haya completado correctamente en su almacén con huecos lógicos antes de continuar.

1. Desasocie el punto de recuperación continua de Amazon S3 existente. Llame a la [DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)API para cambiar el estado del punto de recuperación de DISPONIBLE a DETENIDO. Esta acción preserva los datos de respaldo existentes y evita que se agreguen nuevos datos.

1. Actualice el plan de copia de seguridad para añadir una bóveda aislada (`TargetLogicallyAirGappedBackupVaultArn`) de forma lógica como destino de la copia de seguridad.

1. Elimine cualquier acción de copia anterior del plan.

1. La próxima vez que se ejecute el plan de respaldo, se creará un nuevo punto de recuperación continua en su bóveda aislada de forma lógica. Este punto de recuperación será gradual y se basará en la instantánea copiada del paso 1.

Para migrar su punto de recuperación continua de Amazon S3 a su bóveda aislada de forma lógica desde una bóveda de backup **bloqueada**:

1. Actualice su plan de copias de seguridad para añadir una acción de copia a su bóveda aislada de forma lógica. Esto reducirá el costo de generar la copia de seguridad inicial en su bóveda, que tiene un vacío lógico. Omita este paso si ya está copiando en su bóveda local con espacios vacíos lógicos.

1. Compruebe que al menos una copia instantánea se haya completado correctamente en su almacén con huecos lógicos antes de continuar. Asegúrese de que la instantánea copiada tenga un período de retención lo suficientemente largo como para permanecer disponible hasta que complete todos los pasos.

1. Añada la bóveda con huecos lógicos como objetivo principal y elimine cualquier acción de copia.

   1. Este paso es obligatorio porque las bóvedas bloqueadas no permiten la disociación de los puntos de recuperación continua.

   1. Su punto de recuperación continua actual en la bóveda de backup bloqueada seguirá acumulando datos hasta que caduquen según su ciclo de vida.

   1. Los nuevos trabajos de backup continuo fallarán porque solo puede existir un punto de recuperación continua activo por recurso. Como estos trabajos están fallando, no se ejecutará ninguna acción de copia.

1. Espere a que caduque el punto de recuperación continua existente. Tras la caducidad, se creará un nuevo punto de recuperación continua en la bóveda con huecos lógicos. Este punto de recuperación se incrementará en función de la instantánea copiada del paso 1, siempre que la instantánea siga existiendo en su almacén con espacios vacíos de forma lógica.

1. Todos los datos acumulados en su almacén estándar se perderán al caducar. Solo se conservarán los datos de los que se haya hecho una copia de seguridad tras la creación del nuevo punto de recuperación en la bóveda aislada de forma lógica.

### Los recursos no admiten la ruta de migración de la administración completa AWS Backup
<a name="lag-primary-backup-not-full-management-migration"></a>

Los recursos que no se gestionan en su totalidad requieren una operación de copia en una bóveda aislada de forma lógica. El proceso crea un punto de recuperación temporal (facturable) en el almacén de copias de seguridad estándar, que se copia automáticamente en el almacén vacío de forma lógica y, después, se elimina una vez finalizada la copia. Cuando actualices tu plan de copias de seguridad para incluir un objetivo de bóveda cerrado de forma lógica:
+ Los trabajos de backup crearán un punto de recuperación en su bóveda de backup. Esto tiene un ciclo de vida determinado por el `DELETE_AFTER_COPY` evento.
+ Un trabajo de copia inicia automáticamente la transferencia del punto de recuperación a su bóveda con huecos lógicos.
+ Una vez que la copia se haya completado correctamente, se eliminará el punto de recuperación temporal de su almacén.
+ Si la copia falla, el punto de recuperación temporal se conserva durante un período máximo de acuerdo con el período de retención especificado, lo que garantiza que tenga un punto de recuperación utilizable.

## Resolución de problemas
<a name="lag-primary-backup-troubleshooting"></a>

### El trabajo de backup o copia falla debido a un error de incompatibilidad del ciclo de vida
<a name="lag-primary-backup-troubleshoot-lifecycle"></a>

**Error en los trabajos de copia de seguridad:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`

**Error en los trabajos de copia:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`

**Causa posible:** los trabajos de Backup o de copia fallan porque el período de retención no es compatible con la configuración de retención mínima o máxima de la bóveda, lógicamente aislada.

**Solución:** actualice su plan de copias de seguridad para especificar un período de retención que se sitúe dentro de los períodos de retención mínimo y máximo configurados para su almacén con brechas lógicas.

### Los trabajos de copia de seguridad continua fallan si «ya tiene habilitada la copia de seguridad continua»
<a name="lag-primary-backup-troubleshoot-continuous"></a>

**Error**: `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`

**Causa posible:** los trabajos de respaldo continuo fallan porque ya existe un punto de recuperación continua para el recurso en otro almacén.

**Solución:** cada recurso solo puede tener un punto de recuperación continuo. Si su almacén de respaldo está desbloqueado, desasocie el punto de recuperación continua existente mediante el [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)comando. Si su almacén de copias de seguridad está bloqueado, espere a que caduque el punto de recuperación continua existente según su ciclo de vida.

### El trabajo de backup finaliza con el mensaje «Finalizado con problemas» (tipo de recurso no compatible)
<a name="lag-primary-backup-troubleshoot-unsupported-resource"></a>

**Mensaje**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`

**Causa posible:** los trabajos de Backup de recursos no gestionados en su totalidad no compatibles muestran el mensaje «Se ha completado con problemas» con un mensaje que indica que el recurso no es compatible.

**Solución:** los tipos de recursos que no se admiten solo se realizarán copias de seguridad en el almacén de copias de seguridad. Si desea conservar estas copias de seguridad en su almacén de copias de seguridad, no es necesario realizar ninguna acción. Si prefiere no mezclar recursos no compatibles con su bóveda, que es lógica, puede:
+ Elimine el recurso o el objetivo de la bóveda con lagunas lógicas de su plan de respaldo para estos recursos y continúe haciendo copias de seguridad únicamente en su bóveda de respaldo. Posteriormente, puede añadir el recurso como parte de un plan diferente.

### El trabajo de backup finaliza con el mensaje «Finalizado con problemas»: clave de cifrado no compatible
<a name="lag-primary-backup-troubleshoot-encryption-key"></a>

**Mensaje**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`

**Causa posible:** los trabajos de Backup de recursos no gestionados en su totalidad no compatibles muestran el mensaje «Finalizado con problemas» con un mensaje que indica que el recurso está cifrado con una clave AWS gestionada.

