Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Coffres-forts de sauvegarde
<a name="vaults"></a>

Dans AWS Backup, un *coffre de sauvegarde* est un conteneur qui stocke et organise vos sauvegardes.

Lorsque vous créez un coffre-fort de sauvegarde, vous devez spécifier la clé de chiffrement AWS Key Management Service (AWS KMS) qui chiffre certaines des sauvegardes placées dans ce coffre-fort. Le chiffrement des autres sauvegardes est géré par leurs AWS services sources. Pour plus d'informations sur le chiffrement, consultez le graphique dans [Chiffrement pour les sauvegardes dans AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).

Les sections suivantes fournissent une vue d'ensemble de la gestion de vos coffres-forts de sauvegarde dans AWS Backup.

**Topics**
+ [Création et suppression d'un coffre-fort de sauvegarde](create-a-vault.md)
+ [Coffre-fort à isolation logique](logicallyairgappedvault.md)
+ [Stratégies d'accès aux coffres](create-a-vault-access-policy.md)
+ [AWS Backup Verrou de coffre-fort](vault-lock.md)

# Création et suppression d'un coffre-fort de sauvegarde
<a name="create-a-vault"></a>

Vous devez créer au moins un coffre-fort avant de créer un plan de sauvegarde ou de démarrer une tâche de sauvegarde.

Lorsque vous utilisez pour la première fois la page **Backup Vaults** de la AWS Backup console dans un Région AWS, la console crée automatiquement un coffre-fort par défaut pour la région.

Toutefois, si vous utilisez AWS Backup le AWS CLI AWS SDK ou CloudFormation, aucun coffre par défaut n'est créé. Vous devez créer votre propre coffre-fort.

## Autorisations requises
<a name="creating-a-vault-permissions"></a>

Vous devez disposer des autorisations suivantes pour créer un coffre-fort de sauvegarde à l'aide de AWS Backup.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowKMSOperations",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "AllowCreateBackupVault",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
    },
    {
      "Sid": "AllowMountCapsule",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Création d'un coffre-fort de sauvegarde (console)
<a name="creating-a-vault-console"></a>

Au lieu d'utiliser le coffre-fort de sauvegarde par défaut qui est créé automatiquement pour vous sur la console AWS Backup , vous pouvez créer des coffres-forts de sauvegarde spécifiques pour enregistrer et organiser les groupes de sauvegardes dans le même coffre-fort.

**Pour créer un coffre-fort de sauvegarde**

1. Sur la AWS Backup console, dans le volet de navigation, sélectionnez **Backup vaults**.
**Note**  
Si le volet de navigation n'est pas visible sur le côté gauche, vous pouvez l'ouvrir en choisissant l'icône du menu dans le coin supérieur gauche de la AWS Backup console.

1. Choisissez **Create backup vault (Créer un coffre-fort de sauvegarde)**.

1. Saisissez un nom pour votre coffre-fort de sauvegarde. Le nom de votre coffre-fort peut refléter ce que vous allez y stocker, ou faciliter la recherche des sauvegardes dont vous avez besoin. Vous pouvez par exemple nommer le coffre-fort **FinancialBackups**.

1. Sélectionnez une touche AWS Key Management Service (AWS KMS). Vous pouvez utiliser une clé que vous avez déjà créée ou sélectionner la clé AWS Backup KMS par défaut.
**Note**  
La AWS KMS clé spécifiée ici s'applique uniquement aux sauvegardes de services prenant en charge le chiffrement AWS Backup indépendant. Pour consulter la liste des types de ressources qui prennent en charge le chiffrement AWS Backup indépendant, consultez la section « Gestion complète » du [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) tableau.

1. Vous pouvez également ajouter des balises qui vous aideront à rechercher et identifier vos coffres-forts de sauvegarde. Par exemple, vous pouvez ajouter une balise **BackupType:Financial**.

1. Choisissez **Créer un coffre-fort de sauvegarde**.

1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)** et vérifiez que votre coffre-fort a été ajouté.

**Note**  
Vous pouvez maintenant modifier une règle de sauvegarde dans l'un de vos plans de sauvegarde, afin de stocker les sauvegardes créées par cette règle dans le coffre-fort de sauvegarde que vous venez de créer.

## Création d'un coffre-fort de sauvegarde (par programmation)
<a name="creating-a-vault-cli"></a>

La AWS Command Line Interface commande suivante crée un coffre de sauvegarde :

```
aws backup create-backup-vault --backup-vault-name test-vault
```

Vous pouvez également préciser les configurations suivantes pour un coffre-fort de sauvegarde.

## Nom du coffre-fort de sauvegarde
<a name="vault-name"></a>

Les noms des coffres-forts de sauvegarde sont sensibles à la casse. Ils doivent contenir entre 2 et 50 caractères alphanumériques, traits d'union ou traits de soulignement.

## AWS KMS clé de chiffrement
<a name="kms-key"></a>

La clé de AWS KMS chiffrement protège vos sauvegardes dans ce coffre de sauvegarde. Par défaut, AWS Backup crée une clé KMS pour vous avec l'alias `aws/backup`. Vous pouvez choisir cette clé ou n'importe quelle autre clé de votre compte (les clés KMS entre comptes peuvent être utilisées via l'interface de ligne de commande).

Vous pouvez créer une nouvelle clé de chiffrement en suivant la procédure [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du développeur AWS Key Management Service *.

Une fois que vous avez créé un coffre-fort de sauvegarde et défini la clé de AWS KMS chiffrement, vous ne pouvez plus modifier la clé de ce coffre-fort de sauvegarde.

La clé de chiffrement spécifiée dans un AWS Backup coffre s'applique aux sauvegardes de certains types de ressources. Pour plus d'informations sur le chiffrement des sauvegardes, consultez [Chiffrement pour les sauvegardes dans AWS Backup](encryption.md) dans la section Sécurité. Les sauvegardes de tous les autres types de ressources sont sauvegardées à l'aide de la clé utilisée pour chiffrer la ressource source.

## Balises du coffre-fort de sauvegarde
<a name="vault-tags"></a>

Ces balises sont associées au coffre-fort de sauvegarde afin de vous aider à organiser et effectuer le suivi de votre coffre-fort de sauvegarde.

## Suppression d'un coffre
<a name="delete-a-vault"></a>

Pour vous protéger contre les suppressions massives accidentelles ou malveillantes, vous ne pouvez supprimer un coffre-fort de sauvegarde dans AWS Backup qu'après avoir supprimé (ou après avoir supprimé le cycle de vie de votre plan de sauvegarde) tous les points de récupération de votre coffre-fort de sauvegarde. Pour supprimer vos points de récupération manuellement, consultez la section [Suppression de sauvegardes](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

Lorsque vous supprimez un coffre-fort de sauvegarde, mettez à jour vos plans de sauvegarde afin qu'ils pointent vers les nouveaux coffres-forts de sauvegarde. La création de la sauvegarde échoue si un plan de sauvegarde pointe vers un coffre-fort de sauvegarde supprimé.

Vous ne pouvez pas supprimer le coffre de sauvegarde par défaut ou le coffre de sauvegarde automatique Amazon EFS à l'aide du AWS Management Console. Vous pouvez supprimer un coffre de sauvegarde par défaut en utilisant le AWS CLI bouton s'il est vide. Toutefois, si vous ouvrez la AWS Backup console et sélectionnez cette région, la console recrée le coffre de sauvegarde par défaut. Vous pouvez supprimer les instantanés non utilisés dans le coffre de sauvegarde automatique Amazon EFS.

**Pour supprimer un coffre-fort de sauvegarde à l'aide de la AWS Backup console**

1. Connectez-vous au et ouvrez AWS Management Console la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.

1. Choisissez le nom du coffre de sauvegarde pour ouvrir sa page de détails.

1. Choisissez et supprimer toutes les sauvegardes associées au coffre-fort de sauvegarde.

1. Choisissez **Supprimer le coffre**. Lorsque vous êtes invité à confirmer, entrez le nom du coffre-fort, puis choisissez **Delete Backup vault**.

# Coffre-fort à isolation logique
<a name="logicallyairgappedvault"></a>

## Vue d'ensemble des coffres-forts à espacement logique
<a name="lag-overview"></a>

AWS Backup propose un type de coffre-fort secondaire qui permet de stocker les sauvegardes dans un conteneur doté de fonctionnalités de sécurité supplémentaires. Un coffre-fort **logiquement isolé est un coffre-fort** spécialisé qui offre une sécurité accrue par rapport à un coffre-fort de sauvegarde standard, ainsi que la possibilité de partager l'accès au coffre-fort avec d'autres comptes afin que les objectifs de temps de restauration (RTOs) puissent être plus rapides et plus flexibles en cas d'incident nécessitant une restauration rapide des ressources.

[Les coffres-forts hermétiques sont dotés de fonctionnalités de protection supplémentaires ; chaque coffre-fort est chiffré avec une [cléAWS détenue (par défaut) ou éventuellement avec une clé](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) KMS gérée par le client, et chaque coffre-fort est équipéAWS Backup du mode de conformité de Vault Lock.](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) Les informations relatives au type de clé de chiffrement sont visibles via AWS Backup APIs une console pour des raisons de transparence et de conformité.

Vous pouvez intégrer vos coffres-forts logiquement à l'[approbation multipartite](multipartyapproval.md) (MPA) pour permettre la restauration des sauvegardes présentes dans les coffres-forts même si le compte propriétaire du coffre-fort est inaccessible, ce qui contribue à maintenir la continuité des activités. [En outre, vous pouvez choisir de l'intégrer à [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) pour partager un coffre-fort logiquement isolé avec d'autres AWS comptes (y compris des comptes d'autres organisations) afin que les sauvegardes stockées dans le coffre-fort puissent être restaurées à partir d'un compte avec lequel le coffre-fort est partagé, si nécessaire pour la récupération des données perdues ou les tests de restauration.](restore-testing.md) Dans le cadre de cette sécurité accrue, un coffre-fort isolé de manière logique stocke ses sauvegardes dans un compte appartenant au AWS Backup service (ce qui se traduit par des sauvegardes affichées comme partagées en dehors de votre organisation dans les éléments d'attribut de modification dans les journaux). AWS CloudTrail 

[Dans le scénario où le compte propriétaire de votre coffre-fort bloqué de manière logique est fermé (de manière malveillante ou non), vous pouvez toujours accéder aux sauvegardes du coffre-fort (les restaurer ou les copier) via MPA jusqu'à la fin de la période suivant la fermeture.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) Une fois la période de post-fermeture expirée, les sauvegardes ne sont plus accessibles. Au cours de la période suivant la fermeture, vous pouvez consulter la [documentation de gestion du AWS compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) pour reprendre le contrôle de votre compte tout en travaillant au rétablissement.

Pour une meilleure résilience, nous vous recommandons de créer des copies interrégionales dans des coffres-forts logiquement espacés, dans des comptes identiques ou distincts. Toutefois, si vous souhaitez réduire les coûts de stockage en ne conservant qu'une seule copie, vous pouvez utiliser les [sauvegardes principales dans des coffres-forts espacés de manière logique](lag-vault-primary-backup.md), après avoir intégré MPA. AWS 

[Vous pouvez consulter les tarifs de stockage pour les sauvegardes des services pris en charge dans un coffre-fort isolé de manière logique sur la AWS Backup page de tarification.](https://aws.amazon.com/backup/pricing/)

Consultez [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) les types de ressources que vous pouvez copier dans un coffre-fort isolé de manière logique.

**Topics**
+ [Vue d'ensemble des coffres-forts à espacement logique](#lag-overview)
+ [Cas d'utilisation pour les coffres-forts à espacement logique](#lag-usecase)
+ [Comparaison et contraste avec un coffre-fort de sauvegarde standard](#lag-compare-and-contrast)
+ [Créez un coffre hermétique de manière logique](#lag-create)
+ [Afficher les détails des coffres-forts ventilés de manière logique](#lag-view)
+ [Création de sauvegardes dans un coffre-fort isolé de manière logique](#lag-creation)
+ [Partagez un coffre-fort isolé de manière logique](#lag-share)
+ [Restaurez une sauvegarde à partir d'un coffre-fort isolé de manière logique](#lag-restore)
+ [Supprimer un coffre-fort isolé de manière logique](#lag-delete)
+ [Options programmatiques supplémentaires pour les coffres-forts à espacement logique](#lag-programmatic)
+ [Comprendre les types de clés de chiffrement pour les coffres-forts séparés de manière logique](#lag-encryption-key-types)
+ [Utilisation d'une clé appartenant au service](#lag-service-owned-key)
+ [Considérations relatives à la correction automatique des problèmes de sécurité](#lag-security-auto-remediation)
+ [Résoudre un problème lié à un coffre-fort isolé de manière logique](#lag-troubleshoot)
+ [Sauvegardes principales vers des coffres-forts à isolation logique](lag-vault-primary-backup.md)
+ [Approbation multipartite pour les coffres-forts à espacement logique](multipartyapproval.md)

## Cas d'utilisation pour les coffres-forts à espacement logique
<a name="lag-usecase"></a>

Un coffre-fort à isolation logique est un coffre-fort secondaire qui fait partie d'une stratégie de protection des données. Ce coffre-fort peut aider à améliorer la stratégie de rétention et de restauration de votre entreprise lorsque vous souhaitez un coffre-fort pour vos sauvegardes qui
+ Est automatiquement configuré avec un verrou de coffre-fort en [mode de conformité](vault-lock.md)
+ Propose par défaut le chiffrement avec une clé AWS détenue. Vous pouvez éventuellement fournir une clé gérée par le client.
+ Contient des sauvegardes qui, via AWS RAM ou MPA, peuvent être partagées et restaurées à partir d'un compte différent de celui qui a créé la sauvegarde

**Considérations et restrictions**
+ Les clusters Amazon Aurora, Amazon DocumentDB et Amazon Neptune non chiffrés ne sont pas pris en charge pour les coffres-forts à espacement logique, car ils ne prennent pas en charge le chiffrement des instantanés de clusters de bases de données non chiffrés.
+ Amazon EC2 propose [EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Allowed. AMIs Si ce paramètre est activé dans votre compte, ajoutez l'alias `aws-backup-vault` à votre liste d'autorisation.

   Si cet alias n'est pas inclus, les opérations de copie d'un coffre-fort à espacement logique vers un coffre-fort de sauvegarde et les opérations de restauration des instances EC2 à partir d'un coffre-fort à espacement logique échoueront avec un message d'erreur tel que « AMI source ami-xxxxxx introuvable dans la région ».
+ L'ARN (Amazon Resource Name) d'un point de récupération stocké dans un coffre-fort logiquement isolé remplacera le type `backup` de ressource sous-jacent. Par exemple, si l'ARN d'origine commence par`arn:aws:ec2:region::image/ami-*`, l'ARN du point de récupération dans le coffre à espacement logique sera. `arn:aws:backup:region:account-id:recovery-point:*`

  Vous pouvez utiliser la commande CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)pour déterminer l'ARN.

## Comparaison et contraste avec un coffre-fort de sauvegarde standard
<a name="lag-compare-and-contrast"></a>

Un **coffre-fort de sauvegarde** est le type de coffre-fort principal et standard utilisé dans AWS Backup. Chaque sauvegarde est stockée dans un coffre-fort de sauvegarde lors de sa création. Vous pouvez attribuer des politiques basées sur les ressources pour gérer les sauvegardes stockées dans le coffre-fort, telles que le cycle de vie des sauvegardes stockées dans le coffre-fort.

Un **coffre-fort à isolation logique** est un coffre-fort spécialisé offrant plus de sécurité et un partage flexible pour un délai de reprise (RTO) plus rapide. Ce coffre-fort stocke les sauvegardes principales ou des copies de sauvegardes initialement créées et stockées dans un coffre-fort de sauvegarde standard.

Les coffres-forts de sauvegarde sont chiffrés à l'aide d'une clé, un mécanisme de sécurité qui limite l'accès aux utilisateurs visés. Ces clés peuvent être gérées par le client ou AWS gérées. Reportez-vous à la section [Chiffrement](encryption.md#copy-encryption) des copies pour connaître le comportement du chiffrement lors des tâches de copie, notamment lors de la copie dans un coffre-fort séparé de manière logique.

En outre, un coffre-fort de sauvegarde peut être doté d'une sécurité supplémentaire grâce à un verrou de coffre-fort ; de manière logique, les coffres-forts ventilés sont équipés d'un verrou de coffre-fort en mode conformité.

