Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Brankas cadangan
Di AWS Backup, *brankas cadangan* adalah wadah yang menyimpan dan mengatur cadangan Anda.
Saat membuat brankas cadangan, Anda harus menentukan kunci enkripsi AWS Key Management Service (AWS KMS) yang mengenkripsi beberapa cadangan yang ditempatkan di brankas ini. Enkripsi untuk backup lainnya dikelola oleh layanan sumber AWS mereka. Untuk informasi selengkapnya tentang enkripsi, lihat bagan di [Enkripsi untuk pencadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) di. AWS
Bagian berikut memberikan ikhtisar tentang cara mengelola brankas cadangan Anda. AWS Backup
**Topics**
+ [Pembuatan dan penghapusan brankas cadangan](create-a-vault.md)
+ [Vault yang terisolasi secara logis](logicallyairgappedvault.md)
+ [Kebijakan akses vault](create-a-vault-access-policy.md)
+ [AWS Backup Kunci Lemari Brankas](vault-lock.md)
# Pembuatan dan penghapusan brankas cadangan
Anda harus membuat setidaknya satu brankas sebelum membuat rencana cadangan atau memulai pekerjaan pencadangan.
Saat pertama kali menggunakan halaman **Backup Vaults** AWS Backup konsol di sebuah konsol Wilayah AWS, konsol akan secara otomatis membuat vault default untuk Wilayah tersebut.
Namun, jika Anda menggunakan AWS Backup melalui AWS CLI, AWS SDK, atau CloudFormation, vault default tidak dibuat. Anda harus membuat lemari besi Anda sendiri.
## Izin yang diperlukan
Anda harus memiliki izin berikut untuk membuat brankas cadangan menggunakan. AWS Backup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:RetireGrant",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "AllowCreateBackupVault",
"Effect": "Allow",
"Action": [
"backup:CreateBackupVault"
],
"Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
},
{
"Sid": "AllowMountCapsule",
"Effect": "Allow",
"Action": [
"backup-storage:MountCapsule"
],
"Resource": "*"
}
]
}
```
------
## Membuat brankas cadangan (konsol)
Alih-alih menggunakan brankas cadangan default yang dibuat secara otomatis untuk Anda di AWS Backup konsol, Anda dapat membuat brankas cadangan khusus untuk menyimpan dan mengatur grup cadangan di brankas yang sama.
**Untuk membuat brankas cadangan**
1. Di AWS Backup konsol, di panel navigasi, pilih **Backup vaults**.
**catatan**
Jika panel navigasi tidak terlihat di sisi kiri, Anda dapat membukanya dengan memilih ikon menu di sudut kiri atas konsol. AWS Backup
1. Pilih **Buat brankas cadangan**.
1. Masukkan nama untuk brankas cadangan Anda. Anda dapat memberi nama brankas Anda untuk mencerminkan apa yang akan Anda simpan di dalamnya, atau untuk membuatnya lebih mudah untuk mencari cadangan yang Anda butuhkan. Misalnya, Anda bisa menamainya**FinancialBackups**.
1. Pilih tombol AWS Key Management Service (AWS KMS). Anda dapat menggunakan salah satu kunci yang sudah Anda buat, atau pilih kunci AWS Backup KMS default.
**catatan**
AWS KMS Kunci yang ditentukan di sini hanya berlaku untuk cadangan layanan yang mendukung enkripsi AWS Backup independen. Untuk melihat daftar jenis sumber daya yang mendukung enkripsi AWS Backup independen, lihat bagian “Manajemen penuh” pada [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource) tabel.
1. Secara opsional, tambahkan tag yang akan membantu Anda mencari dan mengidentifikasi brankas cadangan Anda. Misalnya, Anda bisa menambahkan **BackupType:Financial** tag.
1. Pilih **Buat brankas Cadangan**.
1. Di panel navigasi, pilih **Backup vaults**, dan verifikasi bahwa brankas cadangan Anda telah ditambahkan.
**catatan**
Anda sekarang dapat mengedit aturan cadangan di salah satu rencana cadangan Anda untuk menyimpan cadangan yang dibuat oleh aturan itu di brankas cadangan yang baru saja Anda buat.
## Membuat brankas cadangan (secara terprogram)
AWS Command Line Interface Perintah berikut membuat brankas cadangan:
```
aws backup create-backup-vault --backup-vault-name test-vault
```
Anda juga dapat menentukan konfigurasi berikut untuk brankas cadangan.
## Nama brankas cadangan
Nama brankas cadangan peka huruf besar/kecil. Mereka harus berisi 2 hingga 50 karakter alfanumerik, tanda hubung, atau garis bawah.
## AWS KMS kunci enkripsi
Kunci AWS KMS enkripsi melindungi cadangan Anda di brankas cadangan ini. Secara default, AWS Backup membuat kunci KMS dengan alias `aws/backup` untuk Anda. Anda dapat memilih kunci itu atau memilih kunci lain di akun Anda (kunci KMS lintas akun dapat digunakan melalui CLI).
Anda dapat membuat kunci enkripsi baru dengan mengikuti prosedur [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.
Setelah membuat brankas cadangan dan menyetel kunci AWS KMS enkripsi, Anda tidak dapat lagi mengedit kunci untuk brankas cadangan tersebut.
Kunci enkripsi yang ditentukan dalam AWS Backup brankas berlaku untuk pencadangan jenis sumber daya tertentu. Untuk informasi selengkapnya tentang enkripsi cadangan, lihat [Enkripsi untuk backup di AWS Backup](encryption.md) di bagian Keamanan. Cadangan semua jenis sumber daya lainnya dicadangkan menggunakan kunci yang digunakan untuk mengenkripsi sumber daya sumber.
## Tag brankas cadangan
Tag ini dikaitkan dengan brankas cadangan untuk membantu Anda mengatur dan melacak brankas cadangan Anda.
## Hapus brankas
Untuk mencegah penghapusan massal yang tidak disengaja atau berbahaya, Anda dapat menghapus brankas cadangan AWS Backup hanya setelah Anda menghapus (atau siklus hidup paket cadangan) semua titik pemulihan di brankas cadangan Anda. Untuk menghapus titik pemulihan secara manual, lihat [Menghapus cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
Saat Anda menghapus brankas cadangan, perbarui paket cadangan untuk mengarah ke brankas cadangan baru. Paket cadangan yang mengarah ke brankas cadangan yang dihapus akan menyebabkan pembuatan cadangan gagal.
Anda tidak dapat menghapus vault cadangan default atau brankas cadangan otomatis Amazon EFS menggunakan. Konsol Manajemen AWS Anda dapat menghapus brankas cadangan default menggunakan AWS CLI jika kosong. Namun, jika Anda membuka AWS Backup konsol dan memilih Wilayah itu, konsol akan membuat ulang brankas cadangan default. Anda dapat menghapus snapshot yang tidak digunakan di brankas cadangan otomatis Amazon EFS.
**Untuk menghapus brankas cadangan menggunakan konsol AWS Backup**
1. Masuk ke Konsol Manajemen AWS, dan buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Di panel navigasi, pilih **Brankas cadangan**.