**Solución:** los recursos no gestionados en su totalidad cifrados con claves AWS gestionadas no se pueden copiar a almacenes aislados de forma lógica. Si desea conservar estas copias de seguridad en su almacén de copias de seguridad, no es necesario realizar ninguna acción. Si prefiere no mezclar recursos no compatibles con su bóveda, que es lógica, puede:
+ Vuelva a cifrar sus recursos con una clave KMS gestionada por el cliente, o
+ Elimine el recurso o el objetivo de la bóveda con limitaciones lógicas de su plan de copia de seguridad para estos recursos y continúe realizando copias de seguridad únicamente en su almacén de copias de seguridad. Posteriormente, puede añadir el recurso como parte de un plan diferente.

### Los puntos de recuperación permanecen en `EXPIRED` estado
<a name="lag-primary-backup-troubleshoot-expired-recovery-points"></a>

**Causa posible:** los puntos de recuperación temporales pasan al `EXPIRED` estado pero no se eliminan.

**Solución:** AWS Backup puede carecer de permisos para eliminar los puntos de recuperación. Compruebe que su función de respaldo tenga los permisos de IAM necesarios. Es posible que tengas que eliminar manualmente los puntos `expired` de recuperación.

### Los trabajos de copia están en cola o fallan debido a la alta frecuencia de las copias de seguridad
<a name="lag-primary-backup-troubleshoot-queued-jobs"></a>

**Causa posible:** los trabajos de copia a bóvedas con espacios vacíos, por lógica, están en cola o fallan porque las copias de seguridad se programan con más frecuencia de la que se pueden completar las copias.

**Solución:** reduzca la frecuencia de las copias de seguridad o ajuste la programación de las copias de seguridad para permitir más tiempo entre las copias de seguridad. Consulte la [documentación sobre AWS Backup las cuotas](aws-backup-limits.md#lag-vault-quotas-table) para obtener información sobre los límites de copias simultáneas.

# Aprobación de varias partes para almacenes aislados lógicamente
<a name="multipartyapproval"></a>



## Información general sobre la aprobación de varias partes en un almacén aislado lógicamente
<a name="multipartyapproval-overview"></a>

AWS Backup le ofrece la opción de añadir la [aprobación multipartita](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), una capacidad desde, a sus bóvedas aisladas de AWS Organizations forma lógica. La aprobación de varias partes es una opción adicional para proteger las operaciones críticas mediante un proceso de aprobación distribuido. 

La aprobación de varias partes está diseñada para proteger los recursos críticos y minimizar el tiempo de inactividad, por ejemplo, en caso de una interrupción provocada por agentes malintencionados o eventos de malware. Esta configuración puede ayudarle a restaurar el contenido de un almacén aislado lógicamente que podría estar comprometido.

La integración y el uso de equipos de aprobación de varias partes con almacenes aislados lógicamente de AWS Backup no generan ningún costo adicional (se aplican cargos por almacenamiento y transferencias entre regiones, tal y como se muestra en la página de [precios](https://aws.amazon.com/backup/pricing)).

Como AWS Backup cliente, puede utilizar la aprobación de varias partes para conceder la capacidad de aprobación de algunas operaciones a un grupo de personas de confianza que puedan aprobar de forma colaborativa el acceso a un depósito cerrado de forma lógica desde una cuenta de recuperación creada por separado en caso de sospecha de actividad maliciosa que pueda comprometer el uso de la cuenta principal.

En los siguientes pasos se describe el flujo recomendado para configurar una organización de AWS de recuperación, definir la aprobación de varias partes y, a continuación, utilizar dicha aprobación con sus almacenes aislados lógicamente:

1. Un administrador [crea una nueva organización a través de Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) para utilizarla en las operaciones de recuperación.

1. En la cuenta de administración de esta nueva organización, el administrador crea y configura una instancia de IAM Identity Center (IDC) (para activar una instancia de organización, consulte [Activación del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) en la *Guía del usuario del IAM Identity Center*). Consulte también la secuencia de [Creación de un origen de identidad de aprobación de varias partes](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) en la *Guía del usuario de aprobación de varias partes*.

1. A continuación, el administrador [creará un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), que es el grupo central de personas de confianza que serán los principales usuarios de la aprobación de varias partes.

1. El administrador suele AWS RAM [compartir un equipo de aprobación](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) con cada cuenta que posea una bóveda aislada de forma lógica y con la cuenta de recuperación que necesita solicitar acceso a esa bóveda.

1. El administrador de la cuenta, que es propietario de la bóveda, lógicamente vacía, [asocia](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) la bóveda con un equipo de aprobación.

1. Una cuenta de recuperación [solicita acceder](multipartyapproval-tasks-requester.md#create-restore-access-vault) a una cuenta que tiene un almacén aislado lógicamente con un equipo de aprobación de varias partes asociado (“equipo”). El equipo asociado a la cuenta [aprueba o rechaza la solicitud](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. El administrador de la cuenta propietaria del almacén aislado lógicamente puede solicitar que [se desasocie al equipo de aprobación del almacén](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). La solicitud requiere la aprobación del equipo actual.

1. Un administrador puede [actualizar la membresía del equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) según sea necesario de acuerdo con sus prácticas de seguridad o cuando las personas se unan o abandonen su organización.

## Requisitos previos y prácticas recomendadas para utilizar la aprobación de varias partes con un almacén aislado lógicamente
<a name="multipartyapproval-prerequisites"></a>

Para poder utilizar la aprobación de varias partes en sus almacenes aislados lógicamente de forma eficaz y segura, deben cumplirse una serie de requisitos previos y seguirse las prácticas recomendadas.

**Prácticas recomendadas:**
+ Dos (o más) AWS organizaciones a través de Organizations. Una de ellas debe ser la organización principal, en la que tiene una o más cuentas con al menos un almacén aislado lógicamente. La organización secundaria debe ser la organización de recuperación. Es en esta organización donde se administrará el equipo de aprobación de varias partes.

**Requisitos previos**

1. [Ha configurado la aprobación de varias partes](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) y dispone de al menos un equipo de aprobación.

1. Como mínimo, una cuenta de la organización principal debe tener un almacén aislado lógicamente (y el almacén de copias de seguridad original).

1. La cuenta de administración de la organización principal está suscrita a la aprobación de varias partes.
**sugerencia**  
AWS Backup recomienda aplicar una política de control de servicios (SCP) a su organización principal y configurarla con los permisos adecuados para la organización y para cada equipo de aprobación. Consulte la sección [Términos de la aprobación de varias partes](#multipartyapproval-terms) para ver una política de ejemplo.