À l'instar des coffres-forts de sauvegarde, les coffres-forts à espacement logique prennent également en charge les balises restreintes [pour les sauvegardes Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions).


| Fonctionnalité | Coffre-fort de sauvegarde | Coffre-fort à isolation logique | 
| --- | --- | --- | 
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | Vous pouvez utiliser AWS Backup Audit Manager [Contrôles et mesures correctives](controls-and-remediation.md) pour surveiller vos coffres-forts de sauvegarde. | Assurez-vous qu'une sauvegarde d'une ressource spécifique est stockée dans [au moins un coffre-fort logiquement espacé](controls-and-remediation.md#resources-in-lag-vault-control) selon un calendrier que vous déterminez, en plus des contrôles disponibles pour les coffres-forts standard. | 
| [Facturation](https://aws.amazon.com/backup/pricing/) | Les frais de stockage et de transfert de données pour les ressources entièrement gérées AWS Backup par sont indiqués sous « AWS Backup ». Des frais de stockage et de transfert de données pour d'autres types de ressources seront facturés dans le cadre de leurs services respectifs. Par exemple, les sauvegardes Amazon EBS apparaîtront sous « Amazon EBS » ; les sauvegardes Amazon S3 apparaîtront sous « »AWS Backup. | Tous les frais de facturation liés à ces coffres-forts (stockage ou transfert de données) sont indiqués sous « AWS Backup ». | 
|   [Régions](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Disponible dans toutes les régions dans lesquelles AWS Backup elle opère | Disponible dans la plupart des régions prises en charge par AWS Backup. Non disponible actuellement en Asie-Pacifique (Malaisie), au Canada Ouest (Calgary), au Mexique (Centre), en Asie-Pacifique (Thaïlande), en Asie-Pacifique (Taipei), en Asie-Pacifique (Nouvelle Zélande), en Chine (Pékin), en Chine (Ningxia), (USA Est) ou AWS GovCloud (USA Ouest). AWS GovCloud  | 
|   [Ressources](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Peut stocker des copies de sauvegarde pour la plupart des types de ressources qui prennent en charge la copie entre comptes. | Consultez la colonne du coffre à espacement logique [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) pour les ressources qui peuvent être copiées dans ce coffre-fort. | 
|  [Restaurer](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | Les sauvegardes peuvent être restaurées par le même compte auquel appartient le coffre-fort. | Les sauvegardes peuvent être restaurées par un compte différent de celui auquel appartient le coffre-fort si celui-ci est partagé avec ce compte distinct. | 
| [Sécurité](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) |  (Facultatif) Peut être chiffré avec une clé (gérée par le client ou par AWS ) Peut éventuellement utiliser un verrou de coffre-fort en mode conformité ou gouvernance |  Peut être chiffré avec une [cléAWS propre](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) ou une clé gérée par le client Est toujours verrouillé à l'aide d'un [verrouillage de coffre-fort](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) en mode conformité Les informations sur le type de clé de chiffrement sont préservées et visibles lorsque les coffres-forts sont partagés via AWS RAM ou MPA  | 
| [Partage](#lag-share) |  L'accès peut être géré via des politiques et [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) Non compatible avec AWS RAM  | (Facultatif) Peut être partagé entre comptes avec [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) | 

## Créez un coffre hermétique de manière logique
<a name="lag-create"></a>

Vous pouvez créer un coffre-fort isolé de manière logique soit par le biais de la AWS Backup console, soit à l'aide d'une combinaison de commandes et de la AWS Backup CLI AWS RAM .

Chaque appareil logiquement ventilé est équipé d'un verrou de coffre-fort en mode conformité. Consultez [AWS Backup Verrou de coffre-fort](vault-lock.md) pour vous aider à déterminer les valeurs de période de conservation les plus adaptées à votre activité

------
#### [ Console ]

**Création d'un coffre-fort à isolation logique à partir de la console**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Dans le volet de navigation, sélectionnez **Coffres-forts**.

1. Les deux types de coffres-forts s'affichent. Sélectionnez **Créer un nouveau coffre-fort**.

1. Saisissez un nom pour votre coffre-fort de sauvegarde. Le nom de votre coffre-fort peut refléter ce que vous allez y stocker, ou faciliter la recherche des sauvegardes dont vous avez besoin. Vous pouvez par exemple nommer le coffre-fort `FinancialBackups`.

1. Sélectionnez le bouton radio pour **Logic AirGapped Vault**. 

1. *(Facultatif)* Choisissez une clé de chiffrement. Vous pouvez sélectionner une clé KMS gérée par le client pour un contrôle accru du chiffrement, ou utiliser la clé AWS détenue par défaut (recommandé).

1. Définissez la **Période de conservation minimale**.

   Cette valeur (en jours, mois ou années) correspond à la durée la plus courte pendant laquelle une sauvegarde peut être conservée dans ce coffre-fort. Les sauvegardes dont la période de rétention est inférieure à cette valeur ne peuvent pas être copiées dans ce coffre-fort.

   La valeur minimale autorisée est de `7` jours. Les valeurs pour les mois et les années respectent ce minimum.

1. Définissez la **Période de conservation maximale**.

   Cette valeur (en jours, mois ou années) correspond à la durée la plus longue pendant laquelle une sauvegarde peut être conservée dans ce coffre-fort. Les sauvegardes dont la période de rétention est supérieure à cette valeur ne peuvent pas être copiées dans ce coffre-fort.

1. *(Facultatif)* Définissez la **clé de chiffrement**.

   Spécifiez la clé à utiliser avec votre coffre-fort. Vous pouvez choisir une **cléAWS détenue (gérée par AWS Backup)** ou saisir l'ARN d'une **clé gérée par le client** qui appartient de préférence à un autre compte auquel vous avez accès. AWS Backup recommande d'utiliser une clé AWS détenue.

1. *(Facultatif)* Ajoutez des balises qui vous aideront à rechercher et à identifier votre coffre-fort à isolation logique. Par exemple, vous pouvez ajouter une balise `BackupType:Financial`.

1. Sélectionnez **Créer un verrouillage de coffre**.

1. Passez en revue les paramètres. Si tous les paramètres s'affichent comme prévu, sélectionnez **Créer un coffre-fort logiquement isolé**.

1. La console vous redirigera vers la page de détails de votre nouveau coffre-fort. Vérifiez que les détails du coffre-fort sont conformes aux attentes.

1. Sélectionnez **Coffres-forts** pour afficher les coffres-forts de votre compte. Votre coffre hermétique sera affiché de manière logique. La clé KMS sera disponible environ 1 à 3 minutes après la création du coffre-fort. Actualisez la page pour voir la clé associée. Une fois que la clé est visible, le coffre est disponible et peut être utilisé.

------
#### [ AWS CLI ]

Créez un coffre-fort isolé de manière logique à partir de la CLI

Vous pouvez l'utiliser AWS CLI pour effectuer des opérations de manière programmatique pour des coffres-forts à espacement logique. Chaque CLI est spécifique au AWS service dont elle provient. Les commandes liées au partage sont précédées par `aws ram` ; toutes les autres commandes doivent être précédées par `aws backup`.

Utilisez la commande CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html), modifiée avec les paramètres suivants :

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```

Le `--encryption-key-arn` paramètre facultatif vous permet de spécifier une clé KMS gérée par le client pour le chiffrement du coffre-fort. Si elle n'est pas fournie, le coffre-fort utilisera une clé AWS appartenant à l'utilisateur.

Exemple de commande CLI pour créer un coffre-fort isolé de manière logique :

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```

Exemple de commande CLI pour créer un coffre-fort isolé de manière logique avec un chiffrement géré par le client :

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```

Consultez les [éléments de réponse de l'CreateLogicallyAirGappedBackupVault API](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html) pour plus d'informations après l'opération de création. Si l'opération est réussie, le nouveau coffre logiquement espacé portera le code de. VaultState `CREATING`

Une fois la création terminée et la clé cryptée KMS attribuée, la VaultState transition vers`AVAILABLE`. Une fois disponible, le coffre peut être utilisé. `VaultState`peut être récupéré en appelant [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)ou [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html).

------

## Afficher les détails des coffres-forts ventilés de manière logique
<a name="lag-view"></a>

Vous pouvez consulter les détails du coffre tels que le résumé, les points de récupération, les ressources protégées, le partage de compte, la politique d'accès et les balises via la AWS Backup console ou la AWS Backup CLI.

------
#### [ Console ]

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Sélectionnez **Coffres-forts** dans le panneau de navigation de gauche.

1. Sous les descriptions des coffres-forts figurent trois listes : les **coffres-forts créés par ce compte, les coffres-forts** **partagés via la RAM et les coffres-forts accessibles via** **une approbation multipartite**. Sélectionnez l'onglet souhaité pour afficher les coffres-forts.

1. Sous **Nom du coffre-fort**, cliquez sur le nom du coffre-fort pour ouvrir la page de détails. Vous pouvez consulter le résumé, les points de récupération, les ressources protégées, le partage de compte, la stratégie d'accès et les détails des balises.

   Les détails s'affichent en fonction du type de compte : les comptes qui possèdent un coffre-fort peuvent consulter le partage des comptes ; les comptes qui ne possèdent pas de coffre-fort ne pourront pas consulter le partage de compte. Pour les coffres-forts partagés, le type de clé de chiffrement (clé KMS AWS détenue ou gérée par le client) est affiché dans le résumé du coffre-fort.

------
#### [ AWS CLI ]

Afficher les détails d'un coffre-fort isolé de manière logique via la CLI

La commande CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html)peut être utilisée pour obtenir des informations sur un coffre. Le paramètre `backup-vault-name` est obligatoire ; `region` il est facultatif.

```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```

Exemple de réponse :

```
{
            "BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
            "BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 8,
            "MaxRetentionDays": 30,
            "LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```

**Note**  
Le `VaultType` champ n'est pas inclus dans la réponse de l'API dans les régions où les coffres-forts à espacement logique ne sont pas disponibles.

------

## Création de sauvegardes dans un coffre-fort isolé de manière logique
<a name="lag-creation"></a>

Logiquement, les coffres-forts ventilés peuvent être la cible d'une tâche de copie dans un plan de sauvegarde ou une cible pour une tâche de copie à la demande. Il peut également être utilisé comme cible de sauvegarde principale. Consultez la section [Sauvegardes principales vers des coffres-forts séparés de manière logique.](lag-vault-primary-backup.md)

**Chiffrement compatible**

Une tâche de copie réussie d'un coffre-fort de sauvegarde vers un coffre-fort logiquement isolé nécessite une clé de chiffrement déterminée par le type de ressource copié.

Lorsque vous créez ou copiez une sauvegarde d'un [type de ressource entièrement géré](backup-feature-availability.md#features-by-resource), la ressource source peut être chiffrée par une clé gérée par le client ou par une clé AWS gérée.

Lorsque vous créez ou copiez une sauvegarde d'autres types de ressources (celles qui [ne sont pas entièrement gérées](backup-feature-availability.md#features-by-resource)), la source doit être chiffrée à l'aide d'une clé gérée par le client. AWS les clés gérées pour les ressources non entièrement gérées ne sont pas prises en charge.

**Créez ou copiez des sauvegardes dans un coffre-fort isolé de manière logique grâce à un plan de sauvegarde**

Vous pouvez copier une sauvegarde (point de restauration) d'un coffre-fort de sauvegarde standard vers un coffre-fort isolé de manière logique en [créant un nouveau plan de sauvegarde ou en mettant à jour un plan](creating-a-backup-plan.md) [existant](updating-a-backup-plan.md) dans la AWS Backup console ou via les AWS CLI commandes et. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) Vous pouvez également créer des sauvegardes directement dans un coffre-fort isolé de manière logique en l'utilisant comme cible principale. Pour plus de détails, consultez la section [Sauvegardes principales vers des coffres-forts séparés de manière logique](lag-vault-primary-backup.md).

Vous pouvez copier une sauvegarde d'un coffre-fort logiquement espacé vers un autre coffre-fort logiquement espacé à la demande (ce type de sauvegarde ne peut pas être planifié dans un plan de sauvegarde). Vous pouvez copier une sauvegarde d'un coffre-fort isolé de manière logique vers un coffre-fort de sauvegarde standard, à condition que la copie soit chiffrée à l'aide d'une clé gérée par le client.

**Copie de sauvegarde à la demande vers un coffre-fort isolé de manière logique**

Pour créer une copie unique [à la demande](recov-point-create-on-demand-backup.md) d'une sauvegarde dans un coffre-fort logiquement isolé, vous pouvez effectuer une copie à partir d'un coffre-fort de sauvegarde standard. Des copies entre régions ou entre comptes sont disponibles si le type de ressource prend en charge le type de copie.

**Disponibilité des copies**

Une copie d'une sauvegarde peut être créée à partir du compte auquel appartient le coffre-fort. Les comptes avec lesquels le coffre a été partagé ont la possibilité de consulter ou de restaurer une sauvegarde, mais pas d'en créer une copie.

Seuls les [types de ressources prenant en charge la copie entre régions ou entre comptes](backup-feature-availability.md#features-by-resource) peuvent être inclus.

------
#### [ Console ]

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Sélectionnez **Coffres-forts** dans le panneau de navigation de gauche.

1. Sur la page détaillée du coffre-fort, tous les points de récupération de ce coffre-fort sont affichés. Cochez la case à côté du point de récupération que vous souhaitez copier.

1. Puis sélectionnez **Actions** et **Copier** dans le menu déroulant.

1. Sur l'écran suivant, saisissez les détails de la destination.

   1. Spécifiez la région de destination.

   1. Le menu déroulant du coffre-fort de sauvegarde de destination affiche les coffres-forts de destination éligibles. Sélectionnez-en un avec le type `logically air-gapped vault`

1. Sélectionnez **Copier** une fois que tous les détails sont définis selon vos préférences. 

Sur la page **Tâches** de la console, vous pouvez sélectionner des tâches de **copie** pour voir les tâches de copie en cours.

------
#### [ AWS CLI ]

Utilisez [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html) pour copier une sauvegarde existante dans un coffre-fort de sauvegarde vers un coffre-fort à isolation logique.

Exemple d'entrée de l'interface de ligne de commande :

```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```

------

Pour plus d'informations, consultez [Copie d'une sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [Sauvegarde entre régions](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) et [Sauvegarde entre comptes](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html).

## Partagez un coffre-fort isolé de manière logique
<a name="lag-share"></a>

Vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager un coffre-fort logiquement séparé avec d'autres comptes que vous désignez. Lors du partage de coffres-forts, les informations relatives au type de clé de chiffrement (clé KMS AWS détenue ou gérée par le client) sont préservées et visibles pour les comptes avec lesquels le coffre-fort est partagé.

Un coffre-fort peut être partagé avec un compte de son organisation ou avec un compte d'une autre organisation. Le coffre-fort ne peut pas être partagé avec l'ensemble d'une organisation, mais uniquement avec des comptes au sein de l'organisation.

Seuls les comptes dotés de privilèges IAM spécifiques peuvent partager et gérer le partage de coffres-forts.

Pour partager en utilisant AWS RAM, assurez-vous de disposer des éléments suivants :
+ Deux comptes ou plus pouvant accéder AWS Backup
+ Le compte propriétaire du coffre-fort qui a l'intention de partager dispose des autorisations de RAM nécessaires. L'autorisation `ram:CreateResourceShare` est nécessaire pour cette procédure. La politique `AWSResourceAccessManagerFullAccess` contient toutes les autorisations nécessaires liées à la RAM :
  + `backup:DescribeBackupVault`
  + `backup:DescribeRecoveryPoint`
  + `backup:GetRecoveryPointRestoreMetadata`
  + `backup:ListProtectedResourcesByBackupVault`
  + `backup:ListRecoveryPointsByBackupVault`
  + `backup:ListTags`
  + `backup:StartRestoreJob`
+ Au moins un coffre-fort à isolation logique

------
#### [ Console ]

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Sélectionnez **Coffres-forts** dans le panneau de navigation de gauche.

1. Sous les descriptions des coffres-forts figurent deux listes, **Coffres-forts appartenant à ce compte** et **Coffres-forts partagés avec ce compte**. Les coffres-forts appartenant au compte peuvent être partagés.

1. Sous **Nom du coffre-fort**, cliquez sur le nom du coffre-fort à isolation logique pour ouvrir la page de détails.

1. Le volet **Partage de comptes** indique avec quels comptes le coffre-fort est partagé.

1. Pour commencer à partager avec un autre compte ou pour modifier des comptes déjà partagés, sélectionnez **Gérer le partage**.

1. La AWS RAM console s'ouvre lorsque l'option **Gérer le partage** est sélectionnée. Pour savoir comment partager une ressource à l'aide de la AWS RAM, reportez-vous à la section [Création d'un partage de ressources dans la AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) dans le *Guide de l'utilisateur de la AWS RAM*.

1. Le compte invité à accepter une invitation afin de recevoir un partage dispose de 12 heures pour accepter l'invitation. Consultez [Acceptation et rejet des invitations de partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) dans le *Guide de l'utilisateur AWS RAM*.

1. Si les étapes de partage sont terminées et acceptées, la page récapitulative du coffre-fort s'affichera sous **Partage de compte = « Partagé – voir le tableau de partage de compte ci-dessous** ».

------
#### [ AWS CLI ]

AWS RAM utilise la commande CLI`create-resource-share`. L'accès à cette commande n'est disponible que pour les comptes disposant d'autorisations suffisantes. Consultez [Création d'un partage de ressources dans AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) pour les étapes de l'interface de ligne de commande.

Les étapes 1 à 4 sont effectuées avec le compte propriétaire du coffre-fort à isolation logique. Les étapes 5 à 8 sont effectuées avec le compte avec lequel le coffre-fort à isolation logique sera partagé.

1. Connectez-vous au compte propriétaire OU demandez à un utilisateur de votre organisation disposant d'informations d'identification suffisantes d'accéder au compte source afin d'effectuer ces étapes. 

   1. Si un partage de ressources a déjà été créé et que vous souhaitez y ajouter une ressource supplémentaire, utilisez plutôt la commande `associate-resource-share` de l'interface de ligne de commande avec l'ARN du nouveau coffre-fort.

1. Récupérez les informations d'identification d'un rôle disposant d'autorisations suffisantes pour les partager via RAM. [Saisissez-les dans l'interface de ligne de commande](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new). 

   1. L'autorisation `ram:CreateResourceShare` est nécessaire pour cette procédure. La politique [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)contient toutes les autorisations liées à la RAM. 

1. Utilisez [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).

   1. Incluez l'ARN du coffre-fort à isolation logique.

   1. Exemple d'entrée :

      ```
      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1
      ```

   1. Exemple de sortie :

      ```
      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }
      ```

1. Copiez l'ARN du partage de ressources dans la sortie (nécessaire pour les étapes suivantes). Donnez l'ARN à l'opérateur du compte que vous invitez à recevoir le partage.

1. Obtenir l'ARN du partage de ressources

   1. Si vous n'avez pas effectué les étapes 1 à 4, obtenez-les auprès resourceShareArn de la personne qui l'a fait.

   1. Exemple : `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`

1. Dans l'interface de ligne de commande, utilisez les informations d'identification du compte du destinataire.

1. Recevez une invitation à partager des ressources avec [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html). Pour plus d'informations, consultez [Acceptation et refus des invitations](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) dans le *Guide de l'utilisateur AWS RAM *.

1. Acceptez l'invitation sur le compte de destination (de récupération).

   1. Utiliser [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (ou également [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)).

Vous pouvez utiliser les commandes AWS RAM CLI pour afficher les éléments partagés :
+ Ressources que vous avez partagées :

  `aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Afficher le principal :

  `aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Ressources partagées par d'autres comptes :

  `aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`

------

## Restaurez une sauvegarde à partir d'un coffre-fort isolé de manière logique
<a name="lag-restore"></a>

Vous pouvez restaurer une sauvegarde stockée dans un coffre-fort isolé de manière logique à partir du compte propriétaire du coffre-fort ou de tout compte avec lequel le coffre-fort est partagé.

[Reportez-vous à la section Restauration d'une sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) pour savoir comment restaurer un point de restauration via la AWS Backup console.

Une fois qu'une sauvegarde a été partagée depuis un coffre-fort logiquement isolé vers votre compte, vous pouvez l'utiliser [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)pour la restaurer.

Un exemple d'entrée CLI peut inclure la commande et les paramètres suivants :