1. Pilih nama brankas cadangan untuk membuka halaman detailnya.
1. Pilih dan hapus cadangan apa pun yang terkait dengan brankas cadangan.
1. Pilih **Hapus brankas**. Saat diminta konfirmasi, masukkan nama vault lalu pilih Delete **Backup** vault.
# Vault yang terisolasi secara logis
## Ikhtisar kubah yang memiliki celah udara secara logis
AWS Backup menawarkan jenis brankas sekunder yang dapat menyimpan cadangan dalam wadah dengan fitur keamanan tambahan. **Vault yang memiliki celah udara secara logis adalah brankas** khusus yang memberikan peningkatan keamanan di luar brankas cadangan standar, serta kemampuan untuk berbagi akses vault ke akun lain sehingga tujuan waktu pemulihan (RTOs) dapat lebih cepat dan lebih fleksibel jika terjadi insiden yang membutuhkan pemulihan sumber daya yang cepat.
[Vault yang memiliki celah udara secara logis dilengkapi dengan fitur perlindungan tambahan; setiap brankas dienkripsi dengan kunci yang [AWS dimiliki (default) atau opsional dengan kunci](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) KMS yang dikelola pelanggan, dan setiap brankas dilengkapi dengan mode kepatuhan Vault Lock.AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) Informasi jenis kunci enkripsi terlihat melalui AWS Backup APIs dan konsol untuk transparansi dan pelaporan kepatuhan.
Anda dapat mengintegrasikan brankas celah udara Anda secara logis dengan [persetujuan Multi-pihak](multipartyapproval.md) (MPA) untuk memungkinkan pemulihan cadangan di brankas bahkan jika akun pemilik brankas tidak dapat diakses, yang membantu menjaga kelangsungan bisnis. [Lebih jauh lagi, Anda dapat memilih untuk berintegrasi dengan [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) untuk berbagi brankas yang memiliki celah udara secara logis dengan AWS akun lain (termasuk akun di organisasi lain) sehingga cadangan yang disimpan di dalam lemari besi dapat dipulihkan dari akun yang digunakan bersama brankas, jika diperlukan untuk pemulihan kehilangan data atau memulihkan pengujian.](restore-testing.md) Sebagai bagian dari keamanan tambahan ini, brankas dengan celah udara secara logis menyimpan cadangannya di akun milik AWS Backup layanan (yang menghasilkan pencadangan yang ditampilkan sebagai dibagikan di luar organisasi Anda dalam memodifikasi item atribut di log). AWS CloudTrail
[Dalam skenario di mana akun pemilik brankas Anda yang memiliki celah udara secara logis ditutup (jahat atau sebaliknya), Anda masih dapat mengakses cadangan di brankas (memulihkan atau menyalinnya) melalui MPA hingga periode pasca-penutupan berakhir.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) Setelah periode pasca-penutupan berakhir, cadangan tidak lagi dapat diakses. Selama periode pasca-penutupan, Anda dapat mereferensikan [dokumentasi Manajemen AWS Akun](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) untuk mendapatkan kembali kendali atas akun Anda saat mengerjakan pemulihan.
Untuk ketahanan yang lebih besar, kami sarankan untuk membuat salinan Lintas wilayah di brankas dengan celah udara secara logis di akun yang sama atau terpisah. Namun, jika Anda ingin mengurangi biaya penyimpanan dengan hanya mempertahankan satu salinan, Anda dapat menggunakan [cadangan Primer untuk brankas yang memiliki celah udara secara logis, setelah melakukan orientasi ke MPA](lag-vault-primary-backup.md). AWS
[Anda dapat melihat harga penyimpanan untuk cadangan layanan yang didukung di brankas yang memiliki celah udara secara logis di halaman harga.AWS Backup](https://aws.amazon.com/backup/pricing/)
Lihat [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource) jenis sumber daya yang dapat Anda salin ke brankas dengan celah udara secara logis.
**Topics**
+ [Ikhtisar kubah yang memiliki celah udara secara logis](#lag-overview)
+ [Kasus penggunaan untuk kubah yang memiliki celah udara secara logis](#lag-usecase)
+ [Bandingkan dan kontraskan dengan brankas cadangan standar](#lag-compare-and-contrast)
+ [Buat lemari besi yang memiliki celah udara secara logis](#lag-create)
+ [Lihat detail brankas dengan celah udara secara logis](#lag-view)
+ [Membuat cadangan di brankas yang memiliki celah udara secara logis](#lag-creation)
+ [Bagikan lemari besi yang memiliki celah udara secara logis](#lag-share)
+ [Kembalikan cadangan dari brankas yang memiliki lubang udara secara logis](#lag-restore)
+ [Hapus brankas yang memiliki celah udara secara logis](#lag-delete)
+ [Opsi terprogram tambahan untuk kubah celah udara secara logis](#lag-programmatic)
+ [Memahami tipe kunci enkripsi untuk brankas dengan celah udara secara logis](#lag-encryption-key-types)
+ [Penggunaan kunci milik layanan](#lag-service-owned-key)
+ [Pertimbangan untuk remediasi otomatis keamanan](#lag-security-auto-remediation)
+ [Memecahkan masalah brankas yang memiliki celah udara secara logis](#lag-troubleshoot)
+ [Pencadangan primer ke vault yang terisolasi secara logis](lag-vault-primary-backup.md)
+ [Persetujuan multi-pihak untuk brankas yang memiliki celah udara secara logis](multipartyapproval.md)
## Kasus penggunaan untuk kubah yang memiliki celah udara secara logis
Vault yang memiliki celah udara secara logis adalah brankas sekunder yang berfungsi sebagai bagian dari strategi perlindungan data. Vault ini dapat membantu meningkatkan strategi retensi dan pemulihan organisasi Anda saat Anda menginginkan brankas untuk cadangan Anda
+ Secara otomatis diatur dengan kunci brankas dalam mode [kepatuhan](vault-lock.md)
+ Secara default menawarkan enkripsi dengan kunci yang AWS dimiliki. Secara opsional Anda dapat memberikan kunci yang dikelola pelanggan
+ Berisi cadangan yang, melalui AWS RAM atau MPA, dapat dibagikan dan dipulihkan dari akun yang berbeda dari yang membuat cadangan
**Pertimbangan dan keterbatasan**
+ Amazon Aurora, Amazon DocumentDB, dan Amazon Neptune yang tidak terenkripsi tidak didukung untuk vault yang memiliki celah udara secara logis, karena tidak mendukung enkripsi snapshot cluster DB yang tidak terenkripsi.
+ Amazon EC2 menawarkan [EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Diizinkan. AMIs Jika pengaturan ini diaktifkan di akun Anda, tambahkan alias `aws-backup-vault` ke daftar izin Anda.
Jika alias ini tidak disertakan, salin operasi dari brankas yang memiliki celah udara secara logis ke brankas cadangan dan memulihkan operasi instans EC2 dari brankas yang celah udara secara logis akan gagal dengan pesan kesalahan seperti “Sumber AMI ami-xxxxxx tidak ditemukan di Wilayah.”
+ ARN (Nama Sumber Daya Amazon) dari titik pemulihan yang disimpan dalam brankas dengan celah udara secara logis akan menggantikan jenis sumber daya yang `backup` mendasarinya. Misalnya, jika ARN asli dimulai dengan`arn:aws:ec2:region::image/ami-*`, maka ARN dari titik pemulihan di brankas yang celah udara secara logis akan menjadi. `arn:aws:backup:region:account-id:recovery-point:*`
Anda dapat menggunakan perintah CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)untuk menentukan ARN.