1. El equipo de aprobación de varias partes de la organización secundaria (de recuperación) se [comparte a través de AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) con ambas cuentas que poseen los almacenes aislados lógicamente y las cuentas de recuperación.

## Consideraciones y dependencias entre regiones a la hora de utilizar la aprobación de varias partes
<a name="multipartyapproval-cross-region"></a>

Si activa la aprobación de varias partes y su instancia de IAM Identity Center en regiones diferentes, la aprobación de varias partes llama al IAM Identity Center desde distintas regiones. Esto significa que la información de los usuarios y los grupos se transfiere de una región a otra. Los recursos del equipo de aprobación multipartito solo se pueden crear y almacenar en Región de AWS EE. UU. Este (Virginia del Norte).

Los demás recursos del equipo de aprobación multipartito Regiones de AWS que hagan referencia dependerán de la zona Este de EE. Región de AWS UU. (Virginia del Norte). En consecuencia, la aprobación multipartita permitirá realizar llamadas entre regiones si su instancia del Centro de Identidad (bóveda, and/or lógicamente cerrada) no se encuentra en EE. UU. Este (Virginia del Norte).

## Términos, conceptos y usuarios de la aprobación de varias partes
<a name="multipartyapproval-terms"></a>

La aprobación por parte de varias partes en una bóveda hermética y lógica es una integración de AWS Organizations las funciones (IAM) y ( AWS Account Management RAM) y AWS Backup(RAM). AWS Identity and Access Management AWS RAM A través de la CLI, puede interactuar con cada servicio para enviar los comandos correspondientes. También puede usar la consola, pero tendrá que ir a la consola del servicio correspondiente para completar tareas específicas.

La forma en que interactúes con la aprobación multipartita depende de tus funciones y responsabilidades en tus organizaciones, así como de los permisos de los que dispongas en tus cuentas. AWS Backup 

Tal como se muestra en la [Guía del usuario de la aprobación de varias partes](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), los miembros de su organización que utilicen la aprobación de varias partes serán un ***solicitante***, un ***administrador*** o un ***aprobador***. Se aplican permisos específicos a cada [rol de trabajo](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). De acuerdo con las prácticas recomendadas de seguridad, un usuario solo debe llevar a cabo un rol de trabajo.

 **Consolas, portales y sesiones** 

AWS Backup las cuentas con una o más bóvedas aisladas de forma lógica pueden utilizar la aprobación de varias partes.

Antes del proceso de aprobación multipartito, el administrador suele crear una organización secundaria con fines de recuperación (una organización de recuperación) si no se **ha creado ninguna** anteriormente. AWS Organizations 

A continuación, el administrador utiliza la memoria AWS Resource Access Manager RAM para configurar el intercambio entre organizaciones entre la organización principal y la organización de recuperación.

La **organización principal** alberga las cuentas que poseen y utilizan un almacén aislado lógicamente en el que se almacenan los datos protegidos.

La organización de recuperación alberga al menos una **cuenta de recuperación**. Esta cuenta incluye un punto de acceso que puede utilizarse como “puerta trasera” esencial para acceder al almacén aislado lógicamente compartido. Este punto de acceso se denomina **almacén de copias de seguridad con acceso a la restauración**. Este almacén de acceso no almacena datos, sino que se utiliza como punto de acceso o montaje que refleja el contenido del almacén aislado lógicamente de origen pero no contiene datos que puedan modificarse o eliminarse. Por ejemplo, si un cliente realiza el proceso de restauración para un punto de recuperación en un almacén de copias de seguridad con acceso a la restauración, es el punto de recuperación del almacén aislado lógicamente el que se restaura mediante la restauración entre cuentas a través de la cuenta de recuperación.

Para incrementar la seguridad, los clientes utilizan esta cuenta de recuperación para llevar a cabo operaciones protegidas en la cuenta principal, pero solo después de que el [equipo de aprobación asociado haya aprobado dichas operaciones en una sesión de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). AWS Una vez que se envía una solicitud de aprobación, se crea una sesión y esa sesión finaliza cuando un número mínimo de miembros del equipo de aprobación aprueba o deniega la solicitud o cuando ha transcurrido el tiempo de sesión permitido. 

Un equipo está formado por **aprobadores** (es decir, las *partes* de la aprobación de varias partes) que reciben notificaciones por correo electrónico de las solicitudes de operaciones protegidas. Estos correos electrónicos confirman que se ha iniciado una sesión de aprobación de la solicitud. La aprobación se concede si se alcanza el umbral mínimo de aprobación requerido. Este umbral se puede establecer al crear el **equipo de aprobación de varias partes** (“Equipo”).

Los equipos de aprobación multipartitos se gestionan a través del **portal de aprobación multipartita** de Organizations («portal»), una aplicación AWS gestionada que proporciona a las identidades una ubicación centralizada donde los miembros del equipo de aprobación pueden recibir y responder a las invitaciones y solicitudes de operación del equipo de aprobación.

# Tareas del administrador
<a name="multipartyapproval-tasks-administrator"></a>

Varias tareas que implicaban AWS Backup una visión general multipartita requerían un usuario con permisos de administrador y acceso a la cuenta de administración.

## Creación de un equipo de aprobación
<a name="create-multipartyapproval-team"></a>

Un usuario de tu organización con permisos de administrador para una AWS cuenta debe [configurar la aprobación multipartita](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (paso 3 de la [descripción general](multipartyapproval.md#multipartyapproval-overview)).

Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de [Información general](multipartyapproval.md#multipartyapproval-overview)).

Consulte [Creación de un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) en la *Guía del usuario de aprobación de varias partes* para crear el equipo.

Durante la operación [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html), uno de los parámetros es `policies`. Esta es una lista de ARNs (nombres de recursos de Amazon) para políticas de recursos de aprobación multipartita que definen los permisos que protegen al equipo.

La política que se muestra en el ejemplo de la *Guía del usuario de aprobación de varias partes* en el procedimiento [Creación de un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contiene la política `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` con varios permisos necesarios. 

Siga estos pasos para obtener una lista de las políticas disponibles mediante `mpa list-policies`:

1. Enumerar las políticas: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Enumerar todas las versiones de las políticas: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Obtener información detallada sobre una política: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:

### Restauración de la política de acceso al almacén
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Comparta un equipo de aprobación multipartito mediante AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

[Puedes compartir un equipo de aprobación multipartito con otras AWS cuentas mediante [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), paso 4 de la descripción general.](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Comparta un equipo de aprobación multipartito mediante AWS RAM**

1. Inicie sesión en la [consola de AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. En el panel de navegación, elija **Recursos compartidos**.