```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```

## Supprimer un coffre-fort isolé de manière logique
<a name="lag-delete"></a>

Consultez la section [Supprimer un coffre-fort](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault). Les coffres-forts ne peuvent pas être supprimés s'ils contiennent encore des sauvegardes (points de récupération). Assurez-vous que le coffre-fort ne contient aucune sauvegarde avant de lancer une opération de suppression.

La suppression d'un coffre-fort entraîne également la suppression de la clé associée au coffre-fort sept jours après sa suppression, conformément à la politique de suppression des clés.

L'exemple de commande de l'interface de ligne de commande suivant [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) peut être utilisé pour supprimer un coffre-fort.

```
aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname
```

## Options programmatiques supplémentaires pour les coffres-forts à espacement logique
<a name="lag-programmatic"></a>

La commande [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) de l'interface de ligne de commande peut être modifiée pour répertorier tous les coffres-forts détenus par le compte et présents dans celui-ci :

```
aws backup list-backup-vaults
--region us-east-1
```

Pour répertorier uniquement les coffres-forts à isolation logique, ajoutez le paramètre

```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```

Incluez le paramètre `by-shared` permettant de filtrer la liste renvoyée des coffres-forts afin d'afficher uniquement les coffres-forts partagés logiquement espacés. La réponse inclura les informations relatives au type de clé de chiffrement pour chaque coffre-fort partagé.

```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```

Exemple de réponse indiquant les informations relatives au type de clé de chiffrement :

```
{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}
```

**Note**  
Le `VaultType` champ n'est pas inclus dans la réponse de l'API dans les régions où les coffres-forts à espacement logique ne sont pas disponibles.

## Comprendre les types de clés de chiffrement pour les coffres-forts séparés de manière logique
<a name="lag-encryption-key-types"></a>

Les coffres-forts à espacement logique prennent en charge différents types de clés de chiffrement, et ces informations sont visibles via la console. AWS Backup APIs Lorsque les coffres-forts sont partagés via AWS RAM MPA, les informations relatives au type de clé de chiffrement sont préservées et rendues visibles aux comptes avec lesquels le coffre-fort est partagé. Cette transparence vous aide à comprendre la configuration de chiffrement des coffres-forts et à prendre des décisions éclairées concernant les opérations de sauvegarde et de restauration.

### Valeurs des types de clés de chiffrement
<a name="encryption-key-type-values"></a>

Le `EncryptionKeyType` champ peut avoir les valeurs suivantes :
+ `AWS_OWNED_KMS_KEY`- Le coffre-fort est chiffré à l'aide d'une clé AWS appartenant à l'utilisateur. Il s'agit de la méthode de chiffrement par défaut pour les coffres-forts séparés de manière logique lorsqu'aucune clé gérée par le client n'est spécifiée.
+ `CUSTOMER_MANAGED_KMS_KEY`- Le coffre-fort est chiffré à l'aide d'une clé KMS gérée par le client que vous contrôlez. Cette option fournit un contrôle supplémentaire sur les clés de chiffrement et les politiques d'accès.

**Note**  
AWS Backup recommande d'utiliser des clés AWS détenues dans des coffres-forts séparés de manière logique.
Si la politique de votre entreprise exige l'utilisation d'une clé gérée par le client, AWS elle ne recommande pas d'utiliser les clés du même compte, sauf pour les tests. Pour les charges de travail de production, il est recommandé d'utiliser une clé gérée par le client provenant d'un autre compte d'une organisation secondaire dédiée à la restauration. Vous pouvez consulter le blog [Encrypt AWS Backup sur des coffres-forts à espacement logique avec des clés gérées par le client pour obtenir plus d'informations sur la configuration de coffres-forts](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) à espacement logique basés sur CMK.
 Vous ne pouvez sélectionner une clé de chiffrement AWS KMS que lors de la création du coffre-fort. Une fois créées, toutes les sauvegardes contenues dans le coffre seront chiffrées avec cette clé. Vous ne pouvez pas modifier ou migrer vos coffres-forts pour utiliser une autre clé de chiffrement.

### Politique clé pour la création de coffres-forts chiffrés et logiquement espacés par CMK
<a name="key-policy-lag-vault-creation"></a>

Lorsque vous créez un coffre-fort isolé de manière logique à l'aide d'une clé gérée par le client, vous devez appliquer la politique `AWSBackupFullAccess` de AWS gestion gérée au rôle de votre compte. Cette politique inclut des `Allow` actions qui permettent AWS Backup d'interagir avec AWS KMS les clés KMS pour créer des autorisations lors des opérations de sauvegarde, de copie et de stockage. En outre, vous devez vous assurer que votre politique de clé gérée par le client (si elle est utilisée) inclut les autorisations spécifiques requises.
+ La clé CMK doit être partagée avec le compte sur lequel se trouve le coffre logiquement isolé

```
{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}
```

**Politique clé en matière de copie/restauration**

Pour éviter les échecs, passez en revue votre politique AWS KMS clé pour vous assurer qu'elle inclut toutes les autorisations requises et qu'elle ne contient aucune déclaration de refus susceptible de bloquer les opérations. Les conditions suivantes s'appliquent :
+ Pour tous les scénarios de copie, le CMKs doit être partagé avec le rôle de copie source

```
{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}
```
+ Lors de la copie d'un coffre-fort crypté CMK logiquement espacé vers un coffre-fort de sauvegarde, la clé CMK doit également être partagée avec le compte de destination (SLR).

```
{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```
+ Lors de la copie ou de la restauration à partir d'un compte de récupération à l'aide d'un coffre-fort RAM/MPA partagé logiquement séparé

```
{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```

**IAM Role**

Lorsqu'ils effectuent des opérations de copie de coffres-forts logiquement espacées, les clients peuvent utiliser `AWSBackupDefaultServiceRole` ce qui inclut la AWS politique de gestion. `AWSBackupServiceRolePolicyForBackup` Toutefois, si les clients préfèrent mettre en œuvre une approche de politique du moindre privilège, leur politique IAM doit inclure une exigence spécifique :
+ Le rôle de copie du compte source doit disposer d'autorisations d'accès à la fois à la source et à la destination CMKs.

```
{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}
```

Par conséquent, l'une des erreurs les plus courantes des clients se produit lors de la copie lorsque les clients ne fournissent pas les autorisations suffisantes sur leurs rôles CMKs et sur les rôles de copie.

### Affichage des types de clés de chiffrement
<a name="viewing-encryption-key-types"></a>

Vous pouvez consulter les informations relatives au type de clé de chiffrement à la fois par le biais de la AWS Backup console et par programmation à l'aide du AWS CLI ou. SDKs

**Console :** lorsque vous visualisez des coffres-forts séparés de manière logique dans la AWS Backup console, le type de clé de chiffrement est affiché sur la page des détails du coffre-fort, sous la section des informations de sécurité.

**AWS CLI/API :** le type de clé de chiffrement est renvoyé en réponse aux opérations suivantes lors de l'interrogation de coffres-forts espacés de manière logique :
+ `list-backup-vaults`(y compris `--by-shared` pour les coffres-forts partagés)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`

### Considérations relatives au chiffrement des coffres-forts
<a name="encryption-key-type-considerations"></a>

Lorsque vous travaillez avec des coffres-forts séparés de manière logique et des types de clés de chiffrement, tenez compte des points suivants :
+ **Sélection de la clé lors de la création :** vous pouvez éventuellement spécifier une clé KMS gérée par le client lors de la création d'un coffre-fort logiquement espacé. Si elle n'est pas spécifiée, une clé AWS appartenant à l'utilisateur sera utilisée.
+ **Visibilité du coffre-fort partagé :** les comptes avec lesquels un coffre-fort est partagé peuvent voir le type de clé de chiffrement mais ne peuvent pas modifier la configuration du chiffrement.
+ **Informations sur les points de récupération :** le type de clé de chiffrement est également disponible lors de l'affichage des points de restauration dans des coffres-forts séparés de manière logique.
+ **Opérations de restauration :** la compréhension du type de clé de chiffrement vous aide à planifier les opérations de restauration et à comprendre les éventuels besoins d'accès.
+ **Conformité :** les informations relatives au type de clé de chiffrement répondent aux exigences en matière de rapports de conformité et d'audit en fournissant une transparence quant aux méthodes de chiffrement utilisées pour les données de sauvegarde.

## Utilisation d'une clé appartenant au service
<a name="lag-service-owned-key"></a>

AWS Backup crée et gère les clés de chiffrement utilisées pour chiffrer toutes les données de sauvegarde stockées dans des coffres-forts interconnectés de manière logique, afin de protéger et d'empêcher la perte d'accès à la clé de chiffrement lors d'un événement de perte de données.
+ Ces clés sont gratuites et ne sont pas prises en compte dans les AWS KMS quotas de votre compte.
+ Une clé unique n'est utilisée que pour un coffre-fort spécifique et n'est partagée avec aucun autre compte ou à d'autres fins.
+ Ces clés sont supprimées une fois que le coffre attribué (vide) est également supprimé.
+ Ces clés sont créées à l'aide de la spécification de clé [SYMMETRIC\$1DEFAULT](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).
+ La politique de rotation par défaut est de 90 jours. Vous pouvez demander la rotation (une fois tous les 6 mois) des clés de chiffrement appartenant au service pour vos coffres-forts logiquement séparés par le biais d'un ticket d'assistance.

Consultez la [AWS KMS documentation](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) pour en savoir plus.

## Considérations relatives à la correction automatique des problèmes de sécurité
<a name="lag-security-auto-remediation"></a>

Lors de la AWS Backup copie d'une sauvegarde EC2 (AMI) dans un coffre-fort séparé de manière logique, elle l'accorde temporairement (`launchPermission`sur l'AMI) et `createVolumePermission` (sur les instantanés EBS associés) à un compte appartenant au service. Ces autorisations sont automatiquement révoquées une fois la copie terminée.

Ces opérations génèrent `ModifyImageAttribute` des `ModifySnapshotAttribute` événements dans vos AWS CloudTrail journaux, avec une valeur `userIdentity.invokedBy` définie sur`backup.amazonaws.com`.

Si vous disposez d'une logique de correction automatique des problèmes de sécurité (par exemple, Amazon EventBridge Rules with AWS Lambda) qui surveille ces événements et révoque le partage entre comptes, vous devez exclure les événements là où ils se trouvent. `userIdentity.invokedBy` `backup.amazonaws.com` Dans le cas contraire, les tâches de copie vers des coffres-forts hermétiques échoueront avec le message « Vous n'êtes pas autorisé à accéder au stockage de cette ami ».

Cette exclusion est sûre car la copie est autorisée par les politiques d'accès de votre coffre-fort (`backup:CopyFromBackupVault`sur le coffre-fort source et `backup:CopyIntoBackupVault` sur le coffre-fort de destination), qui sont évaluées avant toute modification des attributs EC2. Les autorisations temporaires ne sont accordées qu'à un compte AWS appartenant à un service fixe et sont automatiquement révoquées une fois la copie terminée.

Exemple de modèle d'événement de EventBridge règle qui exclut les AWS Backup opérations :

```
{
  "source": ["aws.ec2"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["ec2.amazonaws.com"],
    "eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
    "userIdentity": {
      "invokedBy": [{"anything-but": "backup.amazonaws.com"}]
    }
  }
}
```

## Résoudre un problème lié à un coffre-fort isolé de manière logique
<a name="lag-troubleshoot"></a>

Si vous rencontrez des erreurs au cours de votre flux de travail, consultez les exemples d'erreurs suivants et les solutions suggérées :

### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
<a name="w2aac15c13c31b5"></a>

**Erreur :** `Copy job fails with "You do not have permission to access the storage of this ami."`

**Cause possible :** lors d'une tâche de copie d'une AMI EC2 vers un coffre-fort logiquement isolé, accorde AWS Backup temporairement l'autorisation de lancement (AMI) et l'autorisation de création de volume (instantané EBS) à un compte appartenant au service, générant ainsi des événements dans vos journaux. `ModifyImageAttribute` `ModifySnapshotAttribute` AWS CloudTrail Si vous disposez d'une logique de correction automatique de sécurité (telle que des EventBridge règles avec Lambda) qui surveille ces événements et révoque automatiquement les autorisations de partage entre comptes, elle peut supprimer l'accès temporaire avant que la copie ne soit terminée.

**Note**  
Cela peut également se produire pour les tâches de copie destinées à d'autres ressources telles qu'Amazon FSx.

**Solution :** mettez à jour le modèle d'événements de votre EventBridge règle pour exclure les opérations effectuées par AWS Backup. En particulier, excluez les événements `userIdentity.invokedBy` afin `backup.amazonaws.com` de vous assurer que votre logique de correction automatique ne révoque pas les autorisations croisées temporaires AWS Backup accordées pendant le processus de copie.

### `AccessDeniedException`
<a name="w2aac15c13c31b7"></a>

**Erreur :** `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`

**Cause possible :** Le paramètre n'`--backup-vault-account-id`a pas été inclus lorsque l'une des requêtes suivantes a été exécutée sur un coffre partagé par RAM :
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`

**Solution :** Réessayez la commande qui a renvoyé l'erreur, mais incluez le paramètre `--backup-vault-account-id` qui indique le compte propriétaire du coffre-fort.

### `OperationNotPermittedException`
<a name="w2aac15c13c31b9"></a>

**Erreur :** `OperationNotPermittedException` est renvoyé après un `CreateResourceShare` appel.

**Cause possible :** si vous avez tenté de partager une ressource, telle qu'un coffre-fort isolé de manière logique, avec une autre organisation, vous pouvez obtenir cette exception. Un coffre-fort peut être partagé avec un compte d'une autre organisation, mais il ne peut pas être partagé avec l'autre organisation elle-même.

**Solution :** Réessayez l'opération, mais spécifiez un compte comme valeur au `principals` lieu d'une organisation ou d'une unité d'organisation.

### Type de clé de chiffrement non affiché
<a name="w2aac15c13c31c11"></a>

**Problème :** le type de clé de chiffrement n'est pas visible lorsque vous consultez un coffre-fort isolé de manière logique ou ses points de récupération.