## Bandingkan dan kontraskan dengan brankas cadangan standar
Brankas **cadangan adalah jenis brankas** utama dan standar yang digunakan. AWS Backup Setiap cadangan disimpan dalam brankas cadangan saat cadangan dibuat. Anda dapat menetapkan kebijakan berbasis sumber daya untuk mengelola cadangan yang disimpan di vault, seperti siklus hidup pencadangan yang disimpan di dalam vault.
**Vault yang memiliki celah udara secara logis adalah brankas** khusus dengan keamanan tambahan dan berbagi fleksibel untuk waktu pemulihan yang lebih cepat (RTO). Vault ini menyimpan cadangan utama atau salinan cadangan yang awalnya dibuat dan disimpan dalam brankas cadangan standar.
Brankas cadangan dienkripsi dengan kunci, mekanisme keamanan yang membatasi akses ke pengguna yang dituju. Kunci-kunci ini dapat dikelola atau AWS dikelola oleh pelanggan. Lihat [Menyalin enkripsi](encryption.md#copy-encryption) untuk perilaku enkripsi selama tugas penyalinan, termasuk menyalin ke brankas dengan celah udara secara logis.
Selain itu, brankas cadangan dapat memiliki keamanan tambahan melalui kunci brankas; brankas yang memiliki celah udara secara logis dilengkapi dengan kunci brankas dalam mode kepatuhan.
[Mirip dengan brankas cadangan, brankas dengan celah udara secara logis juga mendukung tag terbatas untuk cadangan Amazon EC2.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)
| Fitur | Vault cadangan | Vault yang terisolasi secara logis |
| --- | --- | --- |
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | Anda dapat menggunakan AWS Backup Audit Manager [Kontrol dan remediasi](controls-and-remediation.md) untuk memantau brankas cadangan Anda. | Pastikan cadangan sumber daya tertentu disimpan di [setidaknya satu brankas dengan celah udara secara logis pada jadwal yang Anda tentukan, selain kontrol yang tersedia untuk brankas](controls-and-remediation.md#resources-in-lag-vault-control) standar. |
| [Penagihan](https://aws.amazon.com/backup/pricing/) | Biaya penyimpanan dan transfer data untuk sumber daya yang dikelola sepenuhnya oleh AWS Backup terjadi di bawah "AWS Backup”. Penyimpanan jenis sumber daya lainnya dan biaya transfer data akan terjadi di bawah layanan masing-masing. Misalnya, cadangan Amazon EBS akan ditampilkan di bawah “Amazon EBS”; Cadangan Amazon S3 akan ditampilkan di bawah "”.AWS Backup | Semua biaya penagihan dari brankas ini (penyimpanan atau transfer data) terjadi di bawah "”.AWS Backup |
| [Daerah](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Tersedia di semua Wilayah di mana AWS Backup beroperasi | Tersedia di sebagian besar Wilayah yang didukung oleh AWS Backup. Saat ini tidak tersedia di Asia Pasifik (Malaysia), Kanada Barat (Calgary), Meksiko (Tengah), Asia Pasifik (Thailand), Asia Pasifik (Taipei), Asia Pasifik (Selandia Baru), Tiongkok (Beijing), Tiongkok ( AWS GovCloud Ningxia), (AS-Timur), atau (AS-Barat). AWS GovCloud |
| [Sumber Daya](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Dapat menyimpan salinan cadangan untuk sebagian besar jenis sumber daya yang mendukung salinan lintas akun. | Lihat kolom vault yang memiliki celah udara secara logis [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource) untuk sumber daya yang dapat disalin ke brankas ini. |
| [Kembalikan](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | Cadangan dapat dipulihkan oleh akun yang sama dengan tempat brankas berada. | Cadangan dapat dipulihkan oleh akun yang berbeda dari yang dimiliki vault jika vault dibagikan dengan akun terpisah itu. |
| [Keamanan](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | Secara opsional dapat dienkripsi dengan kunci (dikelola atau dikelola pelanggan) AWS Secara opsional dapat menggunakan kunci brankas dalam mode kepatuhan atau tata kelola | Dapat dienkripsi dengan kunci yang [AWS dimiliki atau kunci](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) yang dikelola pelanggan Selalu terkunci dengan [kunci brankas](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) dalam mode kepatuhan Informasi tipe kunci enkripsi dipertahankan dan terlihat saat brankas dibagikan melalui AWS RAM atau MPA |
| [Berbagi](#lag-share) | Akses dapat dikelola melalui kebijakan dan [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) Tidak kompatibel dengan AWS RAM | Secara opsional dapat dibagikan di seluruh akun menggunakan [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) |
## Buat lemari besi yang memiliki celah udara secara logis
Anda dapat membuat brankas dengan celah udara secara logis baik melalui AWS Backup konsol atau melalui kombinasi perintah dan AWS Backup CLI. AWS RAM
Setiap celah udara secara logis dilengkapi dengan kunci lemari besi dalam mode kepatuhan. Lihat [AWS Backup Kunci Lemari Brankas](vault-lock.md) untuk membantu menentukan nilai periode retensi yang paling sesuai untuk operasi Anda
------
#### [ Console ]
**Buat brankas yang memiliki celah udara secara logis dari konsol**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Di panel navigasi, pilih **Vaults**.
1. Kedua jenis brankas akan ditampilkan. Pilih **Buat brankas baru**.
1. Masukkan nama untuk brankas cadangan Anda. Anda dapat memberi nama brankas Anda untuk mencerminkan apa yang akan Anda simpan di dalamnya, atau untuk membuatnya lebih mudah untuk mencari cadangan yang Anda butuhkan. Misalnya, Anda bisa menamainya`FinancialBackups`.
1. Pilih tombol radio untuk brankas dengan **celah udara secara logis**.
1. *(Opsional)* Pilih kunci enkripsi. Anda dapat memilih kunci KMS yang dikelola pelanggan untuk kontrol tambahan atas enkripsi, atau menggunakan kunci bawaan yang AWS dimiliki (disarankan).
1. Tetapkan **periode retensi minimum**.
Nilai ini (dalam hari, bulan, atau tahun) adalah jumlah waktu terpendek cadangan dapat disimpan di lemari besi ini. Pencadangan dengan periode retensi yang lebih pendek dari nilai ini tidak dapat disalin ke brankas ini.
Nilai minimum yang diizinkan adalah `7` hari. Nilai selama berbulan-bulan dan bertahun-tahun memenuhi minimum ini.
1. Atur **periode retensi maksimum**.
Nilai ini (dalam hari, bulan, atau tahun) adalah jumlah waktu terlama cadangan dapat disimpan di lemari besi ini. Cadangan dengan periode retensi yang lebih besar dari nilai ini tidak dapat disalin ke brankas ini.
1. *(Opsional)* Atur **kunci Enkripsi**.
Tentukan kunci yang akan digunakan dengan brankas Anda. Anda dapat memilih **kunci yang AWS dimiliki (dikelola oleh AWS Backup)** atau memasukkan ARN untuk **kunci yang dikelola Pelanggan** yang sebaiknya milik akun lain yang dapat Anda akses. AWS Backup merekomendasikan menggunakan kunci yang AWS dimiliki.
1. *(Opsional)* Tambahkan tag yang akan membantu Anda mencari dan mengidentifikasi brankas celah udara Anda secara logis. Misalnya, Anda bisa menambahkan `BackupType:Financial` tag.