1. Elija **Crear recurso compartido**.

1. En el campo **Nombre**, introduzca un nombre descriptivo para el recurso compartido.

1. En **Tipo de recurso**, seleccione **Equipo de aprobación de varias partes** en el menú desplegable.

1. En **Recursos**, seleccione el equipo de aprobación que quiere compartir.

1. En **Directores**, especifique las AWS cuentas con las que quiere compartir el equipo de aprobación.

1. Para compartir con AWS cuentas específicas, selecciona las **AWS cuentas** e introduce la cuenta de 12 dígitos. IDs

1. Para compartir con una organización o unidad organizativa, seleccione **Organización** o **Unidad organizativa** e introduzca el ID correspondiente.

1. (*Opcional*) En **Etiquetas**, añada cualquier etiqueta que quiera asociar a este recurso compartido.

1. Elija **Crear recurso compartido**.

El estado del recurso compartido se mostrará inicialmente como `PENDING`. Cuando las cuentas del destinatario acepten la invitación, el estado cambiará a `ACTIVE`.

------
#### [ CLI ]

Para compartir un equipo de aprobación multipartito AWS RAM mediante la CLI, utilice los siguientes comandos:

En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:

```
aws mpa list-approval-teams --region us-east-1
```

Cree un recurso compartido mediante el create-resource-share comando:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Para compartir con una organización en lugar de con cuentas específicas, haga lo siguiente:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Compruebe el estado del recurso compartido:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

Las cuentas del destinatario deberán aceptar la invitación para el uso compartido de un recurso:

```
aws ram get-resource-share-invitations --region us-east-1
```

Inicie sesión en la cuenta del destinatario para aceptar una invitación:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Después de aceptar la invitación, el equipo de aprobación de varias partes ya se podrá usar en la cuenta del destinatario.

------

AWS ofrece herramientas para compartir el acceso a la cuenta, incluido el [acceso [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)directo y multipartito](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:


| Característica | AWS RAM compartición basada | Acceso basado en la aprobación de varias partes | 
| --- | --- | --- | 
| Acceso a almacenes aislados lógicamente | Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. | Cualquier intento por parte de una cuenta diferente debe ser aprobado por un umbral mínimo de miembros del equipo de aprobación de varias partes. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud. | 
| Retirada del acceso | La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. | El acceso a un almacén solo se puede eliminar mediante una solicitud al equipo de aprobación de varias partes. | 
| Copia entre cuentas y and/or regiones | No se admite actualmente. | Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación. | 
| Facturación por transferencia entre regiones |  | Las transferencias entre regiones se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración. | 
| Uso recomendado | El uso principal es para recuperar datos perdidos y para probar la restauración. | El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos. | 
| Regiones | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos lógicos. | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos. | 
| Restaura | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. | 
| Configuración | El uso compartido se puede realizar tan pronto como la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. | El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración se suscribe a la aprobación de varias partes y asigna ese equipo a un almacén aislado lógicamente. | 
| Uso compartido |  El uso compartido se realiza a través de la RAM dentro de AWS la misma organización o entre AWS organizaciones. El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso.  |  El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones. El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud.  | 

# Tareas del solicitante
<a name="multipartyapproval-tasks-requester"></a>

## Asocie un equipo de aprobación multipartito a una bóveda cerrada de forma lógica
<a name="associate-multipartyapproval-team"></a>

Solicitante: **usuario con acceso a la cuenta propietaria del almacén aislado lógicamente**

Puede asociar un equipo de aprobación de varias partes a un almacén aislado lógicamente para permitir la aprobación colaborativa del acceso al almacén (paso 5 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Asocia un equipo de aprobación multipartito a una bóveda con huecos lógicos**

1. [Abra la consola en AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.

1. Seleccione el almacén de copias de seguridad aislado lógicamente que desee asociar a un equipo de MPA.

1. En la página **Detalles del almacén**, seleccione **Asignar equipo de aprobación**.

1. En el menú desplegable, seleccione el equipo de aprobación que desea asociar al almacén.

1. *Opcional* Escriba un comentario donde explique el motivo de la asociación.

1. Seleccione **Enviar solicitud** para enviar la solicitud de asociación.

Si es el primer equipo de aprobación que se asocia al almacén, el equipo se asociará al almacén. Si el almacén ya tiene un equipo asociado, consulte [Actualización de un equipo de aprobación de varias partes](#update-multpartyapproval-team) para ver los pasos a seguir.

------
#### [ CLI ]

Utilice el comando de CLI `associate-backup-vault-mpa-approval-team` modificado con los parámetros siguientes:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Si es el primer equipo de aprobación que se asocia al almacén, el equipo se asociará al almacén. Si el almacén ya tiene un equipo asociado, consulte [Actualización de un equipo de aprobación de varias partes](#update-multpartyapproval-team) para ver los pasos a seguir.

------

## Solicitud de acceso a un almacén aislado lógicamente
<a name="create-restore-access-vault"></a>

Solicitante: **usuario con acceso a la cuenta de recuperación**

Puede solicitar el acceso a un almacén aislado lógicamente en otra cuenta (paso 6 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).

Una vez que un equipo de aprobación haya accedido a la solicitud, AWS Backup crea una bóveda de respaldo con acceso de restauración en la cuenta de recuperación designada para que esa cuenta tenga acceso a los puntos de recuperación de la bóveda conectada y aislada de forma lógica.

------
#### [ Console ]

**Solicitud de acceso a un almacén aislado lógicamente**

1. [Abre la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.

1. Seleccione la pestaña **Almacenes accesibles a través de MPA**.

1. Seleccione **Solicitar acceso al almacén**.

1. Introduzca el ARN del almacén de copias de seguridad de origen del almacén aislado lógicamente al que desea acceder.

1. Introduzca un nombre opcional para el almacén de copias de seguridad con acceso a la restauración. Si no introduce un nombre, AWS Backup se le asignará uno basado en el nombre de la bóveda con huecos de aire de forma lógica.

1. Puede escribir un comentario opcional del solicitante que explique el motivo de la solicitud de acceso.

1. Seleccione **Enviar solicitud** para enviar la solicitud de acceso.

Los miembros del equipo de aprobación asociados al almacén de origen recibirán una notificación por correo electrónico para aprobar la solicitud.

Cuando el número requerido de miembros del equipo (“umbral”) apruebe la solicitud, se creará el almacén de copias de seguridad con acceso a la restauración en la cuenta de recuperación.