**Causes possibles :**
+ Vous consultez un ancien coffre-fort créé avant l'ajout de la prise en charge des types de clés de chiffrement
+ Vous utilisez une ancienne version du AWS CLI ou SDK
+ La réponse de l'API n'inclut pas le champ de type de clé de chiffrement

**Résolution :**
+ Mettez AWS CLI à jour votre version
+ Pour les anciens coffres-forts, le type de clé de chiffrement sera renseigné automatiquement et devrait apparaître dans les appels d'API suivants
+ Vérifiez que vous utilisez les opérations d'API correctes qui renvoient des informations sur le type de clé de chiffrement
+ Pour les coffres-forts partagés, vérifiez que le coffre-fort est correctement partagé via AWS Resource Access Manager

### « ÉCHEC » VaultState AccessDeniedException dans les CloudTrail journaux
<a name="w2aac15c13c31c13"></a>

**Erreur dans CloudTrail :** `"User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`

**Causes possibles :**
+ Le coffre-fort a été créé à l'aide d'une clé gérée par le client, mais le rôle assumé n'est pas CreateGrant autorisé par la politique de clé requise pour utiliser la clé pour la création du coffre-fort

**Résolution :**
+ Accordez les autorisations spécifiées dans la [Politique clé pour la création de coffres-forts chiffrés et logiquement espacés par CMK](#key-policy-lag-vault-creation) section, puis réessayez le processus de création du coffre-fort.

# Sauvegardes principales vers des coffres-forts à isolation logique
<a name="lag-vault-primary-backup"></a>

## Présentation de
<a name="lag-primary-backup-overview"></a>

La fonction de sauvegarde principale du coffre-fort logiquement espacé vous permet de spécifier un coffre-fort logiquement espacé comme destination de sauvegarde principale au sein du même compte, pour les tâches de sauvegarde planifiées et à la demande. Il n'est donc plus nécessaire de conserver des copies séparées à la fois dans un coffre-fort de sauvegarde standard et dans un coffre-fort à espacement logique, ce qui réduit les coûts et simplifie les flux de travail tout en préservant les avantages de sécurité liés à l'espacement logique.

Vous pouvez attribuer un coffre-fort logiquement isolé comme cible principale dans les plans de sauvegarde, les politiques à l'échelle de l'entreprise ou les sauvegardes à la demande. Auparavant, pour effectuer une sauvegarde dans un coffre-fort à espacement logique, vous deviez d'abord créer une sauvegarde dans un coffre-fort de sauvegarde, puis la copier dans un coffre-fort à espacement logique. Cette fonctionnalité permet, selon le type de ressource, de AWS Backup créer des sauvegardes directement dans votre coffre-fort logiquement espacé ou de gérer automatiquement des sauvegardes temporaires qui sont copiées dans votre coffre-fort logiquement espacé puis supprimées.

Le comportement dépend de deux facteurs :
+ Si le type de ressource est pris en charge par un coffre-fort à espacement logique.
+ Si le type de ressource prend en charge [AWS Backup la gestion complète](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management).

**Avertissement**  
Nous vous recommandons d'intégrer vos coffres-forts à espacement logique avec l'[approbation multipartite](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA) si vous optez pour cette fonctionnalité. Cela permet de récupérer les sauvegardes dans le coffre-fort même si le compte propriétaire du coffre-fort est inaccessible.

Il n'y a pas de nouveau prix pour cette fonctionnalité. Vous êtes uniquement facturé pour les sauvegardes stockées dans des coffres-forts hermétiques et pour les instantanés temporaires (pendant leur période de conservation dans le système) pour les ressources applicables aux tarifs en vigueur. Consultez [AWS Backup Tarification](https://aws.amazon.com/backup/pricing/) pour plus d’informations.

**Topics**
+ [Présentation de](#lag-primary-backup-overview)
+ [Comment ça marche](#lag-primary-backup-how-it-works)
+ [Considérations de coût](#lag-primary-backup-cost)
+ [Configuration de la sauvegarde principale du coffre-fort ventilé de manière logique](#lag-primary-backup-configure)
+ [Surveillez la sauvegarde principale du coffre-fort à intervalles logiques](#lag-primary-backup-monitor)
+ [Intégration et migration](#lag-primary-backup-onboarding)
+ [Résolution des problèmes](#lag-primary-backup-troubleshooting)

## Comment ça marche
<a name="lag-primary-backup-how-it-works"></a>

Vous pouvez intégrer cette fonctionnalité en mettant à jour votre plan de sauvegarde existant ou en en créant un nouveau et en ajoutant un ARN de coffre-fort logiquement espacé (nom du champ :`TargetLogicallyAirGappedBackupVaultArn`) comme cible de sauvegarde principale. Vous pouvez effectuer cette opération via la AWS Backup console ou via les commandes de la AWS Backup CLI.

```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```

Lorsque vous spécifiez à la fois un coffre-fort de sauvegarde et un coffre-fort logiquement espacé comme cibles pour vos tâches de sauvegarde, AWS Backup déterminez le flux de travail approprié en fonction du type de ressource et de la configuration de chiffrement.

![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)


**Ressources prises en charge pour la sauvegarde principale vers des coffres-forts logiquement espacés**  
[Pour consulter la liste complète des ressources prises en charge pour les coffres-forts à espacement logique, consultez la section Disponibilité des fonctionnalités. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources) Toutes les ressources qui prennent en charge les coffres-forts à espacement logique suivent le principe qui consiste à ne conserver qu'une seule copie de votre sauvegarde, plutôt que d'en stocker deux copies distinctes lorsque cette fonctionnalité est utilisée.

**Avertissement**  
Le support des ressources qui ne sont pas actuellement prises en charge pour cette fonctionnalité sera peut-être activé à l'avenir. Lorsque cela se produit, votre ressource nouvellement prise en charge commencera automatiquement à être sauvegardée dans le coffre-fort logiquement isolé en utilisant le flux de travail illustré ci-dessus.

**Considérations et limites :**  

+ **Même compte et même région uniquement** : votre coffre-fort logiquement isolé doit se trouver dans le même AWS compte et dans la même région que vos ressources pour utiliser cette fonctionnalité. Vous ne pouvez pas créer de sauvegardes directement entre comptes ou entre régions. Nous vous recommandons de sauvegarder vos données dans un coffre-fort isolé de manière logique dans la même région afin de permettre une restauration plus rapide sans avoir besoin d'une copie. Si vous avez besoin d'une copie de vos données dans une deuxième région à des fins de reprise après sinistre (DR), nous recommandons soit une réplication interrégionale de vos ressources principales pour un basculement rapide, soit des copies des points de restauration entre régions vers un coffre-fort de sauvegarde verrouillé.
+ **Contraintes liées à l'utilisation de clés AWS gérées — Les** ressources ne supportant pas AWS Backup la gestion complète et chiffrées AWS à l'aide de clés gérées (par exemple`aws/ebs`,`aws/rds`) ne peuvent pas être copiées dans des coffres-forts séparés de manière logique. Ces ressources doivent être chiffrées à l'aide d'une clé KMS gérée par le client ou ne pas être chiffrées. Les ressources permettant une AWS Backup gestion complète **ne sont pas soumises à cette contrainte.**
+ **Fréquence des sauvegardes et copies simultanées** : pour les ressources ne permettant pas une AWS Backup gestion complète, assurez-vous que votre fréquence de sauvegarde laisse suffisamment de temps pour que les copies soient effectuées. Si les sauvegardes sont planifiées plus fréquemment que les copies ne peuvent être terminées, les tâches de copie seront mises en file d'attente et risquent d'échouer. Pour obtenir des conseils sur les limites de copies simultanées, [consultez la section Quotas](aws-backup-limits.md#lag-vault-quotas-table).
+ **Compatibilité avec le cycle** de vie : la période de conservation spécifiée dans votre plan de sauvegarde doit être compatible avec les périodes de conservation minimale et maximale configurées pour votre coffre-fort à espacement logique.
+ **Coffres-forts de sauvegarde verrouillés** : si le verrouillage du coffre-fort de sauvegarde cible est activé, les points de restauration temporaires ne peuvent pas être supprimés manuellement et seront conservés jusqu'à ce que la copie soit terminée ou que la période de conservation expire.
+ **Tests de restauration, indexation et analyse** : les tests de restauration, l'indexation des points de restauration et l'analyse des programmes malveillants ignorent les points de restauration temporaires ayant un `DELETE_AFTER_COPY` cycle de vie. L'indexation des points de restauration ne prend pas en charge les points de récupération dans un coffre-fort logiquement espacé. L'analyse des programmes malveillants ne prend pas en charge les analyses planifiées des points de restauration copiés, y compris les copies automatiques effectuées dans le cadre des sauvegardes principales vers un coffre-fort isolé de manière logique.

### Ressources permettant une AWS Backup gestion complète
<a name="lag-primary-backup-full-management"></a>

Certains types de ressources, tels qu'Amazon EFS, Amazon S3, Amazon DynamoDB [AWS Backup doté de fonctionnalités avancées](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html), etc., qui prennent en charge la gestion AWS Backup complète, peuvent être sauvegardés directement dans votre coffre-fort logiquement espacé. Aucun point de récupération n'est créé dans votre coffre-fort de sauvegarde et aucune opération de copie n'est requise. Toutes les actions de copie planifiées dans votre plan de sauvegarde utilisent le point de récupération de votre coffre-fort logiquement isolé comme source.

Les ressources qui prennent en charge la sauvegarde continue, telles qu'Amazon S3, peuvent également effectuer une sauvegarde continue directement dans un coffre-fort isolé de manière logique.

Pour obtenir une liste des types de ressources prenant en charge AWS Backup la gestion complète et les coffres-forts à espacement logique, voir [Disponibilité des fonctionnalités par ressource](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) dans les colonnes intitulées « Gestion complète » et « Coffre-fort à espacement logique ».

### Ressource ne prenant pas en charge AWS Backup la gestion complète
<a name="lag-primary-backup-not-full-management"></a>

Les ressources telles qu'Amazon EBS/EC2, Amazon Aurora et Amazon FSx ne peuvent pas être sauvegardées directement dans des coffres-forts espacés de manière logique. Pour ces types de ressources, AWS Backup crée un point de restauration temporaire dans votre coffre-fort de sauvegarde, puis le copie automatiquement dans votre coffre-fort isolé de manière logique.

Le point de restauration temporaire possède un paramètre de cycle de vie spécial appelé`DELETE_AFTER_COPY`. Une fois que la copie vers votre coffre-fort logiquement espacé est terminée avec succès, le point de récupération temporaire est AWS Backup automatiquement supprimé. Toutes les autres actions de copie planifiées de votre plan de sauvegarde démarrent en parallèle avec la copie vers votre coffre-fort logiquement espacé et n'ont aucune incidence sur votre expérience de copie actuelle.

Si la copie vers votre coffre-fort logiquement espacé échoue, le point de restauration temporaire est conservé dans votre coffre-fort de sauvegarde conformément à la période de conservation que vous avez spécifiée. Cela vous permet de vous assurer que vous disposez toujours d'un point de restauration utilisable après la fin d'une tâche de sauvegarde. Si le point de récupération est ensuite copié manuellement dans le coffre-fort isolé de manière logique, il est automatiquement nettoyé conformément à la règle. `DELETE_AFTER_COPY`

**Avertissement**  
Les ressources chiffrées AWS à l'aide de clés gérées (par exemple,`aws/ebs`) ne sont pas prises en charge pour la copie vers des coffres-forts logiquement espacés. Ces ressources doivent être chiffrées à l'aide d'une clé gérée par le AWS Key Management Service client ou non chiffrées. Les ressources permettant une AWS Backup gestion complète ne sont pas soumises à cette contrainte.

#### Supprimer après le cycle de vie de la copie
<a name="lag-primary-backup-delete-after-copy"></a>

Les points de restauration temporaires ont un nouvel attribut de cycle de vie appelé `DeleteAfterEvent` avec une valeur de`DELETE_AFTER_COPY`. Cet attribut indique que le point de récupération sera automatiquement supprimé une fois toutes les tâches de copie terminées ou après la période de conservation que vous avez spécifiée, selon la première éventualité.

Un point de récupération temporaire est supprimé lorsque toutes les conditions suivantes sont réunies :
+ Toutes les tâches de copie automatiques et planifiées sont terminées.
+ Une tâche de copie est terminée vers votre coffre-fort cible logiquement espacé avec une période de conservation au moins aussi longue que le point de récupération de la source.

Si vous devez empêcher la suppression manuelle du point de restauration temporaire pendant que les copies sont en cours, envisagez d'utiliser un coffre-fort de sauvegarde verrouillé comme coffre-fort de sauvegarde cible.

#### Sauvegarde continue pour les ressources ne prenant pas en charge AWS Backup la gestion complète
<a name="lag-primary-backup-continuous-backup"></a>

Pour les ressources telles qu'Amazon Aurora, si vous activez la sauvegarde continue, si vous AWS Backup créez un point de restauration continu dans votre coffre-fort de sauvegarde et que vous prenez un instantané temporaire qui est copié dans votre coffre-fort à espacement logique. L'instantané temporaire doit être automatiquement supprimé une fois la copie terminée, que la copie soit réussie ou non, car vous conservez un point de restauration continu dans votre coffre-fort de sauvegarde.

Si vous ne souhaitez pas créer de point de restauration continue pour Amazon Aurora dans votre coffre-fort de sauvegarde, mais souhaitez un point de restauration continu pour Amazon S3 dans votre coffre-fort isolé de manière logique, vous pouvez désactiver le paramètre de sauvegarde continue (`EnableContinuousBackup`) dans le plan actuel et activer S3 Continuous à partir d'un autre plan.

Pour en savoir plus sur le stockage de sauvegarde Aurora, consultez [Comprendre l'utilisation du stockage de sauvegarde Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated).

### Ressources non prises en charge
<a name="lag-primary-backup-unsupported"></a>

Si un type de ressource n'est pas pris en charge par des coffres-forts séparés de manière logique, ou si une ressource non entièrement gérée est chiffrée à l'aide d'une clé AWS gérée, AWS Backup crée la sauvegarde uniquement dans votre coffre-fort de sauvegarde. Aucune copie vers votre coffre-fort hermétique n'est tentée. La tâche de sauvegarde s'achève correctement avec un message indiquant pourquoi la sauvegarde n'a pas été transférée dans votre coffre-fort logiquement espacé.

## Considérations de coût
<a name="lag-primary-backup-cost"></a>
+ Cette fonctionnalité n'entraîne pas de nouveaux frais. Vous ne payez que pour le stockage dans vos coffres-forts.
+ Pour les ressources permettant une AWS Backup gestion complète, la conservation des sauvegardes uniquement dans votre coffre-fort à espacement logique peut entraîner des économies importantes par rapport à la conservation de deux copies de sauvegarde à la fois dans un coffre-fort de sauvegarde et dans un coffre-fort à espacement logique.
+ Pour les ressources ne permettant pas une AWS Backup gestion complète, vous êtes facturé à la fois pour le point de restauration temporaire dans votre coffre-fort de sauvegarde et pour les points de restauration dans votre coffre-fort à espacement logique.
  + Vous pouvez toujours réaliser d'importantes économies en conservant une seule copie de sauvegarde, mais ces économies peuvent varier en fonction de la fréquence des sauvegardes et du taux de modification.
  + Des fréquences de sauvegarde plus faibles permettent généralement de réaliser des économies plus importantes, car les points de restauration temporaires occupent le stockage pendant un pourcentage plus court de votre période de facturation.
  + Certaines ressources ont des durées de facturation minimales, ce qui augmente les coûts liés aux points de récupération temporaires.
+ Désactivez les balises ou la récupération de ACLs métadonnées dans votre configuration de sauvegarde si vous n'utilisez pas ces fonctionnalités S3. Cela permet de réduire les appels d'API et les frais associés pour les vérifications de métadonnées lors des opérations de copie.

## Configuration de la sauvegarde principale du coffre-fort ventilé de manière logique
<a name="lag-primary-backup-configure"></a>

Vous pouvez configurer une sauvegarde principale du coffre-fort à espacement logique via la AWS Backup console, le ou AWS Organizations les AWS CLI politiques AWS CloudFormation de sauvegarde.

### Configuration d'un plan de sauvegarde
<a name="lag-primary-backup-configure-plan"></a>

------
#### [ Console ]

**Pour configurer une sauvegarde principale du coffre-fort à espacement logique pour un plan de sauvegarde**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup).

1. Dans le volet de navigation, choisissez **Backup plans**, puis **Create backup plan** ou sélectionnez un plan de sauvegarde existant à modifier.

1. Dans la section **Configuration des règles de sauvegarde**, spécifiez les paramètres de vos règles de sauvegarde.

1. Pour **Backup Vault**, choisissez le coffre-fort de sauvegarde dans lequel les points de restauration temporaires seront stockés (pour les ressources non entièrement gérées) ou où les sauvegardes seront stockées si elles ne peuvent pas être placées dans votre coffre-fort logiquement isolé.

1. Pour le **coffre-fort à espacement logique (facultatif)**, choisissez le coffre-fort à espacement logique dans lequel vous souhaitez stocker vos sauvegardes.
**Note**  
Le coffre-fort logiquement isolé doit se trouver dans le même compte et dans la même région que votre coffre-fort de sauvegarde.

1. Configurez les autres paramètres des règles de sauvegarde, y compris les options de cycle de vie et de copie.

1. Choisissez **Créer un plan** ou **Enregistrer les modifications**.

------
#### [ AWS CLI ]

Utilisez la commande CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)pour créer un nouveau plan ou [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)pour mettre à jour un plan existant, et incluez le `TargetLogicallyAirGappedBackupVaultArn` paramètre dans votre règle de sauvegarde.

Exemple de commande CLI pour créer un plan de sauvegarde à l'aide d'un document JSON :

```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```

Exemple de commande CLI pour créer un plan de sauvegarde directement dans la CLI :

```
aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'
```

------

### Configuration de la sauvegarde à la demande
<a name="lag-primary-backup-configure-ondemand"></a>

------
#### [ Console ]

**Pour configurer une sauvegarde principale du coffre-fort à espacement logique pour une sauvegarde à la demande**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup).