1. Pilih **Buat lemari besi**.
1. Tinjau pengaturan. Jika semua pengaturan ditampilkan seperti yang Anda inginkan, pilih **Buat brankas dengan celah udara secara logis**.
1. Konsol akan membawa Anda ke halaman detail brankas baru Anda. Verifikasi detail brankas seperti yang diharapkan.
1. Pilih **Vaults** untuk melihat brankas di akun Anda. Lemari besi Anda yang memiliki lubang udara secara logis akan ditampilkan. Kunci KMS akan tersedia sekitar 1 hingga 3 menit setelah pembuatan brankas. Segarkan halaman untuk melihat kunci terkait. Setelah kunci terlihat, lemari besi dalam keadaan tersedia dan dapat digunakan.
------
#### [ AWS CLI ]
Buat brankas dengan celah udara secara logis dari CLI
Anda dapat menggunakannya AWS CLI untuk melakukan operasi secara terprogram untuk kubah yang memiliki celah udara secara logis. Setiap CLI khusus untuk AWS layanan di mana ia berasal. Perintah yang terkait dengan berbagi ditambahkan dengan`aws ram`; semua perintah lainnya harus ditambahkan dengan. `aws backup`
Gunakan perintah CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html), dimodifikasi dengan parameter berikut:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```
`--encryption-key-arn`Parameter opsional memungkinkan Anda menentukan kunci KMS yang dikelola pelanggan untuk enkripsi vault. Jika tidak disediakan, brankas akan menggunakan kunci yang AWS dimiliki.
Contoh perintah CLI untuk membuat brankas yang memiliki celah udara secara logis:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```
Contoh perintah CLI untuk membuat brankas dengan celah udara secara logis dengan enkripsi yang dikelola pelanggan:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```
Lihat [elemen respons CreateLogicallyAirGappedBackupVault API](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html) untuk informasi setelah operasi pembuatan. Jika operasi berhasil, brankas baru yang memiliki celah udara secara logis akan memiliki. VaultState `CREATING`
Setelah pembuatan selesai dan kunci terenkripsi KMS telah ditetapkan, VaultState akan beralih ke. `AVAILABLE` Setelah tersedia, lemari besi dapat digunakan. `VaultState`dapat diambil dengan menelepon [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)atau [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html).
------
## Lihat detail brankas dengan celah udara secara logis
Anda dapat melihat detail vault seperti ringkasan, titik pemulihan, sumber daya yang dilindungi, berbagi akun, kebijakan akses, dan tag melalui AWS Backup konsol atau AWS Backup CLI.
------
#### [ Console ]
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Pilih **Vaults** dari navigasi sebelah kiri.
1. **Di bawah deskripsi brankas akan ada tiga daftar, Vault yang **dibuat oleh akun ini, Vaults** **dibagikan melalui RAM, dan Vaults dapat diakses melalui persetujuan Multi-pihak**.** Pilih tab yang diinginkan untuk melihat brankas.
1. Di bawah **nama Vault**, klik nama brankas untuk membuka halaman detail. Anda dapat melihat ringkasan, titik pemulihan, sumber daya yang dilindungi, berbagi akun, kebijakan akses, dan detail tag.
Detail ditampilkan tergantung pada jenis akun: Akun yang memiliki brankas dapat melihat berbagi akun; akun yang tidak memiliki brankas tidak akan dapat melihat berbagi akun. Untuk brankas bersama, jenis kunci enkripsi (kunci KMS yang AWS dimiliki atau dikelola pelanggan) ditampilkan dalam ringkasan vault.
------
#### [ AWS CLI ]
Lihat detail brankas yang memiliki celah udara secara logis melalui CLI
Perintah CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html)dapat digunakan untuk mendapatkan detail tentang lemari besi. Parameter `backup-vault-name` diperlukan; `region` adalah opsional.
```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```
Contoh respon:
```
{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```
**catatan**
`VaultType`Bidang ini tidak disertakan dalam respons API di wilayah di mana kubah celah udara secara logis tidak tersedia.
------
## Membuat cadangan di brankas yang memiliki celah udara secara logis
Logika air-gapped vaults dapat menjadi target tujuan pekerjaan salinan dalam rencana cadangan atau target untuk pekerjaan salinan sesuai permintaan. Ini juga dapat digunakan sebagai target cadangan utama. Lihat [Pencadangan utama ke brankas dengan celah udara secara logis](lag-vault-primary-backup.md).
**Enkripsi yang kompatibel**
Pekerjaan penyalinan yang berhasil dari brankas cadangan ke brankas dengan celah udara secara logis memerlukan kunci enkripsi yang ditentukan oleh jenis sumber daya yang disalin.
Saat Anda membuat atau menyalin cadangan dari [jenis sumber daya yang dikelola sepenuhnya](backup-feature-availability.md#features-by-resource), sumber daya dapat dienkripsi oleh kunci yang dikelola pelanggan atau dengan kunci AWS terkelola.
Saat Anda membuat atau menyalin cadangan jenis sumber daya lain (yang [tidak dikelola sepenuhnya](backup-feature-availability.md#features-by-resource)), sumber harus dienkripsi dengan kunci yang dikelola pelanggan. AWS kunci terkelola untuk sumber daya yang tidak dikelola sepenuhnya tidak didukung.
**Buat atau salin cadangan ke brankas yang memiliki celah udara secara logis melalui rencana cadangan**
Anda dapat menyalin cadangan (titik pemulihan) dari brankas cadangan standar ke brankas dengan celah udara secara logis dengan [membuat rencana cadangan baru atau memperbarui yang](creating-a-backup-plan.md) [sudah ada](updating-a-backup-plan.md) di AWS Backup konsol atau melalui perintah dan. AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) Anda juga dapat membuat cadangan secara langsung di brankas yang memiliki celah udara secara logis dengan menggunakannya sebagai target utama. Lihat [Pencadangan utama ke brankas dengan celah udara secara logis untuk detail selengkapnya](lag-vault-primary-backup.md).
Anda dapat menyalin cadangan dari satu brankas yang memiliki celah udara secara logis ke brankas lain yang memiliki celah udara sesuai permintaan (jenis cadangan ini tidak dapat dijadwalkan dalam rencana cadangan). Anda dapat menyalin cadangan dari brankas dengan celah udara secara logis ke brankas cadangan standar selama salinannya dienkripsi dengan kunci yang dikelola pelanggan.
**Salinan cadangan sesuai permintaan ke brankas yang memiliki celah udara secara logis**
Untuk membuat salinan cadangan satu kali [sesuai permintaan](recov-point-create-on-demand-backup.md) ke brankas yang memiliki celah udara secara logis, Anda dapat menyalin dari brankas cadangan standar. Salinan lintas wilayah atau lintas akun tersedia jika jenis sumber daya mendukung jenis salinan.
**Ketersediaan salinan**
Salinan cadangan dapat dibuat dari akun tempat brankas itu berada. Akun yang dengannya brankas telah dibagikan memiliki kemampuan untuk melihat atau memulihkan cadangan, tetapi tidak untuk membuat salinan.
Hanya [jenis sumber daya yang mendukung salinan lintas wilayah atau lintas akun](backup-feature-availability.md#features-by-resource) yang dapat disertakan.
------
#### [ Console ]
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Pilih **Vaults** dari navigasi sebelah kiri.
1. Di halaman detail vault, semua titik pemulihan di dalam brankas itu ditampilkan. Tempatkan tanda centang di sebelah titik pemulihan yang ingin Anda salin.