------
#### [ CLI ]

Utilice el comando `create-restore-access-backup-vault` CLI:

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Los miembros del equipo de aprobación MPA asociados al almacén de origen recibirán una notificación por correo electrónico para aprobar la solicitud. Cuando el número requerido de miembros del equipo (“umbral”) apruebe la solicitud, se creará el almacén de copias de seguridad con acceso a la restauración en la cuenta de recuperación.

También puede comprobar el estado del almacén con:

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Desasociación del equipo de aprobación de varias partes del almacén aislado lógicamente
<a name="disassociate-multipartyapproval-team"></a>

Solicitante: **administrador de la cuenta propietaria del almacén aislado lógicamente**

Puede desasociar un equipo de aprobación de varias partes de un almacén aislado lógicamente (paso 7 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Disocia al equipo de aprobación de la bóveda con espacios vacíos de forma lógica**

1. [Abra la consola en AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.

1. Seleccione el almacén de copias de seguridad aislado lógicamente desde el que desee desasociar al equipo de aprobación.

1. En la página **Detalles del almacén**, seleccione **Desasociar equipo de aprobación**.

1. Puede escribir un comentario opcional del solicitante que explique el motivo de la desasociación.

1. Seleccione **Enviar solicitud** para enviar la solicitud de desasociación.

Los miembros actuales del equipo de aprobación recibirán una notificación para aprobar la solicitud.

Cuando el número requerido de miembros del equipo lo apruebe, se desasociará al equipo del almacén.

------
#### [ CLI ]

Utilice el comando `disassociate-backup-vault-mpa-approval-team` CLI:

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Los miembros actuales del equipo de aprobación MPA recibirán una notificación para aprobar la solicitud. Cuando el número requerido de miembros del equipo lo apruebe, se desasociará al equipo del almacén.

------

## Revocación del almacén de copias de seguridad de acceso a la restauración
<a name="revoke-restore-access-vault"></a>

Solicitante: **administrador de la cuenta propietaria del almacén aislado lógicamente**

Puede revocar el acceso a un almacén de copias de seguridad con acceso a la restauración desde la cuenta del almacén de origen.

------
#### [ Console ]

**Revocación del almacén de copias de seguridad de acceso a la restauración**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.

1. Seleccione el almacén de copias de seguridad aislado lógicamente para el que quiere revocar el acceso.

1. En la página **Detalles del almacén**, desplácese hacia abajo hasta la sección **Acceso mediante aprobación de varias partes**.

1. Busque el almacén de copias de seguridad con acceso a la restauración que desea revocar y, a continuación, seleccione **Solicitud para eliminar el acceso al almacén**.

1. Puede escribir un comentario opcional del solicitante que explique el motivo de la revocación.

1. Seleccione **Enviar solicitud** para enviar la solicitud de revocación.

Los miembros del equipo de aprobación recibirán una notificación para aprobar la solicitud.

Cuando el número requerido de miembros del equipo apruebe la solicitud, se eliminará el almacén de copias de seguridad con acceso a la restauración de la cuenta de recuperación.

------
#### [ CLI ]

En primer lugar, enumere los almacenes con acceso a la restauración asociados a su almacén de origen:

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

A continuación, utilice el comando `revoke-restore-access-backup-vault` de la CLI:

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Los miembros del equipo de aprobación recibirán una notificación para aprobar la solicitud. Cuando el número requerido de miembros del equipo apruebe la solicitud, se eliminará el almacén de copias de seguridad con acceso a la restauración de la cuenta de recuperación.

------

## Actualice el equipo de aprobación multipartito asociado a una bóveda con huecos lógicos
<a name="update-multpartyapproval-team"></a>

Solicitante: **administrador de la cuenta propietaria del almacén aislado lógicamente**

Puede actualizar el equipo de aprobación de varias partes asociado a un almacén aislado lógicamente (paso 8 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Actualización del equipo de aprobación asociado a un almacén aislado lógicamente**

1. [Abre la consola en AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.

1. Seleccione el almacén de copias de seguridad aislado lógicamente para el que quiere actualizar el equipo de aprobación.

1. En la página Detalles del almacén, seleccione **Solicitar cambio de equipo de aprobación**.

1. En el menú desplegable, seleccione el nuevo equipo de aprobación que desea asociar al almacén.

1. Puede escribir un comentario opcional del solicitante que explique el motivo del cambio.

1. Seleccione **Enviar solicitud** para enviar la solicitud de modificación.

Los miembros actuales del equipo de aprobación recibirán una notificación por correo electrónico para aprobar la solicitud.

Cuando el número requerido de miembros del equipo (umbral) del equipo de MPA actual (límite) apruebe la solicitud, el nuevo equipo se asociará al almacén.

------
#### [ CLI ]

Utilice el comando `associate-backup-vault-mpa-approval-team` de la CLI con el nuevo ARN del equipo:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Los miembros actuales del equipo de aprobación recibirán una notificación para aprobar la solicitud. Cuando el número requerido de miembros del equipo (umbral) actual apruebe la solicitud, el nuevo equipo de MPA se asociará al almacén.

------

# Tareas del aprobador
<a name="multipartyapproval-tasks-approver"></a>

Un usuario que sea miembro de un equipo de aprobación de varias partes puede [aprobar o denegar solicitudes](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) que forman parte de una sesión. Otras tareas pueden ser:
+ [Responder a las operaciones solicitadas](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Visualizar un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Visualizar el historial de operaciones](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)

# Políticas de acceso a almacenes
<a name="create-a-vault-access-policy"></a>

Con él AWS Backup, puede asignar políticas a las bóvedas de respaldo y a los recursos que contienen. La asignación de políticas le permite hacer cosas como conceder acceso a los usuarios para crear planes de copia de seguridad y copias de seguridad bajo demanda, pero limitar su capacidad de eliminar puntos de recuperación una vez creados.

Para obtener información sobre el uso de políticas para conceder o restringir el acceso a recursos, consulte [Políticas basadas en identidad y políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) en la *Guía del usuario de IAM*. También puede controlar el acceso mediante etiquetas.

Puede utilizar las siguientes políticas de ejemplo como guía para limitar el acceso a los recursos cuando trabaje con AWS Backup almacenes. A diferencia de otras políticas basadas en la IAM, las políticas de AWS Backup acceso no admiten el uso de un comodín en la clave. `Action`

Para obtener una lista de los nombres de recursos de Amazon (ARNs) que puede utilizar para identificar los puntos de recuperación de distintos tipos de recursos, consulte el punto [AWS Backup recurso ARNs](access-control.md#resource-arns-table) de recuperación específico del recurso. ARNs

Las políticas de acceso a Vault solo controlan el acceso de los usuarios a. AWS Backup APIs También se puede acceder a algunos tipos de copias de seguridad, como las instantáneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service (Amazon RDS), mediante estos servicios. APIs Puede crear políticas de acceso independientes en IAM que controlen el acceso a dichas políticas para controlar completamente el acceso APIs a esos tipos de copias de seguridad.