1. Dans le panneau de navigation, choisissez **Protected resources (Ressources protégées)**.

1. Sur la page **Ressources protégées**, choisissez **Créer une sauvegarde à la demande**.

1. Sélectionnez le type de ressource et l'ARN de ressource que vous souhaitez sauvegarder.

1. Pour **Backup vault**, choisissez le coffre de sauvegarde.

1. Pour le **coffre-fort à espace d'air logique (facultatif)**, choisissez le coffre-fort à espace d'air logique dans lequel vous souhaitez stocker la sauvegarde.

1. Configurez les autres paramètres et choisissez **Créer une sauvegarde à la demande**.

------
#### [ AWS CLI ]

Utilisez la start-backup-job commande avec le nouveau `--logically-air-gapped-backup-vault-arn` paramètre :

```
aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35
```

------

## Surveillez la sauvegarde principale du coffre-fort à intervalles logiques
<a name="lag-primary-backup-monitor"></a>

Vous pouvez surveiller l'état de vos sauvegardes et de vos tâches de copie à l'aide de la AWS Backup console ou EventBridge des événements Amazon. AWS CLI

### Surveiller les tâches de sauvegarde
<a name="lag-primary-backup-monitor-backup-jobs"></a>

Surveillez l'état des tâches de sauvegarde ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)) pour vous assurer que vos ressources restent protégées. L'échec d'une tâche de sauvegarde indique qu'aucun point de restauration n'a été créé.
+ **Vérifiez l'emplacement de création du point de récupération** : lorsqu'une tâche de sauvegarde est terminée avec succès, vous disposez d'un point de restauration dans votre coffre-fort de sauvegarde cible ou dans votre coffre-fort cible logiquement séparé. Vérifiez le `BackupVaultArn` champ pour déterminer où le point de récupération a été créé.
+ **Vérifier l'état de la tâche** : si une ressource n'est pas prise en charge par des coffres-forts espacés de manière logique, la tâche de sauvegarde se termine par un « `MessageCategory` de » `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED` et un message d'état expliquant pourquoi la sauvegarde a plutôt été créée dans votre coffre-fort de sauvegarde.
+ **Vérifier le type de point de récupération temporaire** : pour vérifier si un point de récupération est temporaire, recherchez le `RecoveryPointLifecycle.DeleteAfterEvent` champ dont la valeur est de`DELETE_AFTER_COPY`.

### Surveiller les tâches de copie
<a name="lag-primary-backup-monitor-copy-jobs"></a>

Surveillez les tâches de copie ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) vers votre coffre-fort hermétique de manière logique pour détecter les défaillances. En cas d'échec d'une tâche de copie, votre point de restauration reste dans votre coffre-fort de sauvegarde standard sans protection logique.
+ **Vérifier l'état de la tâche de copie** : vous pouvez surveiller l'état de la tâche de copie à l'aide de l'`Copy Job State Change` EventBridge événement existant. Vous pouvez éventuellement filtrer sur le coffre-fort de destination (`destinationBackupVaultArn`) pour vous concentrer sur les copies du coffre-fort espacées de manière logique.
+ **Vérifier les copies pour un point de récupération source** : utilisez l'[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)API avec le nouveau `BySourceRecoveryPointArn` filtre pour rechercher toutes les tâches de copie associées à un point de récupération spécifique, y compris les copies automatiques vers votre coffre-fort logiquement espacé et les copies planifiées vers d'autres destinations.
+ **Vérifier la suppression du point de récupération temporaire** : suivre l'achèvement de la suppression du point de récupération temporaire. Si l'état de la tâche de copie est `RUNNING` défini, le point de récupération n'a pas encore été supprimé. Si la copie se trouve dans votre coffre-fort logiquement espacé`FAILED`, le point de récupération sera conservé pendant la période de conservation que vous avez spécifiée.

**Note**  
Les enregistrements des tâches de copie expirent et sont supprimés 30 jours après leur fin. Après cette période, vous ne pourrez plus l'utiliser `ListCopyJobs` pour déterminer le statut historique de la copie.

### Surveiller le point de récupération
<a name="lag-primary-backup-monitor-recovery-points"></a>

Surveillez les points de `EXPIRED` récupération ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)), ce qui peut indiquer que vous n'avez pas AWS Backup pu les supprimer (peut-être en raison d'autorisations manquantes). `EXPIRED`les points de récupération peuvent avoir des répercussions financières.
+ **Vérifier l'état du point de récupération** : utilisez l' EventBridge événement de changement d'état du point de restauration existant pour surveiller les expirations.
+ **Vérifier la suppression du point de récupération temporaire** : si un point de récupération n'`DeleteAfterEvent: DELETE_AFTER_COPY`a pas été supprimé, utilisez l'`ListCopyJobs`API pour en déterminer la raison, comme indiqué ci-dessus.

## Intégration et migration
<a name="lag-primary-backup-onboarding"></a>

Si vous utilisez actuellement des actions de copie pour copier des sauvegardes vers un coffre-fort à espacement logique, vous pouvez migrer vers une sauvegarde principale du coffre-fort à espacement logique afin de réduire les coûts. Vous pouvez également migrer vos sauvegardes continues Amazon S3 existantes d'un coffre-fort de sauvegarde vers un coffre-fort à espacement logique. Ce guide explique les conditions préalables et les étapes requises pour migrer vers la fonction de sauvegarde principale du coffre-fort logiquement espacé.

### Conditions préalables et meilleures pratiques
<a name="lag-primary-backup-prerequisites"></a>

Avant de pouvoir utiliser efficacement la fonction de sauvegarde principale du coffre-fort logiquement espacé, il existe des conditions préalables et des meilleures pratiques recommandées.

**Conditions préalables**  


À l'heure actuelle, un coffre-fort isolé logiquement utilisé comme cible de sauvegarde principale ne prend en charge que les sauvegardes effectuées au sein du même AWS compte et de la même AWS région que vos ressources de sauvegarde. Logiquement, les sauvegardes des coffres-forts sont stockées dans des comptes de service distincts, ce qui permet de les isoler entre comptes et entre organisations sans qu'il soit nécessaire de les copier sur des comptes distincts. Si vous avez besoin de sauvegardes interrégionales, continuez à utiliser le coffre-fort isolé de manière logique comme destination de copie. Avant de migrer vers cette fonctionnalité, assurez-vous de répondre aux exigences suivantes :
+ **Exigences relatives à la région et au compte**
  + Votre coffre hermétique doit se trouver dans le même AWS compte et dans la même région que vos ressources
+ **Compatibilité des ressources**
  + Vérifiez que vos ressources sont prises en charge par des coffres-forts espacés de manière logique dans Disponibilité des [fonctionnalités](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) par ressource.
  + Vérifiez si vos ressources prennent en charge [AWS Backup la gestion complète](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) ou non. L'expérience de création de sauvegardes séparées diffère entre ces deux types de ressources, même si le résultat est similaire pour les deux.
+ **Exigences en matière de chiffrement**
  + Les ressources qui ne prennent pas en charge AWS Backup la gestion complète doivent être déchiffrées ou chiffrées à l'aide de clés gérées par le client (CMKs). AWS Les ressources chiffrées par clé gérée (AMK) ne sont pas prises en charge par un coffre-fort logiquement espacé.

**Bonnes pratiques**  

+ Commencez par une migration pilote de ressources non critiques.
+ Vérifiez et ajustez les fréquences de sauvegarde en fonction des performances des tâches de copie.
+ Mettez en œuvre une surveillance complète avant la migration complète.
+ Vérifiez régulièrement la création de points de récupération dans les coffres-forts prévus.

### Planification de votre migration
<a name="lag-primary-backup-planning"></a>
+ Passez en revue les plans et politiques de sauvegarde existants.
+ Identifiez les ressources qui prennent en charge AWS Backup la gestion complète et celles qui ne le sont pas.
  + Ressources prenant en charge AWS Backup la gestion complète (par exemple, EFS, S3) : peuvent être sauvegardées directement dans un coffre-fort à espacement logique
  + Ressources ne prenant pas en charge AWS Backup la gestion complète (par exemple, EC2, EBS, FSx) : nécessitent une sauvegarde temporaire dans un coffre-fort de sauvegarde avant d'être copiées dans un coffre-fort à espacement logique
+ Passez en revue votre volume et votre fréquence de sauvegarde actuels et assurez-vous que votre configuration est conforme aux limites de copies simultanées pour toutes les ressources ne permettant pas une AWS Backup gestion complète.
  + Ignorez cette étape si vous effectuez déjà des copies vers un coffre-fort isolé de manière logique à la même fréquence que les sauvegardes de votre coffre-fort standard.
  + Envisagez d'ajuster la fréquence des sauvegardes, si nécessaire, pour éviter la mise en file d'attente des tâches de copie.
  + En cas de mise en file d'attente des tâches de copie, vous disposerez toujours d'un point de restauration utilisable dans votre coffre-fort de sauvegarde standard en attendant que la copie soit terminée dans votre coffre-fort logiquement espacé. Cependant, ce point de récupération ne fournira pas le niveau de protection qu'offre le coffre-fort Logically Airgapped.

### Ressources soutenant le processus de migration AWS Backup de la gestion complète
<a name="lag-primary-backup-full-management-migration"></a>

Pour des ressources entièrement gérées, vous pouvez effectuer des sauvegardes directement dans votre coffre-fort isolé de manière logique sans avoir à effectuer d'opérations de copie.

#### Pour les sauvegardes basées sur des instantanés
<a name="lag-primary-backup-snapshot-migration"></a>

Ce processus s'applique à tous les scénarios de capture instantanée, que votre coffre-fort de sauvegarde soit verrouillé ou non. Lors de la migration d'un plan de sauvegarde existant ou de l'utilisation d'un coffre-fort de sauvegarde existant (principal) et d'un coffre-fort logiquement espacé (copie) dans un nouveau plan de sauvegarde :

1. Conservez votre coffre-fort de sauvegarde existant ou ajoutez-le comme cible de sauvegarde (`TargetBackupVaultName`). Ce coffre-fort ne stockera aucune sauvegarde mais doit être fourni pour des raisons de rétrocompatibilité.

1. Mettez à jour votre plan de sauvegarde pour inclure le coffre-fort logiquement isolé (`TargetLogicallyAirGappedBackupVaultArn`), existant dans le même compte, en tant que cible principale.

1. Passez en revue toute action de copie existante vers un autre coffre-fort logiquement espacé pour déterminer si elle est toujours nécessaire. Vous pouvez également déplacer ce coffre en tant que cible principale à l'étape 2 s'il se trouve dans le même compte.

#### Pour les sauvegardes continues d'Amazon S3
<a name="lag-primary-backup-s3-continuous-migration"></a>

Le coffre-fort isolé de manière logique en tant que cible de sauvegarde principale prend en charge la sauvegarde continue pour Amazon S3. Toutefois, vous ne pouvez conserver qu'un seul point de restauration continue actif par ressource dans un seul coffre. Si vous disposez d'un point de restauration continue Amazon S3 actif, vous devez le dissocier ou le supprimer avant d'en créer un nouveau dans un autre coffre-fort. L'ajout d'une cible de coffre-fort isolée de manière logique (provenant du même compte) à votre plan de sauvegarde, avec un point de restauration continue Amazon S3 actif existant, entraînera l'échec de la tâche de sauvegarde continue.

Pour migrer votre point de restauration continue Amazon S3 vers votre coffre-fort isolé de manière logique à partir d'un coffre-fort de sauvegarde **déverrouillé** :

1. Mettez à jour votre plan de sauvegarde pour ajouter une action de copie à votre coffre-fort logiquement isolé. Cela réduira le coût de génération de la sauvegarde initiale dans votre coffre-fort logiquement isolé. Ignorez cette étape si vous effectuez déjà une copie dans votre coffre-fort local logiquement espacé.

1. Vérifiez qu'au moins une copie instantanée est terminée correctement dans votre coffre-fort logiquement espacé avant de continuer.

1. Dissociez le point de restauration continue Amazon S3 existant. Appelez l'[DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)API pour modifier le statut du point de récupération de AVAILABLE à STOPPÉ. Cette action préserve vos données de sauvegarde existantes tout en empêchant l'ajout de nouvelles données.

1. Mettez à jour le plan de sauvegarde pour ajouter un coffre-fort logiquement espacé (`TargetLogicallyAirGappedBackupVaultArn`) comme cible de sauvegarde.

1. Supprimez toutes les actions de copie précédentes du plan.

1. Lors de la prochaine exécution du plan de sauvegarde, un nouveau point de restauration continue sera créé dans votre coffre-fort logiquement isolé. Ce point de restauration sera incrémentiel, en fonction du cliché copié à l'étape 1.

Pour migrer votre point de restauration continue Amazon S3 vers votre coffre-fort isolé de manière logique à partir d'un coffre-fort de sauvegarde **verrouillé** :

1. Mettez à jour votre plan de sauvegarde pour ajouter une action de copie à votre coffre-fort logiquement isolé. Cela réduira le coût de génération de la sauvegarde initiale dans votre coffre-fort logiquement isolé. Ignorez cette étape si vous effectuez déjà une copie dans votre coffre-fort local logiquement espacé.

1. Vérifiez qu'au moins une copie instantanée est terminée correctement dans votre coffre-fort logiquement espacé avant de continuer. Assurez-vous que le cliché copié est conservé pendant une période suffisamment longue pour rester disponible jusqu'à ce que vous ayez terminé toutes les étapes.

1. Ajoutez le coffre logiquement espacé comme cible principale et supprimez toute action de copie.

   1. Cette étape est nécessaire car les coffres-forts verrouillés ne prennent pas en charge la dissociation des points de restauration continue.

   1. Votre point de restauration continue existant dans le coffre de sauvegarde verrouillé continuera à accumuler des données jusqu'à leur expiration conformément à leur cycle de vie.

   1. Les nouvelles tâches de sauvegarde en continu échoueront car il ne peut exister qu'un seul point de restauration continue actif par ressource. Étant donné que ces tâches échouent, aucune action de copie ne sera exécutée.

1. Attendez que le point de restauration continue existant expire. Après expiration, un nouveau point de restauration continue sera créé dans le coffre hermétiquement fermé. Ce point de restauration sera incrémentiel en fonction de l'instantané copié à partir de l'étape 1, à condition que le cliché existe toujours dans votre coffre-fort isolé de manière logique.

1. Toutes les données accumulées dans votre coffre-fort standard seront perdues à leur expiration. Seules les données sauvegardées après la création du nouveau point de restauration dans le coffre logiquement aéré seront conservées.

### Ressources ne prenant pas en charge le processus AWS Backup de migration de gestion complet
<a name="lag-primary-backup-not-full-management-migration"></a>

Les ressources qui ne sont pas entièrement gérées nécessitent une opération de copie vers le coffre-fort logiquement espacé. Le processus crée un point de récupération temporaire (facturable) dans votre coffre-fort de sauvegarde standard, qui est automatiquement copié dans votre coffre-fort isolé de manière logique, puis supprimé une fois la copie terminée. Lorsque vous mettez à jour votre plan de sauvegarde pour inclure une cible de coffre-fort logiquement isolée :
+ Les tâches de sauvegarde créeront un point de restauration dans votre coffre de sauvegarde. Cela a un cycle de vie dicté par l'`DELETE_AFTER_COPY`événement.
+ Une tâche de copie initie automatiquement le transfert du point de récupération vers votre coffre-fort isolé de manière logique.
+ Une fois la copie terminée avec succès, le point de récupération temporaire de votre coffre-fort est supprimé.
+ Si la copie échoue, le point de récupération temporaire est conservé pendant une durée maximale en fonction de la période de conservation que vous avez spécifiée, ce qui garantit que vous disposez d'un point de récupération utilisable.

## Résolution des problèmes
<a name="lag-primary-backup-troubleshooting"></a>

### La tâche de sauvegarde ou de copie échoue en raison d'une erreur d'incompatibilité du cycle de vie
<a name="lag-primary-backup-troubleshoot-lifecycle"></a>

**Erreur pour les tâches de sauvegarde :** `Backup job failed because the lifecycle is outside the valid range for backup vault.`

**Erreur pour les tâches de copie :** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`

**Cause possible :** les tâches de sauvegarde ou de copie échouent car la période de conservation est incompatible avec les paramètres de rétention minimaux ou maximaux du coffre-fort logiquement espacé.