1. Pilih **Tindakan**, lalu pilih **Salin** dari menu tarik-turun.
1. Pada layar berikutnya, masukkan detail tujuan.
1. Tentukan wilayah tujuan.
1. Menu drop-down vault cadangan tujuan menampilkan brankas tujuan yang memenuhi syarat. Pilih salah satu dengan tipe `logically air-gapped vault`
1. Pilih **Salin** setelah semua detail diatur ke preferensi Anda.
Pada halaman **Pekerjaan** di konsol, Anda dapat memilih **Salin** pekerjaan untuk melihat pekerjaan salinan saat ini.
------
#### [ AWS CLI ]
Gunakan [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html)untuk menyalin cadangan yang ada di brankas cadangan ke brankas yang memiliki celah udara secara logis.
Contoh masukan CLI:
```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```
------
Untuk informasi selengkapnya, lihat [Menyalin cadangan, Pencadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html) [lintas wilayah, dan Pencadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) [lintas](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html) akun.
## Bagikan lemari besi yang memiliki celah udara secara logis
Anda dapat menggunakan AWS Resource Access Manager (RAM) untuk berbagi brankas yang memiliki celah udara secara logis dengan akun lain yang Anda tunjuk. Saat berbagi brankas, informasi jenis kunci enkripsi (kunci KMS yang AWS dimiliki atau dikelola pelanggan) dipertahankan dan terlihat oleh akun yang digunakan untuk berbagi brankas.
Vault dapat dibagikan dengan akun di organisasinya atau dengan akun di organisasi lain. Vault tidak dapat dibagikan dengan seluruh organisasi, hanya dengan akun di dalam organisasi.
Hanya akun dengan hak istimewa IAM tertentu yang dapat berbagi dan mengelola berbagi brankas.
Untuk berbagi menggunakan AWS RAM, pastikan Anda memiliki yang berikut:
+ Dua atau lebih akun yang dapat diakses AWS Backup
+ Akun pemilik Vault yang bermaksud berbagi memiliki izin RAM yang diperlukan. Izin `ram:CreateResourceShare` diperlukan untuk prosedur ini. Kebijakan ini `AWSResourceAccessManagerFullAccess` berisi semua izin terkait RAM yang diperlukan:
+ `backup:DescribeBackupVault`
+ `backup:DescribeRecoveryPoint`
+ `backup:GetRecoveryPointRestoreMetadata`
+ `backup:ListProtectedResourcesByBackupVault`
+ `backup:ListRecoveryPointsByBackupVault`
+ `backup:ListTags`
+ `backup:StartRestoreJob`
+ Setidaknya satu lemari besi yang memiliki celah udara secara logis
------
#### [ Console ]
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Pilih **Vaults** dari navigasi sebelah kiri.
1. Di bawah deskripsi brankas akan ada dua daftar, Vault yang **dimiliki oleh akun ini dan **Vaults** dibagikan dengan akun ini**. Brankas yang dimiliki oleh akun memenuhi syarat untuk dibagikan.
1. Di bawah **nama Vault**, pilih nama brankas yang memiliki celah udara secara logis untuk membuka halaman detail.
1. Panel **berbagi akun** menunjukkan dengan akun mana vault sedang dibagikan.
1. Untuk mulai berbagi dengan akun lain atau mengedit akun yang sudah dibagikan, pilih **Kelola berbagi**.
1. AWS RAM Konsol terbuka saat **Kelola berbagi** dipilih. Untuk langkah-langkah berbagi sumber daya menggunakan AWS RAM, lihat [Membuat pembagian sumber daya dalam AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) di *Panduan Pengguna AWS RAM*.
1. Akun yang diundang untuk menerima undangan untuk menerima bagian memiliki 12 jam untuk menerima undangan. *Lihat [Menerima dan menolak undangan berbagi sumber daya](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) di Panduan Pengguna RAM.AWS *
1. Jika langkah berbagi selesai dan diterima, halaman ringkasan vault akan ditampilkan di bawah **Berbagi akun = “Dibagikan - lihat tabel berbagi akun di bawah**”.
------
#### [ AWS CLI ]
AWS RAM menggunakan perintah CLI. `create-resource-share` Akses ke perintah ini hanya tersedia untuk akun dengan izin yang memadai. Lihat [Membuat berbagi sumber daya AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) untuk langkah-langkah CLI.
Langkah 1 hingga 4 dilakukan dengan akun yang memiliki brankas celah udara secara logis. Langkah 5 hingga 8 dilakukan dengan akun yang digunakan untuk berbagi brankas yang memiliki celah udara secara logis.
1. Masuk ke akun pemilik ATAU minta pengguna di organisasi Anda dengan kredensi yang cukup untuk mengakses akun sumber menyelesaikan langkah-langkah ini.
1. Jika pembagian sumber daya sebelumnya dibuat dan Anda ingin menambahkan sumber daya tambahan ke dalamnya, gunakan CLI `associate-resource-share` sebagai gantinya dengan ARN dari brankas baru.
1. Ambil kredensi peran dengan izin yang cukup untuk dibagikan melalui RAM. [Masukkan ini ke dalam CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new).
1. Izin `ram:CreateResourceShare` diperlukan untuk prosedur ini. Kebijakan ini [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)berisi semua izin terkait RAM.
1. Gunakan [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).
1. Sertakan ARN dari brankas yang berlubang udara secara logis.
1. Contoh masukan:
```
aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1
```
1. Contoh output:
```
{
"resourceShare":{
"resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name":"MyLogicallyAirGappedVault",
"owningAccountId":"123456789012",
"allowExternalPrincipals":true,
"status":"ACTIVE",
"creationTime":"2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
}
}
```
1. Salin ARN berbagi sumber daya dalam output (yang diperlukan untuk langkah selanjutnya). Berikan ARN kepada operator akun yang Anda undang untuk menerima bagian.
1. Dapatkan pembagian sumber daya ARN
1. Jika Anda tidak melakukan langkah 1 sampai 4, dapatkan resourceShareArn dari siapa pun yang melakukannya.
1. Contoh: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`
1. Dalam CLI, asumsikan kredensi akun penerima.
1. Dapatkan undangan berbagi sumber daya dengan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html). *Untuk informasi selengkapnya, lihat [Menerima dan menolak undangan](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) di Panduan Pengguna.AWS RAM *
1. Terima undangan di akun tujuan (pemulihan).
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html)(bisa juga [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)).
Anda dapat menggunakan perintah AWS RAM CLI untuk melihat item bersama:
+ Sumber daya yang telah Anda bagikan:
`aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Tunjukkan kepala sekolah:
`aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Sumber daya yang dibagikan oleh akun lain:
`aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`
------
## Kembalikan cadangan dari brankas yang memiliki lubang udara secara logis
Anda dapat memulihkan cadangan yang disimpan dalam brankas yang memiliki celah udara secara logis baik dari akun yang memiliki brankas atau dari akun mana pun yang digunakan untuk berbagi brankas.
Lihat [Memulihkan cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) untuk informasi tentang cara memulihkan titik pemulihan melalui AWS Backup konsol.
Setelah cadangan dibagikan dari brankas yang memiliki celah udara secara logis ke akun Anda, Anda dapat menggunakannya [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)untuk memulihkan cadangan.