Independientemente de la política de acceso del AWS Backup almacén, se `backup:CopyIntoBackupVault` rechazará el acceso entre cuentas para cualquier acción que no sea la que no sea la del recurso al que se hace referencia. Es decir, se AWS Backup rechazará cualquier otra solicitud de una cuenta que no sea la cuenta del recurso al que se hace referencia.

**Topics**
+ [Denegación del acceso a un tipo de recurso en un almacén de copias de seguridad](#deny-access-to-ebs-snapshots)
+ [Denegación del acceso a un almacén de copias de seguridad](#deny-access-to-a-backup-vault)
+ [Denegación del acceso para eliminar puntos de recuperación en un almacén de copias de seguridad](#deny-access-to-delete-recovery-points)

## Denegación del acceso a un tipo de recurso en un almacén de copias de seguridad
<a name="deny-access-to-ebs-snapshots"></a>

Esta política deniega el acceso a las operaciones de API especificadas para todas las instantáneas de Amazon EBS de un almacén de copias de seguridad.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}
```

------

## Denegación del acceso a un almacén de copias de seguridad
<a name="deny-access-to-a-backup-vault"></a>

Esta política deniega el acceso a las operaciones de API especificadas dirigidas a un almacén de copias de seguridad.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}
```

------

## Denegación del acceso para eliminar puntos de recuperación en un almacén de copias de seguridad
<a name="deny-access-to-delete-recovery-points"></a>

El acceso a los almacenes y la capacidad de eliminar puntos de recuperación almacenados en ellos se determinará en función del acceso que conceda a los usuarios.

Siga estos pasos para crear una política de acceso basada en recursos en un almacén de copias de seguridad que impida la eliminación de todas las copias de seguridad del almacén.

**Para crear una política de acceso basada en recursos en un almacén de copias de seguridad**

1. Inicie sesión en y abra la Consola de administración de AWS AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación de la izquierda, elija **Backup vaults (Almacenes de copias de seguridad)**.

1. Elija un almacén de copias de seguridad en la lista.

1. En la sección **Access policy (Política de acceso)**, pegue el siguiente ejemplo de JSON. Esta política impide que cualquier persona que no sea la entidad principal elimine un punto de recuperación en el almacén de copias de seguridad de destino.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AIDA1234567890EXAMPLE",
                          "AROA1234567890EXAMPLE:my-role-session",
                          "AROA1234567890EXAMPLE:*",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