**Solution :** mettez à jour votre plan de sauvegarde pour spécifier une période de conservation comprise entre les périodes de rétention minimale et maximale configurées pour votre coffre-fort isolé de manière logique.

### Les tâches de sauvegarde continue échouent lorsque « la sauvegarde continue est déjà activée »
<a name="lag-primary-backup-troubleshoot-continuous"></a>

**Erreur :** `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`

**Cause possible :** les tâches de sauvegarde en continu échouent car il existe déjà un point de restauration continue pour la ressource dans un autre coffre.

**Solution :** Chaque ressource ne peut avoir qu'un seul point de restauration continue. Si votre coffre-fort de sauvegarde est déverrouillé, dissociez le point de restauration continue existant à l'aide de la [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)commande. Si votre coffre-fort de sauvegarde est verrouillé, attendez que le point de restauration continue existant expire conformément à son cycle de vie.

### La tâche de sauvegarde se termine avec le message « Complété avec des problèmes » - Type de ressource non pris en charge
<a name="lag-primary-backup-troubleshoot-unsupported-resource"></a>

**Message** : `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`

**Cause possible :** les tâches de sauvegarde pour les ressources non prises en charge et non entièrement gérées affichent le message « Terminé avec des problèmes » avec un message indiquant que la ressource n'est pas prise en charge.

**Solution :** les types de ressources qui ne sont pas pris en charge seront uniquement sauvegardés dans le coffre de sauvegarde. Si vous souhaitez conserver ces sauvegardes dans votre coffre-fort de sauvegarde, aucune action n'est requise. Si vous préférez ne pas mélanger des ressources non prises en charge à votre coffre-fort logiquement isolé, vous pouvez :
+ Supprimez la ressource ou la cible du coffre-fort logiquement espacé de votre plan de sauvegarde pour ces ressources et continuez à sauvegarder uniquement dans votre coffre-fort de sauvegarde. Vous pouvez ensuite ajouter la ressource dans le cadre d'un autre plan.

### La tâche de sauvegarde s'achève avec le message « Complété avec des problèmes » - Clé de chiffrement non prise en charge
<a name="lag-primary-backup-troubleshoot-encryption-key"></a>

**Message** : `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`

**Cause possible :** les tâches de sauvegarde pour les ressources non prises en charge et non entièrement gérées affichent le message « Terminé avec des problèmes » avec un message indiquant que la ressource est cryptée à l'aide d'une clé AWS gérée.

**Résolution :** Les ressources non entièrement gérées chiffrées à l'aide de clés AWS gérées ne peuvent pas être copiées dans des coffres-forts séparés de manière logique. Si vous souhaitez conserver ces sauvegardes dans votre coffre-fort de sauvegarde, aucune action n'est requise. Si vous préférez ne pas mélanger des ressources non prises en charge à votre coffre-fort logiquement isolé, vous pouvez :
+ Chiffrez à nouveau vos ressources avec une clé KMS gérée par le client, ou
+ Supprimez la ressource ou la cible du coffre-fort logiquement espacé de votre plan de sauvegarde pour ces ressources et continuez à sauvegarder uniquement dans votre coffre-fort de sauvegarde. Vous pouvez ensuite ajouter la ressource dans le cadre d'un autre plan.

### Les points de récupération restent en `EXPIRED` état
<a name="lag-primary-backup-troubleshoot-expired-recovery-points"></a>

**Cause possible :** les points de restauration temporaires passent à `EXPIRED` l'état mais ne sont pas supprimés.

**Résolution :** AWS Backup il se peut que les autorisations nécessaires pour supprimer les points de récupération ne soient pas disponibles. Vérifiez que votre rôle de sauvegarde dispose des autorisations IAM nécessaires. Il se peut que vous deviez supprimer manuellement les points `expired` de récupération.

### Les tâches de copie sont mises en file d'attente ou échouent en raison d'une fréquence de sauvegarde élevée
<a name="lag-primary-backup-troubleshoot-queued-jobs"></a>

**Cause possible :** les tâches de copie vers des coffres-forts à espacement logique sont mises en file d'attente ou échouent car les sauvegardes sont planifiées plus fréquemment que les copies ne peuvent être effectuées.

**Solution :** Réduisez la fréquence de vos sauvegardes ou ajustez votre calendrier de sauvegarde pour laisser plus de temps entre les sauvegardes. Consultez la [documentation sur AWS Backup les quotas](aws-backup-limits.md#lag-vault-quotas-table) pour plus d'informations sur les limites de copies simultanées.

# Approbation multipartite pour les coffres-forts à espacement logique
<a name="multipartyapproval"></a>



## Vue d'ensemble de l'approbation multipartite dans un coffre-fort hermétique
<a name="multipartyapproval-overview"></a>

AWS Backup vous offre la possibilité d'ajouter l'[approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), une fonctionnalité provenant de AWS Organizations, à vos coffres-forts logiquement espacés. L'approbation multipartite fournit une option supplémentaire pour protéger les opérations critiques par le biais d'un processus d'approbation distribué. 

L'approbation multipartite est conçue pour aider à protéger les ressources critiques et à minimiser le délai de retour à une exploitation complète, par exemple en cas d'interruption causée par des acteurs malveillants ou des événements malveillants. Cette configuration peut vous aider à restaurer le contenu d'un coffre-fort logiquement isolé qui a peut-être été compromis.

[Il n'y a aucun coût supplémentaire pour intégrer et utiliser des équipes d'approbation multipartites dotées de coffres-forts AWS Backup hermétiques (des frais de stockage et de transferts entre régions s'appliquent, comme indiqué sur la page de tarification).](https://aws.amazon.com/backup/pricing)

En tant que AWS Backup client, vous pouvez utiliser l'approbation multipartite pour accorder la capacité d'approbation de certaines opérations à un groupe de personnes de confiance qui peuvent approuver de manière collaborative l'accès à un coffre-fort isolé à partir d'un compte de récupération créé séparément en cas d'activité malveillante présumée susceptible de compromettre l'utilisation du compte principal.

Les étapes suivantes décrivent le flux recommandé pour configurer une AWS organisation de reprise, configurer l'approbation multipartite, puis utiliser l'approbation multipartite avec vos coffres-forts logiquement séparés :

1. Un administrateur [crée une nouvelle organisation via Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) à utiliser pour les opérations de restauration.

1. Dans le compte de gestion de cette nouvelle organisation, l'administrateur crée et configure une instance IAM Identity Center (IDC) (pour activer une instance d'organisation, voir [Activer le centre d'identité IAM dans le guide de l'utilisateur de l'*IAM* Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)). Consultez également la séquence de [création d'une source d'identité d'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) dans le Guide de l'*utilisateur de l'approbation multipartite*.

1. L'administrateur [créera ensuite une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), le groupe principal de personnes de confiance qui seront les principaux utilisateurs de l'approbation multipartite.

1. L'administrateur a l'habitude de AWS RAM [partager une équipe d'approbation](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) avec chaque compte propriétaire d'un coffre-fort logiquement isolé et avec le compte de récupération qui doit demander l'accès à ce coffre-fort.

1. Un administrateur du compte propriétaire du coffre-fort logiquement isolé [associe le coffre-fort à une équipe d'approbation](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team).

1. Un compte de récupération [demande l'accès](multipartyapproval-tasks-requester.md#create-restore-access-vault) à un compte doté d'un coffre-fort logiquement isolé auquel est associée une équipe d'approbation multipartite (« équipe »). L'équipe associée au compte [approuve ou refuse la demande](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. L'administrateur du compte propriétaire du coffre-fort logiquement isolé peut demander que [l'équipe d'approbation soit dissociée du](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team) coffre-fort. La demande nécessite l'approbation actuelle de l'équipe.

1. Un administrateur peut [mettre à jour la composition de l'équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) si nécessaire conformément à ses pratiques de sécurité ou lorsque des personnes rejoignent ou quittent votre organisation.

## Conditions préalables et meilleures pratiques pour utiliser l'approbation multipartite avec un coffre-fort hermétique
<a name="multipartyapproval-prerequisites"></a>

Avant de pouvoir utiliser efficacement et en toute sécurité l'approbation multipartite avec vos coffres-forts à espacement logique, il existe des conditions préalables et des meilleures pratiques recommandées.

**Bonnes pratiques :**
+ Deux organisations (ou plus) par le biais AWS d'Organizations. Il doit s'agir de votre organisation principale dans laquelle vous possédez un ou plusieurs comptes dotés d'au moins un coffre-fort logiquement isolé. L'organisation secondaire doit être votre organisation de reprise. C'est dans cette organisation que votre équipe d'approbation multipartite sera gérée.

**Conditions préalables**

1. Vous avez [configuré l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) et disposez d'au moins une équipe d'approbation.

1. Au moins un compte de votre organisation principale doit disposer d'un coffre-fort isolé logiquement (et du coffre-fort de sauvegarde d'origine).

1. Le compte de gestion de l'organisation principale est activé pour l'approbation multipartite.
**Astuce**  
AWS Backup vous recommande d'appliquer une politique de contrôle des services (SCP) à votre organisation principale et de la configurer avec les autorisations appropriées pour l'organisation et pour chaque équipe d'approbation. Consultez la section [Conditions d'approbation multipartite](#multipartyapproval-terms) pour un exemple de politique.

1. Votre équipe d'approbation multipartite de l'organisation secondaire (de restauration) est [partagée à](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) la fois AWS RAM avec vos comptes propriétaires du ou des coffres-forts séparés de manière logique et avec vos comptes de récupération.

## Considérations et dépendances entre régions lors de l'utilisation de l'approbation multipartite
<a name="multipartyapproval-cross-region"></a>

Lorsque vous activez l'approbation multipartite et votre instance IAM Identity Center dans différentes régions, l'approbation multipartite permet d'appeler IAM Identity Center dans toutes les régions. Cela signifie que les informations relatives aux utilisateurs et aux groupes sont transférées d'une région à l'autre. Approbation multipartite Les ressources de l'équipe ne peuvent être créées et stockées que dans l'est des Région AWS États-Unis (Virginie du Nord).

Les autres ressources Régions AWS faisant référence à des équipes d'approbation multipartites dépendront de l'est des Région AWS États-Unis (Virginie du Nord). En conséquence, l'approbation multipartite effectuera des appels interrégionaux si votre instance Identity Center and/or logiquement isolée ne se trouve pas dans l'est des États-Unis (Virginie du Nord).

## Termes d'approbation multipartites, concepts et profils d'utilisateurs
<a name="multipartyapproval-terms"></a>

L'approbation multipartite dans votre coffre-fort logiquement espacé est une intégration des AWS Organizations fonctionnalités Gestion des identités et des accès AWS (IAM) et AWS Backup(RAM) et AWS RAM (RAM). Gestion de compte AWS Grâce à la CLI, vous pouvez interagir avec chaque service pour envoyer les commandes appropriées. Vous pouvez également utiliser la console, mais vous devrez accéder à la console du service approprié pour effectuer des tâches spécifiques.

La manière dont vous interagissez avec l'approbation multipartite dépend de vos rôles et responsabilités au sein de vos organisations, ainsi que des autorisations dont vous disposez dans vos AWS Backup comptes. 

***Comme indiqué dans le [Guide de l'utilisateur de l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), les membres de votre organisation qui utilisent l'approbation multipartite seront soit ***demandeurs, ***administrateurs******, soit approbateurs.*** Des autorisations spécifiques s'appliquent à [chaque fonction](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). Conformément aux meilleures pratiques de sécurité, un utilisateur ne doit remplir qu'une seule fonction.

 **Consoles, portails et sessions** 

AWS Backup les comptes dotés d'un ou de plusieurs coffres-forts séparés de manière logique peuvent faire l'objet d'une approbation multipartite.

Avant le processus d'approbation multipartite, un administrateur crée une organisation secondaire AWS Organizations à des fins de reprise (une organisation de **reprise) si aucune organisation** n'a été configurée auparavant.

L'administrateur utilise ensuite AWS Resource Access Manager (RAM) pour configurer le partage interorganisationnel entre l'organisation principale et l'organisation de reprise.

L'**organisation principale** héberge des comptes qui possèdent et utilisent un coffre-fort logiquement isolé dans lequel sont stockées les données protégées.

L'organisation de recouvrement héberge au moins un **compte de recouvrement**. Ce compte héberge un point d'accès qui peut servir de « porte dérobée » essentielle au coffre-fort partagé logiquement séparé. Ce point d'accès est appelé **coffre de sauvegarde pour l'accès à la restauration**. Ce coffre d'accès ne stocke pas de données ; il sert plutôt de point d'accès ou de montage qui reflète le contenu du coffre-fort source logiquement espacé, mais ne contient aucune donnée pouvant être modifiée ou supprimée. Par exemple, si un client suit le processus de restauration d'un point de restauration dans un coffre-fort de sauvegarde avec accès à la restauration, c'est le point de restauration situé dans le coffre-fort isolé de manière logique qui est restauré par le biais d'une restauration entre comptes via le compte de récupération.

Pour garantir une sécurité accrue, les clients utilisent ce compte de récupération pour effectuer des opérations protégées sur le compte principal, mais uniquement après que ces opérations ont été approuvées par l'[équipe d'approbation associée lors d'une session d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Une session est créée une AWS fois qu'une demande d'approbation a été envoyée, et cette session se termine lorsqu'un seuil de membres de l'équipe d'approbation approuve ou refuse la demande ou lorsque le temps de session autorisé est dépassé. 

Une équipe est composée d'**approbateurs** (en fait, la partie de l'approbation multipartite réservée *aux parties*) qui reçoivent des notifications par e-mail concernant les demandes d'opérations protégées. Ces e-mails confirment qu'une session d'approbation a commencé pour la demande. L'approbation est accordée une fois que le seuil d'approbation minimum requis est atteint. Ce seuil peut être défini lors de la création de **l'équipe d'approbation multipartite** (« Équipe »).

Les équipes d'approbation multipartites sont gérées via le **portail d'approbation multipartite** des Organisations (« portail »), une application AWS gérée qui fournit aux identités un emplacement centralisé où les membres de l'équipe d'approbation peuvent recevoir et répondre aux invitations des équipes d'approbation et aux demandes d'opérations.

# Tâches de l'administrateur
<a name="multipartyapproval-tasks-administrator"></a>

Plusieurs tâches impliquant AWS Backup une vue d'ensemble multipartite nécessitaient un utilisateur disposant d'autorisations d'administrateur et d'un accès au compte de gestion.

## Création d'une équipe d'approbation
<a name="create-multipartyapproval-team"></a>

Un utilisateur de votre organisation disposant d'autorisations d'administrateur pour un AWS compte doit [configurer l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (étape 3 de l'[aperçu](multipartyapproval.md#multipartyapproval-overview)).

Avant de procéder à cette étape, il est recommandé, à titre de bonne pratique, de configurer à la fois une organisation principale et une organisation secondaire (à des fins de restauration) AWS Organizations (étape 1 de la section [Vue d'ensemble](multipartyapproval.md#multipartyapproval-overview)).

Consultez la section [Créer une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dans le *guide de l'utilisateur de l'approbation multipartite* pour créer votre équipe.

Pendant l'[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)opération, l'un des paramètres est`policies`. Voici une liste de ARNs (Amazon Resource Names) pour les politiques de ressources d'approbation multipartites qui définissent les autorisations qui protègent l'équipe.

La politique présentée dans l'exemple du *Guide de l'utilisateur de l'approbation multipartite* dans la procédure [Créer une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contient la politique `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` avec plusieurs autorisations nécessaires. 

Procédez comme suit pour renvoyer une liste des politiques disponibles en utilisant `mpa list-policies` :

1. Politiques de liste : 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Répertoriez toutes les versions des politiques : 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Obtenez des informations sur une politique : 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Développez ci-dessous pour voir la politique qui sera créée puis attachée à votre équipe d'approbation par cette opération :

### Restaurer la politique du coffre d'accès
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Partagez une équipe d'approbation multipartite à l'aide de AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Vous pouvez partager une équipe d'approbation multipartite avec d'autres AWS comptes en utilisant [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), étape 4 de l'[aperçu](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Partagez une équipe d'approbation multipartite à l'aide de AWS RAM**

1. Connectez-vous à la [console AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. Dans le volet de navigation, sélectionnez **Resource shares**.

1. Choisissez **Créer une ressource**.

1. Dans le champ **Nom**, entrez un nom descriptif pour votre partage de ressources.

1. Sous **Type de ressource**, sélectionnez **Équipe d'approbation multipartite** dans le menu déroulant.

1. Sous **Ressources**, sélectionnez l'équipe d'approbation que vous souhaitez partager.

1. Sous **Principaux**, spécifiez les AWS comptes avec lesquels vous souhaitez partager l'équipe d'approbation.

1. Pour partager avec des AWS comptes spécifiques, sélectionnez **AWS des comptes** et saisissez le compte IDs à 12 chiffres.