Contoh input CLI dapat mencakup perintah dan parameter berikut:
```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```
## Hapus brankas yang memiliki celah udara secara logis
Lihat [menghapus brankas](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault). Vault tidak dapat dihapus jika masih berisi cadangan (titik pemulihan). Pastikan vault kosong dari cadangan sebelum Anda memulai operasi penghapusan.
Penghapusan vault juga menghapus kunci yang terkait dengan vault tujuh hari setelah vault dihapus sesuai dengan kebijakan penghapusan kunci.
Contoh perintah CLI berikut [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)dapat digunakan untuk menghapus vault.
```
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```
## Opsi terprogram tambahan untuk kubah celah udara secara logis
Perintah CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)dapat dimodifikasi untuk mencantumkan semua brankas yang dimiliki oleh dan hadir di akun:
```
aws backup list-backup-vaults
--region us-east-1
```
Untuk membuat daftar hanya brankas yang memiliki celah udara secara logis, tambahkan parameternya
```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```
Sertakan parameter `by-shared` untuk memfilter daftar brankas yang dikembalikan untuk hanya menampilkan brankas celah udara yang dibagikan secara logis. Respons akan mencakup informasi tipe kunci enkripsi untuk setiap brankas bersama.
```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```
Contoh respons yang menunjukkan informasi tipe kunci enkripsi:
```
{
"BackupVaultList": [
{
"BackupVaultName": "shared-logically air-gapped-vault",
"BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30
}
]
}
```
**catatan**
`VaultType`Bidang ini tidak disertakan dalam respons API di wilayah di mana kubah celah udara secara logis tidak tersedia.
## Memahami tipe kunci enkripsi untuk brankas dengan celah udara secara logis
Logika air-gapped vaults mendukung berbagai jenis kunci enkripsi, dan informasi ini terlihat melalui dan konsol. AWS Backup APIs Ketika vault dibagikan melalui AWS RAM atau MPA, informasi jenis kunci enkripsi disimpan dan dibuat terlihat oleh akun yang digunakan untuk berbagi brankas. Transparansi ini membantu Anda memahami konfigurasi enkripsi brankas dan membuat keputusan berdasarkan informasi tentang operasi pencadangan dan pemulihan.
### Nilai tipe kunci enkripsi
`EncryptionKeyType`Bidang dapat memiliki nilai-nilai berikut:
+ `AWS_OWNED_KMS_KEY`- Brankas dienkripsi dengan kunci yang AWS dimiliki. Ini adalah metode enkripsi default untuk brankas dengan celah udara secara logis ketika tidak ada kunci yang dikelola pelanggan yang ditentukan.
+ `CUSTOMER_MANAGED_KMS_KEY`- Brankas dienkripsi dengan kunci KMS yang dikelola pelanggan yang Anda kontrol. Opsi ini memberikan kontrol tambahan atas kunci enkripsi dan kebijakan akses.
**catatan**
AWS Backup merekomendasikan penggunaan kunci AWS yang dimiliki dengan brankas yang memiliki celah udara secara logis.
Jika kebijakan organisasi Anda mengharuskan menggunakan kunci yang dikelola pelanggan, AWS tidak merekomendasikan penggunaan kunci dari akun yang sama, kecuali untuk pengujian. Untuk beban kerja produksi, gunakan kunci yang dikelola pelanggan dari akun lain di organisasi sekunder yang didedikasikan untuk pemulihan sebagai praktik terbaik. Anda dapat mereferensikan blog [Encrypt AWS Backup logika air-gapped vaults dengan kunci yang dikelola pelanggan untuk mengumpulkan lebih banyak wawasan tentang pengaturan brankas celah udara berbasis](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) CMK secara logis.
Anda hanya dapat memilih kunci enkripsi AWS KMS selama pembuatan vault. Setelah dibuat, semua cadangan yang terdapat di brankas akan dienkripsi dengan kunci itu. Anda tidak dapat mengubah atau memigrasikan vault Anda untuk menggunakan kunci enkripsi yang berbeda.
### Kebijakan utama untuk pembuatan brankas celah udara terenkripsi CMK secara logis
Saat membuat brankas dengan celah udara secara logis dengan kunci yang dikelola pelanggan, Anda harus menerapkan kebijakan AWS`AWSBackupFullAccess` -managed ke peran akun Anda. Kebijakan ini mencakup `Allow` tindakan yang memungkinkan AWS Backup untuk berinteraksi dengan AWS KMS pembuatan hibah pada kunci KMS selama operasi pencadangan, penyalinan, dan penyimpanan. Selain itu, Anda harus memastikan kebijakan kunci terkelola pelanggan Anda (jika digunakan) mencakup izin khusus yang diperlukan.
+ CMK harus dibagikan dengan akun tempat brankas celah udara secara logis berada
```
{
"Sid": "Allow use of the key to create a logically air-gapped vault",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
**Kebijakan utama untuk menyalin/memulihkan**
Untuk mencegah kegagalan pekerjaan, tinjau kebijakan AWS KMS kunci Anda untuk memastikannya mencakup semua izin yang diperlukan dan tidak berisi pernyataan penolakan yang dapat memblokir operasi. Ketentuan berikut berlaku:
+ Untuk semua skenario penyalinan, CMKs harus dibagikan dengan peran penyalinan sumber
```
{
"Sid": "Allow use of the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
+ Saat menyalin dari brankas CMK yang dienkripsi secara logis dengan celah udara ke brankas cadangan, CMK juga harus dibagikan dengan akun tujuan SLR
```
{
"Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
+ Saat menyalin atau memulihkan dari akun pemulihan menggunakan brankas dengan celah udara yang RAM/MPA dibagikan secara logis
```
{
"Sid": "Allow use of the key for copy/restore from a recovery account",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
**Peran IAM**
Saat melakukan operasi penyalinan brankas dengan celah udara secara logis, pelanggan dapat memanfaatkan yang mencakup kebijakan `AWSBackupDefaultServiceRole` yang dikelola. AWS`AWSBackupServiceRolePolicyForBackup` Namun, jika pelanggan lebih memilih untuk menerapkan pendekatan kebijakan hak istimewa terkecil, kebijakan IAM mereka harus mencakup persyaratan khusus:
+ Peran salinan akun sumber harus memiliki izin akses ke sumber dan tujuan CMKs.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
},
{
"Sid": "KMSCreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
]
}
```
Akibatnya, salah satu kesalahan pelanggan yang paling umum terjadi selama penyalinan ketika pelanggan gagal memberikan izin yang cukup pada peran mereka CMKs dan menyalin.
### Melihat jenis kunci enkripsi
Anda dapat melihat informasi jenis kunci enkripsi melalui AWS Backup konsol dan secara terprogram menggunakan or. AWS CLI SDKs
**Konsol:** Saat melihat brankas dengan celah udara secara logis di AWS Backup konsol, jenis kunci enkripsi ditampilkan di halaman detail vault di bawah bagian informasi keamanan.
**AWS CLI/API:** Jenis kunci enkripsi dikembalikan sebagai respons operasi berikut saat menanyakan brankas dengan celah udara secara logis:
+ `list-backup-vaults`(termasuk `--by-shared` untuk brankas bersama)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`
### Pertimbangan untuk enkripsi vault
Saat bekerja dengan brankas yang memiliki celah udara dan tipe kunci enkripsi secara logis, pertimbangkan hal berikut:
+ **Pemilihan kunci selama pembuatan:** Anda dapat secara opsional menentukan kunci KMS yang dikelola pelanggan saat membuat brankas dengan celah udara secara logis. Jika tidak ditentukan, kunci AWS-owned akan digunakan.