   Para permitir que las identidades de IAM de la lista utilicen su ARN, utilice la clave de condición global `aws:PrincipalArn` del siguiente ejemplo.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "DenyDeleteRecoveryPoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "backup:DeleteRecoveryPoint",
         "Resource": "*",
         "Condition": {
           "ArnNotEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::112233445566:role/mys3role",
               "arn:aws:iam::112233445566:user/shaheer",
               "arn:aws:iam::112233445566:root"
             ]
           }
         }
       }
     ]
   }
   ```

------

   Para obtener información acerca de cómo obtener un ID único para una entidad de IAM, consulte [Obtener el identificador único](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id) en la *Guía del usuario de IAM*.

   Si desea limitar esto a tipos de recursos específicos, en lugar de `"Resource": "*"`, puede incluir explícitamente los tipos de puntos de recuperación que se van a denegar. Por ejemplo, para las instantáneas de Amazon EBS, cambie el tipo de recurso por lo siguiente.

   ```
   "Resource": ["arn:aws:ec2::Region::snapshot/*"]
   ```

1. Elija **Asociar política**.

# AWS Backup Vault Lock
<a name="vault-lock"></a>

**nota**  
AWS Backup Cohasset Associates ha evaluado Vault Lock para su uso en entornos sujetos a las normas SEC 17a-4, la CFTC y la FINRA. [Para obtener más información sobre la relación de AWS Backup Vault Lock con estas normas, consulte la evaluación de conformidad de Cohasset Associates.](samples/cohassetreport.zip)

AWS Backup Vault Lock es una función opcional de las bóvedas de respaldo, que puede resultar útil para proporcionarle seguridad y control adicionales sobre las bóvedas de respaldo. Cuando hay un bloqueo activo en el modo de conformidad y ha transcurrido el tiempo de gracia, el cliente o el account/data propietario no podrá modificar ni eliminar la configuración del almacén AWS mientras contenga puntos de recuperación. Cada almacén puede tener implementado un bloqueo de almacén.

AWS Backup garantiza que sus copias de seguridad estén disponibles para usted hasta que venzan sus períodos de retención. Si algún usuario (incluido el usuario root) intenta eliminar una copia de seguridad o cambiar las propiedades del ciclo de vida de un almacén bloqueado, AWS Backup denegará la operación.
+ Los usuarios con permisos de IAM suficientes pueden eliminar el bloqueo de los almacenes bloqueadas en **modo de gobernanza**.
+ Los almacenes bloqueadas en **modo de gobernanza** *no se pueden eliminar* una vez que el periodo de reflexión (**“periodo de gracia”**) venza si hay puntos de recuperación en el almacén. Durante el periodo de gracia, aún puede eliminar el bloqueo del almacén y cambiar la configuración del bloqueo.

**aviso**  
Una vez transcurrido el tiempo de gracia, el almacén y su bloqueo son inmutables y ningún usuario ni ningún usuario podrá cambiarlos ni eliminarlos. AWS Las copias de seguridad de un almacén cerrado no se pueden eliminar hasta que se complete su ciclo de vida, lo que se traduce en costes persistentes si no se tiene cuidado. Por ejemplo, asegúrese de que no haya puntos de recuperación con un período de retención establecido en «Siempre»; una vez que venza el tiempo de gracia, estos puntos de recuperación se conservarán para siempre y no se podrán modificar ni eliminar.

## Modos de bloqueo del almacén
<a name="backup-vault-lock-modes"></a>

Al crear un bloqueo de almacén, puede elegir entre dos modos: el **modo de gobernanza** o el **modo de cumplimiento**. El modo de gobernanza está diseñado para permitir que solo usuarios con suficientes privilegios de IAM administren el almacén. El modo de gobernanza ayuda a una organización a cumplir los requisitos de gobernanza, ya que garantiza que solo el personal designado pueda hacer cambios en un almacén de copias de seguridad. El modo de cumplimiento está pensado para almacenes de copias de seguridad en los que se espera que el almacén (y, por extensión, su contenido) no se vaya a eliminar ni modificar nunca hasta que se complete el periodo de retención de datos. Una vez que un almacén en modo de conformidad está bloqueado, es **inmutable**, lo que significa que el bloqueo *no se puede eliminar* (el propio almacén se puede eliminar si está vacío y no contiene ningún punto de recuperación).

Los usuarios que dispongan de los permisos de IAM adecuados pueden administrar o eliminar un almacén bloqueado en modo gobernanza.

Un bloqueo de almacén en modo de cumplimiento no puede ser modificado ni eliminado por ningún usuario ni por AWS. Un almacén bloqueado en modo de cumplimiento tiene un periodo de gracia que se establece antes de que se bloquee y los contenidos del almacén pasan a ser inmutables.

## Ventajas del bloqueo de almacenes
<a name="backup-vault-lock-benefits"></a>

AWS Backup Vault Lock ofrece varias ventajas, entre las que se incluyen las siguientes:
+ Configuración de WORM (*escritura única y lectura múltiple*) para todas las copias de seguridad que almacene y cree en un almacén de copias de seguridad.
+ Una capa de defensa adicional que protege las copias de seguridad (puntos de recuperación) de sus almacenes de copias de seguridad contra eliminaciones involuntarias o malintencionadas.
+ Aplica los períodos de retención, lo que evita que los usuarios con privilegios (incluido el usuario Cuenta de AWS root) los eliminen anticipadamente y cumple con las políticas y los procedimientos de protección de datos de la organización.

## Bloqueo de un almacén de copias de seguridad mediante la consola
<a name="lock-backup-vault-console"></a>

Puede añadir un candado de bóveda a su AWS Backup bóveda mediante la consola Backup.

Para agregar un bloqueo de almacén a su almacén de copias de seguridad:

1. Inicie sesión en y abra la AWS Backup consola en [https://console.aws.amazon.com/backup. Consola de administración de AWS](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Almacenes de copia de seguridad**. Haga clic en el enlace anidado debajo de Almacenes de copia de seguridad denominado **Bloqueos de almacén**.

1. En **Cómo funcionan los bloqueos de almacén** o **Bloqueos de almacén**, haga clic en **\$1 crear bloqueo de almacén**.

1. En el panel **Detalles del bloqueo de almacén**, elija el almacén al que desea que se aplique el bloqueo.

1. En **Modo de bloqueo de almacenes**, elija el modo en el que desea bloquear su almacén. Para obtener más información sobre cómo elegir los modos, consulte [Modos de bloqueo del almacén ](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes), que aparece antes en esta página.

1. Para el **Periodo de retención**, elija los periodos de retención mínimo y máximo (los periodos de retención son *opcionales*). Los nuevos trabajos de copia y copia de seguridad creados en el almacén darán un error si no se ajustan a los periodos de retención que haya establecido; estos periodos no se aplicarán a los puntos de recuperación que ya estén en el almacén. Los puntos de recuperación que estaban presentes en el almacén antes de que se activara el bloqueo del almacén seguirán su configuración de ciclo de vida anterior.

1. Si ha elegido el modo de cumplimiento, aparecerá una sección denominada **Fecha de inicio del bloqueo de almacén**. Si ha elegido el modo de gobernanza, esto no se mostrará y podrá omitir este paso.

   En el modo de cumplimiento, un bloqueo de almacén tiene un periodo de reflexión desde su creación hasta que el almacén y su bloqueo se vuelven inmutables e incambiables. Usted elige la duración de este periodo (denominado **periodo de gracia**), aunque debe ser de *al menos* 3 días (72 horas).
**importante**  
Una vez transcurrido el tiempo de gracia, el depósito y su bloqueo son inmutables y ningún usuario ni ningún usuario podrá cambiarlos ni eliminarlos. AWS

1. Cuando esté satisfecho con las opciones de configuración, haga clic en **Crear bloqueo de almacén**.

1. Para confirmar que desea crear este bloqueo en el modo elegido, escriba `confirm` en el cuadro de texto y, a continuación, marque la casilla para confirmar que la configuración es la deseada.

Si los pasos se han completado correctamente, aparecerá un banner en la parte superior de la consola que indica que el proceso se ha realizado correctamente.

## Bloqueo de un almacén de copias de seguridad mediante programación
<a name="lock-backup-vault-cli"></a>

Para configurar AWS Backup Vault Lock, utilice la API. `[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)` Los parámetros que se incluyan dependerán del modo de bloqueo de almacén que desee utilizar. Si desea crear un bloqueo de almacén en modo de gobernanza, **no incluya** `ChangeableForDays`. Si incluye este parámetro, el bloqueo del almacén se creará en modo de cumplimiento.

Este es una CLI de ejemplo de creación de un bloqueo de almacén en modo de cumplimiento:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30
```