1. Pour partager avec une organisation ou une unité organisationnelle, sélectionnez **Organisation** ou **unité organisationnelle** et entrez l'ID approprié.

1. (*Facultatif*) Sous **Balises**, ajoutez les balises que vous souhaitez associer à ce partage de ressources.

1. Choisissez **Créer une ressource**.

L'état du partage des ressources s'affichera initialement sous la forme`PENDING`. Une fois que les comptes destinataires auront accepté l'invitation, le statut passera à`ACTIVE`.

------
#### [ CLI ]

Pour partager une équipe d'approbation multipartite AWS RAM via la CLI, utilisez les commandes suivantes :

Tout d'abord, identifiez l'ARN de l'équipe d'approbation que vous souhaitez partager :

```
aws mpa list-approval-teams --region us-east-1
```

Créez un partage de ressources à l'aide de la create-resource-share commande :

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Pour partager avec une organisation plutôt qu'avec des comptes spécifiques, procédez comme suit :

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Vérifiez l'état de votre partage de ressources :

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

Le ou les comptes du destinataire devront accepter l'invitation au partage des ressources :

```
aws ram get-resource-share-invitations --region us-east-1
```

Exécutez dans le compte du destinataire pour accepter une invitation :

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Une fois l'invitation acceptée, l'équipe d'approbation multipartite sera disponible sur le compte du destinataire.

------

AWS propose des outils pour partager l'accès aux comptes, y compris l'accès par le biais [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)et l'[accès multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Lorsque vous choisissez de partager un coffre-fort isolé de manière logique avec un autre compte, tenez compte des informations suivantes :


| Fonctionnalité | AWS RAM partage basé | Accès basé sur l'approbation de plusieurs parties | 
| --- | --- | --- | 
| Accès à des coffres-forts à espacement logique | Une fois le partage de RAM terminé, les coffres-forts sont accessibles. | Toute tentative effectuée par un autre compte doit être approuvée par un certain nombre de membres de l'équipe d'approbation multipartite. La session d'approbation expire automatiquement 24 heures après le lancement de la demande. | 
| Suppression de l'accès | Le compte propriétaire du coffre-fort logiquement espacé peut mettre fin au partage basé sur la RAM à tout moment. | L'accès à un coffre-fort ne peut être supprimé que sur demande adressée à l'équipe d'approbation multipartite. | 
| Copier entre les comptes et and/or les régions | Cette option n'est pas prise en charge actuellement. | Les sauvegardes peuvent être copiées dans le même compte ou avec d'autres comptes de la même organisation que le compte de restauration. | 
| Facturation des transferts entre régions |  | Les transferts entre régions sont facturés sur le même compte qui possède le coffre de sauvegarde de l'accès à la restauration. | 
| Usage recommandé | Il est principalement utilisé pour la récupération des données perdues et pour les tests de restauration. | Il est principalement utilisé dans les situations où l'accès ou la sécurité du compte sont soupçonnés d'être compromis. | 
| Régions | Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. | Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. | 
| Restaure | Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. | Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. | 
| Configuration | Le partage peut avoir lieu dès que le AWS Backup compte configure le partage de RAM et que le compte destinataire accepte le partage. | Le partage nécessite que le compte de gestion crée d'abord une équipe, puis configure le partage de RAM. Ensuite, le compte de gestion opte pour l'approbation multipartite et assigne cette équipe à un coffre-fort isolé de manière logique. | 
| Partage |  Le partage s'effectue par le biais de la RAM au sein d'une même AWS organisation ou entre AWS organisations. L'accès est accordé selon le modèle « push », dans lequel le compte propriétaire du coffre-fort logiquement espacé accorde d'abord l'accès. Ensuite, l'autre compte accepte l'accès.  |  L'accès à un coffre-fort isolé de manière logique se fait par le biais des équipes d'approbation soutenues par les organisations au sein de la même AWS organisation ou de plusieurs organisations. L'accès est accordé selon le modèle « pull », selon lequel le compte destinataire demande d'abord l'accès, puis l'équipe d'approbation accepte ou refuse la demande.  | 

# Tâches du demandeur
<a name="multipartyapproval-tasks-requester"></a>

## Associez une équipe d'approbation multipartite à un coffre-fort hermétique
<a name="associate-multipartyapproval-team"></a>

Demandeur : **utilisateur ayant accès au compte propriétaire du coffre-fort logiquement isolé.**

[Vous pouvez associer une équipe d'approbation multipartite à un coffre-fort isolé de manière logique afin de permettre l'approbation collaborative de l'accès au coffre-fort (étape 5 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Associez une équipe d'approbation multipartite à un coffre-fort hermétique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique que vous souhaitez associer à une équipe MPA.

1. Sur la page des **détails du coffre-fort**, sélectionnez **Affecter une équipe d'approbation**.

1. Dans le menu déroulant, sélectionnez l'équipe d'approbation que vous souhaitez associer au coffre

1. *Facultatif* Entrez un commentaire expliquant la raison de l'association.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande d'association.

S'il s'agit de la première équipe d'approbation associée au coffre, l'équipe sera associée au coffre. Si une équipe est déjà associée au coffre, voir [Mettre à jour une équipe d'approbation multipartite](#update-multpartyapproval-team) pour connaître les étapes à suivre.

------
#### [ CLI ]

Utilisez la commande CLI`associate-backup-vault-mpa-approval-team`, modifiée avec les paramètres suivants :

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

S'il s'agit de la première équipe d'approbation associée au coffre, l'équipe sera associée au coffre. Si une équipe est déjà associée au coffre, voir [Mettre à jour une équipe d'approbation multipartite](#update-multpartyapproval-team) pour connaître les étapes à suivre.

------

## Demandez l'accès à un coffre-fort isolé de manière logique
<a name="create-restore-access-vault"></a>

Demandeur : **utilisateur ayant accès au compte de récupération**.

[Vous pouvez demander l'accès à un coffre-fort isolé de manière logique dans un autre compte (étape 6 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

Une fois qu'une équipe d'approbation a accédé à la demande, elle AWS Backup crée un coffre-fort de sauvegarde pour l'accès à la restauration dans le compte de restauration désigné afin que ce compte ait accès aux points de restauration du coffre-fort connecté logiquement séparé.

------
#### [ Console ]

**Demandez l'accès à un coffre-fort isolé de manière logique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche

1. Sélectionnez les **coffres-forts accessibles via l'onglet MPA**

1. Sélectionnez **Demander l'accès au coffre-fort**.

1. Entrez l'ARN du coffre-fort de sauvegarde source du coffre-fort à espacement logique auquel vous souhaitez accéder.

1. Entrez un nom facultatif pour le coffre de sauvegarde de l'accès à la restauration. Si vous n'entrez pas de nom, un nom AWS Backup sera attribué en fonction du nom du coffre-fort logiquement espacé.

1. Entrez un commentaire facultatif du demandeur expliquant le motif de la demande d'accès.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande d'accès.

Les membres de l'équipe d'approbation associés au coffre source recevront une notification par e-mail pour approuver la demande.

Une fois la demande approuvée par le nombre requis (« seuil ») de membres de l'équipe, le coffre-fort de sauvegarde de l'accès à la restauration sera créé dans le compte de récupération.

------
#### [ CLI ]

Utilisez la commande `create-restore-access-backup-vault` de l'interface de ligne de commande :

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres de l'équipe d'approbation MPA associés au coffre source recevront une notification pour approuver la demande. Une fois la demande approuvée par le nombre requis (« seuil ») de membres de l'équipe, le coffre-fort de sauvegarde de l'accès à la restauration sera créé dans le compte de récupération.

Vous pouvez vérifier l'état du coffre en utilisant :

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Dissociez l'équipe d'approbation multipartite du coffre-fort logiquement isolé
<a name="disassociate-multipartyapproval-team"></a>

Demandeur : **Administrateur du compte propriétaire du coffre-fort logiquement isolé.**

[Vous pouvez dissocier une équipe d'approbation multipartite d'un coffre-fort isolé de manière logique (étape 7 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Dissocier l'équipe d'approbation du coffre-fort isolé de manière logique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique dont vous souhaitez dissocier l'équipe d'approbation.

1. Sur la page des **détails du coffre-fort**, sélectionnez **Dissocier l'équipe d'approbation**.

1. Entrez un commentaire facultatif du demandeur expliquant la raison de la dissociation.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande de dissociation.

Les membres actuels de l'équipe d'approbation recevront une notification pour approuver la demande.

Une fois approuvée par le nombre requis de membres de l'équipe, l'équipe sera dissociée du coffre.

------
#### [ CLI ]

Utilisez la commande `disassociate-backup-vault-mpa-approval-team` de l'interface de ligne de commande :

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres actuels de l'équipe d'approbation de la MPA recevront une notification pour approuver la demande. Une fois approuvée par le nombre requis de membres de l'équipe, l'équipe sera dissociée du coffre.

------

## Révoquer le coffre-fort de sauvegarde de l'accès à la restauration
<a name="revoke-restore-access-vault"></a>

Demandeur : **Administrateur du compte propriétaire du coffre-fort logiquement isolé.**

Vous pouvez révoquer l'accès à un coffre-fort de sauvegarde avec accès à la restauration à partir du compte du coffre-fort source.

------
#### [ Console ]

**Révoquer le coffre-fort de sauvegarde de l'accès à la restauration**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique dont vous souhaitez révoquer l'accès.

1. Sur la page de **détails du coffre-fort**, faites défiler la page vers le bas jusqu'à la section **Accès via une approbation multipartite**.

1. Recherchez le coffre-fort de sauvegarde de l'accès à la restauration que vous souhaitez révoquer, puis sélectionnez **Demander la suppression de l'accès au coffre-fort**.

1. Entrez un commentaire facultatif du demandeur expliquant le motif de la révocation.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande de révocation.

Les membres de l'équipe d'approbation recevront une notification pour approuver la demande.

Une fois approuvé par le nombre requis de membres de l'équipe, le coffre de sauvegarde de l'accès à la restauration sera supprimé du compte de récupération

------
#### [ CLI ]

Tout d'abord, listez les coffres-forts de sauvegarde pour l'accès à la restauration associés à votre coffre-fort source :

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

Ensuite, utilisez la commande CLI `revoke-restore-access-backup-vault` :

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres de l'équipe d'approbation recevront une notification pour approuver la demande. Une fois approuvé par le nombre requis de membres de l'équipe, le coffre de sauvegarde de l'accès à la restauration sera supprimé du compte de récupération.

------

## Mettez à jour l'équipe d'approbation multipartite associée à un coffre-fort logiquement isolé
<a name="update-multpartyapproval-team"></a>

Demandeur : **Administrateur du compte propriétaire du coffre-fort logiquement isolé.**

[Vous pouvez mettre à jour l'équipe d'approbation multipartite associée à un coffre-fort logiquement isolé (étape 8 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Mettre à jour l'équipe d'approbation associée à un coffre-fort isolé de manière logique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique pour lequel vous souhaitez informer l'équipe d'approbation.

1. Sur la page des détails du coffre-fort, sélectionnez **Demander le changement d'équipe d'approbation**.

1. Dans le menu déroulant, sélectionnez la nouvelle équipe d'approbation que vous souhaitez associer au coffre-fort.

1. Entrez un commentaire facultatif du demandeur expliquant la raison de la modification.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande de modification.

Les membres actuels de l'équipe d'approbation recevront une notification par e-mail pour approuver la demande.

Une fois approuvée par le nombre requis de membres (seuil) de l'équipe MPA actuelle, la nouvelle équipe sera associée au coffre.

------
#### [ CLI ]

Utilisez la commande CLI `associate-backup-vault-mpa-approval-team` avec le nouvel ARN de l'équipe :

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres actuels de l'équipe d'approbation recevront une notification pour approuver la demande. Une fois approuvée par le nombre requis de membres (seuil) de l'équipe actuelle, la nouvelle équipe MPA sera associée au coffre.

------

# Tâches d'approbateur
<a name="multipartyapproval-tasks-approver"></a>

Un utilisateur membre d'une équipe d'approbation multipartite peut [approuver ou refuser les demandes](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) faisant partie d'une session. Les autres tâches incluent :
+ [Répondre aux opérations demandées](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Afficher une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Afficher l'historique des opérations](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)

# Stratégies d'accès aux coffres
<a name="create-a-vault-access-policy"></a>

Vous pouvez ainsi attribuer des politiques aux coffres-forts de sauvegarde et aux ressources qu'ils contiennent. AWS Backup L'attribution de politiques vous permet d'accorder l'accès aux utilisateurs afin qu'ils puissent créer des plans de sauvegarde et des sauvegardes à la demande, mais de limiter leur capacité à supprimer des points de récupération après leur création.

Pour plus d'informations sur l'utilisation de politiques permettant d'accorder ou de restreindre l'accès aux ressources, consultez [Stratégies basées sur l'identité et Stratégies basées sur une ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) dans le *Guide de l'utilisateur IAM*. Vous pouvez également contrôler l'accès à l'aide de balises.

Vous pouvez utiliser les exemples de politiques suivants comme guide pour limiter l'accès aux ressources lorsque vous travaillez avec des AWS Backup coffres-forts. Contrairement aux autres politiques basées sur l'IAM, les politiques AWS Backup d'accès ne prennent pas en charge l'ajout d'un caractère générique dans la clé. `Action`

Pour obtenir la liste des Amazon Resource Names (ARNs) que vous pouvez utiliser pour identifier les points de récupération pour différents types de ressources, consultez la section relative [AWS Backup ressource ARNs](access-control.md#resource-arns-table) aux points de récupération spécifiques aux ressources. ARNs

Les politiques d'accès au coffre-fort contrôlent uniquement l'accès des utilisateurs à AWS Backup APIs. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), sont également accessibles à l'aide de ces services. APIs Vous pouvez créer des politiques d'accès distinctes dans IAM pour contrôler l'accès à ces types de sauvegarde APIs afin de contrôler totalement l'accès à ces types de sauvegarde.

Quelle que soit la politique d'accès du AWS Backup coffre, l'accès entre comptes pour toute action autre que `backup:CopyIntoBackupVault` sera rejeté, c'est-à-dire qu'il AWS Backup rejettera toute autre demande provenant d'un compte différent du compte de la ressource référencée.

**Topics**
+ [Rejet de l'accès à un type de ressource dans un coffre-fort de sauvegarde](#deny-access-to-ebs-snapshots)
+ [Rejet de l'accès à un coffre-fort de sauvegarde](#deny-access-to-a-backup-vault)
+ [Rejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde](#deny-access-to-delete-recovery-points)

## Rejet de l'accès à un type de ressource dans un coffre-fort de sauvegarde
<a name="deny-access-to-ebs-snapshots"></a>

Cette politique rejette l'accès aux opérations d'API spécifiées pour tous les instantanés Amazon EBS d'un coffre-fort de sauvegarde.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}
```

------

## Rejet de l'accès à un coffre-fort de sauvegarde
<a name="deny-access-to-a-backup-vault"></a>

Cette stratégie rejette l'accès aux opérations d'API spécifiées visant un coffre-fort de sauvegarde.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}
```

------

## Rejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde
<a name="deny-access-to-delete-recovery-points"></a>

L'accès aux coffres-forts et la possibilité de supprimer des points de récupération qui y sont stockés sont déterminés par l'accès que vous accordez aux utilisateurs.

Suivez les étapes ci-après pour créer une stratégie d'accès basée sur les ressources sur un coffre-fort de sauvegarde qui empêche la suppression de toutes les sauvegardes dans le coffre-fort de sauvegarde.

**Pour créer une stratégie d'accès basée sur les ressources pour un coffre-fort de sauvegarde**

1. Connectez-vous au et ouvrez AWS Management Console la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Dans le panneau de navigation de gauche, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.