+ **Visibilitas vault bersama:** Akun yang digunakan untuk berbagi vault dapat melihat jenis kunci enkripsi tetapi tidak dapat mengubah konfigurasi enkripsi.
+ **Informasi titik pemulihan:** Jenis kunci enkripsi juga tersedia saat melihat titik pemulihan dalam brankas yang celah udara secara logis.
+ **Mengembalikan operasi:** Memahami jenis kunci enkripsi membantu Anda merencanakan operasi pemulihan dan memahami persyaratan akses potensial.
+ **Kepatuhan:** Informasi jenis kunci enkripsi mendukung pelaporan kepatuhan dan persyaratan audit dengan memberikan transparansi ke dalam metode enkripsi yang digunakan untuk data cadangan.
## Penggunaan kunci milik layanan
AWS Backup membuat dan mengelola kunci enkripsi yang digunakan untuk mengenkripsi semua data cadangan yang disimpan dalam brankas dengan celah udara secara logis, untuk melindungi dan mencegah hilangnya akses kunci enkripsi selama peristiwa kehilangan data.
+ Kunci-kunci ini gratis dan tidak dihitung terhadap AWS KMS kuota untuk akun Anda.
+ Satu kunci hanya digunakan untuk brankas tertentu dan tidak dibagikan dengan akun lain atau tujuan lain.
+ Kunci ini dihapus setelah vault yang ditetapkan (kosong) juga dihapus.
+ Kunci ini dibuat menggunakan spesifikasi kunci [SYMMETRIC\$1DEFAULT](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).
+ Kebijakan rotasi default adalah 90 hari. Anda dapat meminta rotasi (setiap 6 bulan sekali) kunci enkripsi milik layanan untuk brankas celah udara Anda secara logis melalui tiket dukungan.
Kunjungi [AWS KMS dokumentasi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) untuk mempelajari lebih lanjut.
## Pertimbangan untuk remediasi otomatis keamanan
Saat AWS Backup menyalin cadangan EC2 (AMI) ke brankas yang memiliki celah udara secara logis, cadangan tersebut untuk sementara memberikan `launchPermission` (pada AMI) `createVolumePermission` dan (pada snapshot EBS terkait) ke akun milik layanan. Izin ini secara otomatis dicabut setelah salinan selesai.
Operasi ini menghasilkan `ModifyImageAttribute` dan `ModifySnapshotAttribute` peristiwa di AWS CloudTrail log Anda, dengan `userIdentity.invokedBy` disetel ke`backup.amazonaws.com`.
Jika Anda memiliki logika remediasi otomatis keamanan (misalnya, EventBridge aturan Amazon dengan AWS Lambda) yang memantau peristiwa ini dan mencabut berbagi lintas akun, Anda harus mengecualikan peristiwa yang ada. `userIdentity.invokedBy` `backup.amazonaws.com` Jika tidak, menyalin pekerjaan ke brankas yang celah udara secara logis akan gagal dengan: “Anda tidak memiliki izin untuk mengakses penyimpanan ami ini.”
Pengecualian ini aman karena salinannya diotorisasi oleh kebijakan akses vault Anda (`backup:CopyFromBackupVault`di brankas sumber dan `backup:CopyIntoBackupVault` di brankas tujuan), yang dievaluasi sebelum modifikasi atribut EC2 terjadi. Izin sementara hanya diberikan ke akun AWS milik layanan tetap dan secara otomatis dicabut setelah salinan selesai.
Contoh pola peristiwa EventBridge aturan yang mengecualikan AWS Backup operasi:
```
{
"source": ["aws.ec2"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["ec2.amazonaws.com"],
"eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
"userIdentity": {
"invokedBy": [{"anything-but": "backup.amazonaws.com"}]
}
}
}
```
## Memecahkan masalah brankas yang memiliki celah udara secara logis
Jika Anda mengalami kesalahan selama alur kerja, lihat contoh kesalahan berikut dan resolusi yang disarankan:
### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
**Kesalahan:** `Copy job fails with "You do not have permission to access the storage of this ami."`
**Kemungkinan penyebabnya:** Selama pekerjaan penyalinan AMI EC2 ke brankas yang memiliki celah udara secara logis, berikan izin peluncuran (AMI) AWS Backup sementara dan buat izin volume (snapshot EBS) ke akun milik layanan, pembuatan, dan peristiwa di log Anda. `ModifyImageAttribute` `ModifySnapshotAttribute` AWS CloudTrail Jika Anda memiliki logika remediasi otomatis keamanan (seperti EventBridge aturan dengan Lambda) yang memantau peristiwa ini dan secara otomatis mencabut izin berbagi lintas akun, itu dapat menghapus akses sementara sebelum salinan selesai.
**catatan**
Hal ini juga dapat terjadi untuk menyalin pekerjaan untuk sumber daya lain seperti Amazon FSx.
**Resolusi:** Perbarui pola acara EventBridge aturan Anda untuk mengecualikan operasi yang dilakukan oleh AWS Backup. Secara khusus, kecualikan peristiwa `userIdentity.invokedBy` `backup.amazonaws.com` untuk memastikan logika remediasi otomatis Anda tidak mencabut izin lintas akun sementara yang diberikan selama proses penyalinan. AWS Backup
### `AccessDeniedException`
**Kesalahan:** `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`
**Kemungkinan penyebabnya:** Parameter `--backup-vault-account-id` tidak disertakan saat salah satu permintaan berikut dijalankan di brankas yang dibagikan oleh RAM:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`
**Resolusi:** Coba lagi perintah yang mengembalikan kesalahan, tetapi sertakan parameter `--backup-vault-account-id` yang menentukan akun yang memiliki brankas.
### `OperationNotPermittedException`
**Kesalahan:** `OperationNotPermittedException` dikembalikan setelah `CreateResourceShare` panggilan.
**Kemungkinan penyebabnya:** Jika Anda mencoba berbagi sumber daya, seperti brankas yang memiliki celah udara secara logis, dengan organisasi lain, Anda mungkin mendapatkan pengecualian ini. Vault dapat dibagikan dengan akun di organisasi lain, tetapi tidak dapat dibagikan dengan organisasi lain itu sendiri.
**Resolusi:** Coba lagi operasi, tetapi tentukan akun sebagai nilai untuk `principals` alih-alih organisasi atau OU.
### Jenis kunci enkripsi tidak ditampilkan
**Masalah:** Jenis kunci enkripsi tidak terlihat saat melihat brankas yang memiliki celah udara secara logis atau titik pemulihannya.