Este es una CLI de ejemplo de creación de un bloqueo de almacén en modo de gobernanza:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30
```

Puede configurar cuatro opciones. 

1. `BackupVaultName`

   El nombre del almacén que se va a bloquear.

1. `ChangeableForDays` (se incluye *solo* para el modo de cumplimiento)

   Este parámetro indica AWS Backup que se cree el bloqueo del almacén en **modo de conformidad.** Omita este parámetro si desea crear el bloqueo en el **modo de gobernanza**.

   Este valor se expresa en días. Debe ser un número no inferior a 3 ni superior a 36 500; de lo contrario, se generará un error.

   Desde la creación de este bloqueo de almacén hasta el vencimiento de la fecha especificada, el bloqueo de almacén se puede quitar de la bóveda mediante `DeleteBackupVaultLockConfiguration`. Como alternativa, durante este tiempo, puede cambiar la configuración mediante `PutBackupVaultLockConfiguration`.

   A partir de la fecha especificada, determinada por este parámetro, el almacén de copias de seguridad será inmutable y no se podrá modificar ni eliminar.

1. `MaxRetentionDays` *(opcional)*

   Es un valor numérico expresado en días. Es el periodo máximo de retención durante el cual el almacén retiene sus puntos de recuperación.

   El periodo máximo de retención que elija debe estar en consonancia con las políticas de retención de datos de su organización. Si su organización exige que los datos se retengan durante un periodo determinado, este valor se puede establecer en ese periodo (en días). Por ejemplo, es posible que sea necesario conservar los datos financieros o bancarios durante 7 años (aproximadamente 2557 días, según los años bisiestos).

   Si no se especifica, AWS Backup Vault Lock no aplicará un período máximo de retención. Si se especifica, no se podrán realizar copias ni copias de seguridad en este almacén con periodos de retención del ciclo de vida superiores al periodo máximo de retención. Los puntos de recuperación ya guardados en el almacén antes de la creación del bloqueo no se ven afectados. El periodo de retención máximo más largo que puede especificar es de 36 500 días (aproximadamente 100 años).

1. `MinRetentionDays`(*opcional*; obligatorio para CloudFormation)

   Es un valor numérico expresado en días. Es el periodo mínimo de retención durante el cual el almacén retiene sus puntos de recuperación. Esta configuración debe ajustarse a la cantidad de tiempo que su organización está *obligada* a mantener los datos. Por ejemplo, si la normativa o las leyes exigen que los datos se conserven durante al menos siete años, el valor en días sería de aproximadamente 2557, según los años bisiestos.

   Si no se especifica, AWS Backup Vault Lock no aplicará un período mínimo de retención. Si se especifica, no se podrán realizar copias ni copias de seguridad en este almacén con periodos de retención del ciclo de vida inferiores al periodo mínimo de retención. Los puntos de recuperación que ya estaban guardados en la bóveda antes del bloqueo de la AWS Backup bóveda no se ven afectados. El periodo de retención mínimo más corto que puede especificar es de 1 día.

## Revise la configuración de Vault Lock de una AWS Backup bóveda de respaldo
<a name="review-vault-lock-config"></a>

Puede revisar los detalles de AWS Backup Vault Lock de una bóveda en cualquier momento llamando `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` o `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs.

Para determinar si ha aplicado un bloqueo de almacén a un almacén de copias de seguridad, llama a `DescribeBackupVault` y comprueba la propiedad `Locked`. Si`"Locked": true`, como en el ejemplo siguiente, ha aplicado AWS Backup Vault Lock a su bóveda de respaldo.

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```

El resultado anterior confirma las opciones siguientes:

1. `Locked`es un booleano que indica si ha aplicado AWS Backup Vault Lock a esta bóveda de respaldo. `True`significa que AWS Backup Vault Lock provoca un error en las operaciones de eliminación o actualización de los puntos de recuperación almacenados en el almacén (independientemente de si aún se encuentra o no en el período de gracia de reflexión).

1. `LockDate` es la fecha y hora UTC en las que finaliza el periodo de gracia de reflexión. Pasado este tiempo, no podrá eliminar ni cambiar el bloqueo de este almacén. Utilice cualquier conversor de hora disponible al público para convertir esta cadena a su hora local.

Si `"Locked":false`, como en el ejemplo siguiente, no ha aplicado un bloqueo de almacén (o se ha eliminado uno anterior).

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}
```

## Eliminación del bloqueo del almacén durante el periodo de gracia (modo de cumplimiento)
<a name="delete-vault-lock"></a>

Para eliminar el bloqueo del almacén durante el tiempo de gracia (es decir, después de bloquear el depósito pero antes del tuyo`LockDate`) mediante la AWS Backup consola,

1. Inicie sesión en y abra la AWS Backup consola en [https://console.aws.amazon.com/backup. Consola de administración de AWS](https://console.aws.amazon.com/backup)

1. En el menú de navegación de la izquierda, en **Mi cuenta**, haga clic en Almacenes de copia de seguridad y, a continuación, en Bloqueo de almacén de copias de seguridad.

1. Haga clic en el bloqueo del almacén que desee eliminar y, a continuación, en **Administrar el bloqueo de almacén**.

1. Haga clic en **Eliminar el bloqueo de almacén**.

1. Aparecerá un cuadro de advertencia en el que se le pedirá que confirme su intención de eliminar el bloqueo del almacén. Escriba `confirm` en el cuadro de texto y, a continuación, haga clic en **confirmar**.

Cuando todos los pasos se hayan completado correctamente, aparecerá un banner en la parte superior de la pantalla de la consola que indica que el proceso se ha realizado correctamente.

Para eliminar el bloqueo del almacén durante el periodo de gracia mediante un comando de la CLI, utilice `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` como en este ejemplo de CLI:

```
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock
```

## Cuenta de AWS cierre con una bóveda cerrada
<a name="close-account-with-locked-vault"></a>

Cuando cierras una Cuenta de AWS que contiene una bóveda de copias de seguridad AWS y AWS Backup suspendes tu cuenta durante 90 días con las copias de seguridad intactas. Si no vuelves a abrir tu cuenta durante esos 90 días, AWS borra el contenido de tu almacén de copias de seguridad, incluso si AWS Backup Vault Lock estaba activado.

## Consideraciones adicionales de seguridad
<a name="using-vault-lock-with-backup"></a>

AWS Backup Vault Lock añade un nivel adicional de seguridad a tu defensa en profundidad en materia de protección de datos. El bloqueo de almacenes se puede combinar con estas otras características de seguridad:
+ [Cifrado de sus puntos de recuperación](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup políticas de acceso a almacenes y puntos de recuperación](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), que permiten conceder o denegar permisos a nivel de almacén,
+ [AWS Backup las mejores prácticas de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), incluida su biblioteca de [políticas administradas por el cliente](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies) que le permiten conceder o denegar permisos de copia de seguridad y restauración mediante un servicio AWS compatible, y
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), que le permite automatizar las comprobaciones de conformidad de sus copias de seguridad comparándolas [con una lista de controles](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) que usted defina.

  Puede trabajar a través de [Crear marcos mediante la AWS Backup API](creating-frameworks-api.md) para [Los recursos están en un plan de respaldo con un AWS Backup Vault Lock](controls-and-remediation.md#backup-vault-lock-control) de control con AWS Backup Audit Manager para asegurarse de que los recursos deseados estén protegidos con un bloqueo de almacén.
+ Los mecanismos que inactivan los recursos pueden afectar a la capacidad de restaurarlos. Si bien todavía no se pueden eliminar en una bóveda cerrada, pueden estar en un estado distinto al activo. Por ejemplo, la configuración de Amazon Elastic Compute Cloud que permite [deshabilitar una AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) puede bloquear temporalmente la capacidad de restaurar las copias de seguridad de las instancias de EC2. Esto afecta a todos los puntos de recuperación de EC2, incluso a las copias de seguridad afectadas por un bloqueo del almacén o una retención legal. 

  Si una copia de seguridad de EC2 está deshabilitada, puede [volver a activar una AMI deshabilitada](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami). Una vez que se vuelva a activar, podrá restaurarse. Para bloquear la característica de desactivación de la AMI, puede utilizar las políticas de IAM para no permitir `ec2:DisableImage`.

**nota**  
AWS Backup Vault Lock no es la misma función que [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html), que solo es compatible con Amazon Glacier.