1. Choisissez un coffre-fort de sauvegarde dans la liste.

1. Dans la section **Access policy (Stratégie d'accès)**, collez l'exemple JSON suivant. Cette stratégie empêche toute personne qui n'est pas le mandataire principal de supprimer un point de récupération dans le coffre-fort de sauvegarde cible.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AIDA1234567890EXAMPLE",
                          "AROA1234567890EXAMPLE:my-role-session",
                          "AROA1234567890EXAMPLE:*",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

   Pour autoriser les identités IAM de liste à l'aide de leur ARN, utilisez la clé de condition `aws:PrincipalArn` globale dans l'exemple suivant.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "DenyDeleteRecoveryPoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "backup:DeleteRecoveryPoint",
         "Resource": "*",
         "Condition": {
           "ArnNotEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::112233445566:role/mys3role",
               "arn:aws:iam::112233445566:user/shaheer",
               "arn:aws:iam::112233445566:root"
             ]
           }
         }
       }
     ]
   }
   ```

------

   Pour plus d'informations sur l'obtention d'un ID unique pour une entité IAM, consultez [Obtention de l'identifiant unique](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id) dans le *Guide de l'utilisateur IAM*.

   Si vous souhaitez limiter cette possibilité à des types de ressources spécifiques, au lieu de `"Resource": "*"`, vous pouvez inclure explicitement les types de points de récupération à rejeter. Par exemple, pour les instantanés Amazon EBS, modifiez le type de ressource comme suit.

   ```
   "Resource": ["arn:aws:ec2::Region::snapshot/*"]
   ```

1. Choisissez **Attach policy** (Attacher la politique).

# AWS Backup Verrou de coffre-fort
<a name="vault-lock"></a>

**Note**  
AWS Backup Vault Lock a été évalué par Cohasset Associates pour une utilisation dans des environnements soumis aux réglementations SEC 17a-4, CFTC et FINRA. Pour plus d'informations sur le lien entre AWS Backup Vault Lock et ces réglementations, consultez l'[évaluation de conformité de Cohasset Associates](samples/cohassetreport.zip).

AWS Backup Vault Lock est une fonctionnalité optionnelle d'un coffre-fort de sauvegarde, qui peut être utile pour renforcer la sécurité et le contrôle de vos coffres-forts de sauvegarde. Lorsqu'un verrou est actif en mode Conformité et que le délai de grâce est expiré, la configuration du coffre-fort ne peut pas être modifiée ou supprimée par le client, account/data le propriétaire ou AWS tant qu'elle contient des points de récupération. Chaque coffre-fort peut avoir un verrouillage de coffre-fort en place.

AWS Backup garantit que vos sauvegardes sont disponibles pour vous jusqu'à l'expiration de leur période de conservation. Si un utilisateur (y compris l'utilisateur root) tente de supprimer une sauvegarde ou de modifier les propriétés du cycle de vie dans un coffre verrouillé, AWS Backup il refusera l'opération.
+ Les coffres-forts verrouillés en **mode gouvernance** peuvent être verrouillés par les utilisateurs disposant d'autorisations IAM suffisantes.
+ Les coffres-forts verrouillés en **mode conformité** *ne peuvent pas être supprimés* une fois le délai de refroidissement (« **délai de grâce** ») expiré si des points de récupération se trouvent dans le coffre. Pendant le délai de grâce, vous pouvez toujours retirer le verrouillage de coffre-fort et modifier la configuration du verrouillage.

**Avertissement**  
Une fois le délai de grâce expiré, le coffre-fort et son verrou sont immuables et ne peuvent être ni modifiés ni supprimés par aucun utilisateur ou par AWS. Les sauvegardes stockées dans un coffre-fort verrouillé ne peuvent pas être supprimées tant que leur cycle de vie n'est pas terminé, ce qui entraîne des coûts persistants si vous ne faites pas attention. Par exemple, assurez-vous qu'aucun point de récupération n'est soumis à une période de rétention définie sur « Toujours ». Une fois le délai de grâce expiré, ces points de récupération seront conservés pour toujours et ne pourront être ni modifiés ni supprimés.

## Modes de verrouillage du coffre-fort
<a name="backup-vault-lock-modes"></a>

Lorsque vous créez un verrouillage de coffre-fort, vous avez le choix entre deux modes : le **mode Gouvernance** ou le **mode Conformité**. Le mode Gouvernance est destiné à permettre à un coffre-fort d'être géré uniquement par des utilisateurs disposant de privilèges IAM suffisants. Le mode Gouvernance aide une organisation à répondre aux exigences de gouvernance, en garantissant que seul le personnel désigné peut apporter des modifications à un coffre-fort de sauvegarde. Le mode Conformité est destiné aux coffres-forts de sauvegarde dans lesquels le coffre-fort (et par extension, son contenu) ne devrait jamais être supprimé ou modifié avant la fin de la période de conservation des données. Une fois qu'un coffre-fort en mode conformité est verrouillé, il est **immuable**, ce qui signifie que le verrou *ne peut pas être retiré* (le coffre-fort lui-même peut être supprimé s'il est vide et ne contient aucun point de récupération).

Un coffre-fort verrouillé en mode de gouvernance peut être géré ou supprimé par les utilisateurs disposant des autorisations IAM appropriées.

Un verrouillage de coffre-fort en mode Conformité ne peut être modifié ou supprimé par un utilisateur ou par AWS. Un verrou de coffre-fort en mode conformité dispose d'un délai de grâce que vous définissez avant qu'il ne soit verrouillé et que le contenu et le verrouillage du coffre-fort ne deviennent immuables.

## Avantages de Vault Lock
<a name="backup-vault-lock-benefits"></a>

AWS Backup Vault Lock offre plusieurs avantages, notamment :
+ Configuration WORM (*écriture unique, lecture multiple*) pour toutes les sauvegardes que vous stockez et créez dans un coffre-fort de sauvegarde.
+ Une couche de défense supplémentaire qui protège les sauvegardes (points de récupération) de vos coffres-forts de sauvegarde contre les suppressions involontaires ou malveillantes.
+ Application de périodes de conservation, qui empêchent les suppressions anticipées par les utilisateurs privilégiés (y compris l'utilisateur Compte AWS root) et respectent les politiques et procédures de protection des données de votre organisation.

## Verrouillage d'un coffre-fort de sauvegarde à l'aide de la console
<a name="lock-backup-vault-console"></a>

Vous pouvez ajouter un verrou de coffre-fort à votre AWS Backup coffre-fort à l'aide de la console Backup.

Pour ajouter un verrouillage à votre coffre-fort de sauvegarde :

1. Connectez-vous au et ouvrez AWS Management Console la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Dans le panneau de navigation, choisissez **Coffres-forts de sauvegarde**. Cliquez sur le lien imbriqué sous les coffres-forts de sauvegarde appelés **Verrouillages de coffre**.

1. Sous **Fonctionnement des verrouillages de coffre** ou **Verrouillages de coffre**, cliquez sur **\$1 Créer un verrouillage de coffre**.

1. Dans le volet **Détails de verrouillage du coffre**, choisissez le coffre-fort auquel vous souhaitez appliquer votre verrouillage.

1. Dans **Mode de verrouillage de coffre**, choisissez le mode dans lequel vous souhaitez que votre coffre-fort soit verrouillé. Pour plus d'informations sur le choix de vos modes, consultez [Modes de verrouillage du coffre-fort](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes) plus haut sur cette page.

1. Pour la **Période de rétention**, choisissez les périodes de rétention minimale et maximale (les périodes de rétention sont *facultatives*). Les nouvelles tâches de sauvegarde et de copie créées dans le coffre-fort échoueront si elles ne sont pas conformes aux périodes de conservation que vous avez définies ; ces périodes ne s'appliqueront pas aux points de restauration déjà présents dans le coffre-fort. Les points de restauration présents dans le coffre avant que le verrouillage du coffre ne soit activé conserveront leurs paramètres de cycle de vie précédents.

1. Si vous avez choisi le mode Conformité, une section intitulée **Date de début du verrouillage du coffre** s'affiche. Si vous avez choisi le mode Gouvernance, rien ne s'affichera et cette étape peut être ignorée.

   En mode Conformité, un verrouillage de coffre-fort dispose d'une période de réflexion entre sa création et le moment où le coffre-fort et son verrouillage deviennent immuables et inchangeables. Vous choisissez la durée de cette période (appelée **délai de grâce**), mais elle doit être d'*au moins* 3 jours (72 heures).
**Important**  
Une fois le délai de grâce expiré, le coffre-fort et son verrou sont immuables et ne peuvent être ni modifiés ni supprimés par aucun utilisateur ou par AWS.

1. Lorsque vous êtes satisfait des choix de configuration, cliquez sur **Création d'un verrouillage de coffre-fort**.

1. Pour confirmer que vous souhaitez créer ce verrouillage dans le mode choisi, tapez `confirm` dans la zone de texte, puis cochez la case confirmant que la configuration est conforme à vos attentes.

Si les étapes ont été effectuées, une bannière « Succès » apparaîtra en haut de la console.

## Verrouillage d'un coffre-fort de sauvegarde par programmation
<a name="lock-backup-vault-cli"></a>

Pour configurer AWS Backup Vault Lock, utilisez l'API`[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`. Les paramètres à inclure dépendent du mode de verrouillage du coffre-fort que vous souhaitez utiliser. Si vous souhaitez créer un verrouillage de coffre-fort en mode gouvernance, **n'incluez pas** `ChangeableForDays`. Si ce paramètre est inclus, le verrouillage du coffre-fort sera créé en mode conformité.

Voici un exemple d'interface de ligne de commande pour la création d'un verrouillage de coffre-fort en mode conformité :

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30
```

Voici un exemple d'interface de ligne de commande pour la création d'un verrouillage de coffre-fort en mode gouvernance :

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30
```

Vous pouvez configurer quatre options. 

1. `BackupVaultName`

   Nom du coffre-fort à verrouiller.

1. `ChangeableForDays` (à inclure *uniquement* pour le mode conformité)

   Ce paramètre indique de AWS Backup créer le verrou du coffre-fort en **mode de conformité.** Omettez ce paramètre si vous avez l'intention de créer le verrouillage en **mode gouvernance**.

   Cette valeur est exprimée en jours. Le nombre doit être entre 3 et 36 500 ; dans le cas contraire, une erreur sera renvoyée.

   De la création de ce verrouillage de coffre-fort jusqu'à l'expiration de la date spécifiée, le verrouillage du coffre-fort peut être retiré du coffre-fort avec `DeleteBackupVaultLockConfiguration`. Pendant ce temps, vous pouvez également modifier la configuration avec `PutBackupVaultLockConfiguration`.

   À compter de la date spécifiée déterminée par ce paramètre, le coffre-fort de sauvegarde sera immuable et ne pourra être ni modifié ni supprimé.

1. `MaxRetentionDays` *(facultatif)*

   Cette valeur numérique est exprimée en jours. La période de rétention maximale pendant laquelle le coffre-fort conserve ses points de récupération.

   La durée de rétention maximale que vous choisissez doit être conforme aux politiques de rétention des données de votre organisation. Si votre organisation demande que les données soient conservées pendant un certain temps, cette valeur peut être définie sur cette période (en jours). Par exemple, les données financières ou bancaires peuvent devoir être conservées pendant 7 ans (environ 2 557 jours, selon les années bissextiles).

   Si ce n'est pas spécifié, AWS Backup Vault Lock n'appliquera pas de période de conservation maximale. Si cela est spécifié, les tâches de sauvegarde et de copie vers ce coffre-fort dont les périodes de rétention du cycle de vie sont supérieures à la période de rétention maximale échoueront. Les points de récupération déjà enregistrés dans le coffre-fort avant la création de son verrouillage ne sont pas affectés. La période de rétention maximale la plus longue que vous puissiez spécifier est de 36 500 jours (environ 100 ans).

1. `MinRetentionDays`(*facultatif* ; obligatoire pour CloudFormation)

   Cette valeur numérique est exprimée en jours. Il s'agit de la période de rétention minimale pendant laquelle le coffre-fort conserve ses points de récupération. Ce paramètre doit être défini en fonction de la durée *requise* par votre organisation pour conserver les données. Par exemple, si la réglementation ou la loi exigent que les données soient conservées pendant au moins sept ans, la valeur en jours serait d'environ 2 557, selon les années bissextiles.

   Si ce n'est pas spécifié, AWS Backup Vault Lock n'appliquera pas de période de conservation minimale. Si cela est spécifié, les tâches de sauvegarde et de copie vers ce coffre-fort dont les périodes de rétention du cycle de vie sont inférieures à la période de rétention minimale échoueront. Les points de récupération déjà enregistrés dans le coffre-fort avant le verrouillage du AWS Backup coffre-fort ne sont pas affectés. La période de rétention minimale la plus courte que vous puissiez spécifier est d'un jour.

## Vérifiez la configuration Vault Lock d'un AWS Backup coffre-fort de sauvegarde
<a name="review-vault-lock-config"></a>

Vous pouvez consulter les détails de AWS Backup Vault Lock sur un coffre-fort à tout moment en appelant `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` ou `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs.

Pour déterminer si vous avez appliqué un verrouillage de coffre-fort à un coffre-fort de sauvegarde, appelez `DescribeBackupVault` et vérifiez la propriété `Locked`. Si`"Locked": true`, comme dans l'exemple suivant, vous avez appliqué AWS Backup Vault Lock à votre coffre-fort de sauvegarde.

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```

La sortie précédente confirme les options suivantes :

1. `Locked`est un booléen qui indique si vous avez appliqué AWS Backup Vault Lock à ce coffre-fort de sauvegarde. `True`signifie que AWS Backup Vault Lock entraîne l'échec des opérations de suppression ou de mise à jour des points de restauration stockés dans le coffre-fort (que vous soyez toujours dans le délai de grâce de refroidissement ou non).

1. `LockDate` est la date et l'heure UTC auxquelles votre délai de grâce de réflexion prend fin. Passé ce délai, vous ne pouvez plus ni supprimer ni modifier le verrouillage de ce coffre-fort. Utilisez n'importe quel convertisseur horaire accessible au public pour convertir cette chaîne en heure locale.

Si `"Locked":false`, comme dans l'exemple suivant, vous n'avez pas appliqué de verrouillage de coffre-fort (ou un verrouillage précédent a été supprimé).

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}
```

## Suppression du verrouillage de coffre-fort pendant le délai de grâce (mode Conformité)
<a name="delete-vault-lock"></a>

Pour supprimer le verrouillage de votre coffre-fort pendant le délai de grâce (le temps qui suit le verrouillage du coffre-fort mais avant votre`LockDate`) à l'aide de la AWS Backup console,

1. Connectez-vous au et ouvrez AWS Management Console la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Dans le menu de navigation de gauche, sous **Mon compte**, cliquez sur Coffres de sauvegarde, puis sur Backup Vault Lock.

1. Cliquez sur le verrouillage de coffre-fort que vous souhaitez supprimer, puis sur **Gérer le verrouillage de coffre**.

1. Cliquez sur **Supprimer le verrouillage du coffre**.

1. Une boîte d'avertissement apparaît, vous demandant de confirmer votre intention de supprimer le verrouillage de coffre-fort. Tapez `confirm` dans la zone de texte, puis cliquez sur **Confirmer**.

Si toutes les étapes ont été effectuées, une bannière « Succès » apparaîtra en haut de l'écran de la console.

Pour supprimer le verrouillage de votre coffre-fort pendant le délai de grâce à l'aide d'une commande d'interface de ligne de commande, utilisez `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` comme cet exemple d'interface de ligne de commande :

```
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock
```

## Compte AWS fermeture avec coffre verrouillé
<a name="close-account-with-locked-vault"></a>

Lorsque vous fermez un site Compte AWS contenant un coffre-fort de sauvegarde AWS et que vous AWS Backup suspendez votre compte pendant 90 jours avec vos sauvegardes intactes. Si vous ne rouvrez pas votre compte pendant ces 90 jours, le contenu de votre coffre-fort de sauvegarde est AWS supprimé, même si AWS Backup Vault Lock était en place.

## Considérations supplémentaires en matière de sécurité
<a name="using-vault-lock-with-backup"></a>

AWS Backup Vault Lock ajoute une couche de sécurité supplémentaire à votre défense approfondie de la protection des données. Le verrouillage du coffre-fort peut être combiné avec les autres fonctionnalités de sécurité suivantes :
+ [Chiffrement de vos points de récupération](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ AWS Backup les [politiques d'accès au coffre-fort et au point de récupération](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), qui vous permettent d'accorder ou de refuser des autorisations au niveau du coffre-fort,
+ [AWS Backup les meilleures pratiques en matière de sécurité](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), y compris sa bibliothèque de [politiques gérées par le client](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies) qui vous permet d'accorder ou de refuser des autorisations de sauvegarde et de restauration par le service AWS pris en charge, et
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), qui vous permet d'automatiser les contrôles de conformité de vos sauvegardes par rapport à [une liste de contrôles](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) que vous définissez.

  Vous pouvez utiliser [Création de frameworks à l'aide de l' AWS Backup API](creating-frameworks-api.md) pour le contrôle [Les ressources se trouvent dans un plan de sauvegarde avec un AWS Backup coffre-fort verrouillé](controls-and-remediation.md#backup-vault-lock-control) avec AWS Backup Audit Manager pour vous assurer que les ressources que vous souhaitez utiliser sont protégées par un verrouillage de coffre-fort.
+ Les mécanismes qui rendent les ressources inactives peuvent avoir un impact sur la capacité à les restaurer. Bien qu'ils ne puissent toujours pas être supprimés dans un coffre verrouillé, ils peuvent être dans un état autre qu'actif. Par exemple, le paramètre Amazon Elastic Compute Cloud qui vous permet de [désactiver une AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) peut bloquer temporairement la possibilité de restaurer les sauvegardes des instances EC2. Cela concerne tous les points de restauration EC2, même les sauvegardes touchées par le verrouillage d'un coffre-fort ou par un blocage légal. 

  Si une sauvegarde EC2 est désactivée, vous pouvez [réactiver une AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami) désactivée. Une fois réactivé, il peut être restauré. Pour bloquer la fonctionnalité de désactivation de l'AMI, vous pouvez utiliser des politiques IAM pour ne pas l'autoriser`ec2:DisableImage`.

**Note**  
AWS Backup Vault Lock n'est pas la même fonctionnalité qu'[Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html), qui n'est compatible qu'avec Amazon Glacier.