**Kemungkinan penyebabnya:**
+ Anda melihat brankas lama yang dibuat sebelum dukungan tipe kunci enkripsi ditambahkan
+ Anda menggunakan versi AWS CLI atau SDK yang lebih lama
+ Respons API tidak menyertakan bidang tipe kunci enkripsi
**Resolusi:**
+ Perbarui Anda AWS CLI ke versi terbaru
+ Untuk vault yang lebih lama, tipe kunci enkripsi akan diisi secara otomatis dan akan muncul dalam panggilan API berikutnya
+ Verifikasi bahwa Anda menggunakan operasi API yang benar yang mengembalikan informasi tipe kunci enkripsi
+ Untuk brankas bersama, verifikasi bahwa vault dibagikan dengan benar AWS Resource Access Manager
### “GAGAL” VaultState AccessDeniedException dengan CloudTrail log
**Kesalahan dalam CloudTrail:** `"User: is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`
**Kemungkinan penyebabnya:**
+ Vault dibuat menggunakan kunci terkelola pelanggan, tetapi peran yang diasumsikan tidak memiliki CreateGrant izin pada kebijakan kunci yang diperlukan untuk menggunakan kunci untuk pembuatan vault
**Resolusi:**
+ Berikan izin yang ditentukan di [Kebijakan utama untuk pembuatan brankas celah udara terenkripsi CMK secara logis](#key-policy-lag-vault-creation) bagian, lalu coba lagi alur kerja pembuatan vault.
# Pencadangan primer ke vault yang terisolasi secara logis
## Ikhtisar
Fitur cadangan utama vault yang memiliki celah udara secara logis menawarkan Anda opsi untuk menentukan brankas dengan celah udara secara logis sebagai tujuan pencadangan utama dalam akun yang sama, untuk pekerjaan pencadangan terjadwal dan sesuai permintaan. Ini menghilangkan kebutuhan untuk memelihara salinan terpisah di brankas cadangan standar dan brankas dengan celah udara secara logis, mengurangi biaya dan menyederhanakan alur kerja sambil mempertahankan manfaat keamanan dari celah udara logis.
Anda dapat menetapkan brankas dengan celah udara secara logis sebagai target utama dalam rencana cadangan, kebijakan di seluruh organisasi, atau pencadangan sesuai permintaan. Sebelumnya, untuk membuat cadangan ke brankas yang memiliki celah udara secara logis, pertama-tama Anda harus membuat cadangan di brankas cadangan dan kemudian menyalinnya ke brankas yang memiliki celah udara secara logis. Dengan fitur ini, tergantung pada jenis sumber daya, AWS Backup dapat membuat cadangan langsung di brankas Anda yang memiliki celah udara secara logis atau secara otomatis mengelola cadangan sementara yang disalin ke brankas celah udara Anda secara logis dan kemudian dihapus.
Perilaku tergantung pada dua faktor:
+ Apakah jenis sumber daya didukung oleh brankas yang memiliki celah udara secara logis.
+ Apakah jenis sumber daya mendukung [AWS Backup manajemen penuh](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management).
**Awas**
Kami merekomendasikan untuk mengintegrasikan brankas Anda yang memiliki celah udara secara logis dengan [persetujuan Multi-pihak](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA) jika Anda mengadopsi kemampuan ini. Ini memungkinkan pemulihan cadangan di brankas bahkan jika akun yang memiliki brankas tidak dapat diakses.
Tidak ada harga baru untuk fitur ini. Anda hanya dikenakan biaya untuk cadangan yang disimpan di brankas dengan celah udara secara logis dan untuk snapshot sementara (selama periode retensi mereka di sistem) untuk sumber daya yang berlaku dengan tarif yang berlaku. Lihat [AWS Backup harga](https://aws.amazon.com/backup/pricing/) untuk detailnya.
**Topics**
+ [Ikhtisar](#lag-primary-backup-overview)
+ [Cara kerjanya](#lag-primary-backup-how-it-works)
+ [Pertimbangan Biaya](#lag-primary-backup-cost)
+ [Konfigurasikan cadangan utama brankas yang memiliki lubang udara secara logis](#lag-primary-backup-configure)
+ [Pantau cadangan utama brankas celah udara secara logis](#lag-primary-backup-monitor)
+ [Orientasi dan migrasi](#lag-primary-backup-onboarding)
+ [Pemecahan masalah](#lag-primary-backup-troubleshooting)
## Cara kerjanya
Anda dapat melakukan onboard ke fitur ini dengan memperbarui paket cadangan yang ada atau membuat yang baru dan menambahkan ARN vault yang memiliki celah udara secara logis (nama bidang`TargetLogicallyAirGappedBackupVaultArn`:) sebagai target cadangan utama. Anda dapat melakukan operasi ini baik melalui AWS Backup konsol atau melalui perintah AWS Backup CLI.
```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```
Saat Anda menentukan brankas cadangan dan brankas dengan celah udara secara logis sebagai target untuk pekerjaan pencadangan Anda, AWS Backup tentukan alur kerja yang sesuai berdasarkan jenis sumber daya dan konfigurasi enkripsi.
![\[alt text not found\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)
**Sumber daya yang didukung untuk cadangan utama ke brankas yang memiliki celah udara secara logis**
[Untuk melihat daftar lengkap sumber daya yang didukung untuk brankas dengan celah udara secara logis, lihat ketersediaan fitur. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources) Semua sumber daya yang mendukung brankas dengan celah udara secara logis mengikuti prinsip mempertahankan hanya satu salinan cadangan Anda, daripada menyimpan dua salinan terpisah, saat fitur ini digunakan.
**Awas**
Sumber daya yang saat ini tidak didukung untuk fitur ini mungkin akan mengaktifkan dukungannya di masa mendatang. Ketika itu terjadi, sumber daya Anda yang baru didukung akan secara otomatis mulai mencadangkan di brankas dengan celah udara secara logis menggunakan alur kerja yang ditunjukkan di atas.
**Pertimbangan dan keterbatasan:**
+ **Akun dan Wilayah yang sama saja** — Brankas Anda yang memiliki celah udara secara logis harus berada di AWS akun dan Wilayah yang sama dengan sumber daya Anda untuk menggunakan fitur ini. Anda tidak dapat membuat cadangan secara langsung lintas akun atau lintas wilayah. Kami merekomendasikan untuk membuat cadangan ke brankas yang memiliki celah udara secara logis di Wilayah yang sama untuk memungkinkan pemulihan yang lebih cepat tanpa memerlukan salinan. Jika Anda memerlukan salinan data Anda di Region for Disaster Recovery (DR) kedua, kami merekomendasikan replikasi lintas wilayah sumber daya utama Anda untuk failover cepat atau salinan titik pemulihan lintas wilayah ke brankas cadangan yang terkunci.
+ **Kendala dengan menggunakan kunci AWS terkelola** — Sumber daya yang tidak mendukung AWS Backup manajemen penuh dan dienkripsi dengan kunci AWS terkelola (misalnya,`aws/ebs`,`aws/rds`) tidak dapat disalin ke brankas dengan celah udara secara logis. Sumber daya ini harus dienkripsi dengan kunci KMS yang dikelola pelanggan atau tidak dienkripsi. Sumber daya yang mendukung AWS Backup manajemen penuh **tidak memiliki kendala ini**.
+ **Frekuensi cadangan dan salinan bersamaan** — Untuk sumber daya yang tidak mendukung AWS Backup manajemen penuh, pastikan frekuensi cadangan Anda memungkinkan waktu yang cukup untuk menyelesaikan salinan. Jika pencadangan dijadwalkan lebih sering daripada salinan dapat diselesaikan, pekerjaan salinan akan mengantri dan pada akhirnya mungkin gagal. Untuk panduan tentang batas salinan bersamaan, [lihat kuota](aws-backup-limits.md#lag-vault-quotas-table).
+ **Kompatibilitas Siklus Hidup** — Periode retensi yang ditentukan dalam paket cadangan Anda harus kompatibel dengan periode retensi minimum dan maksimum yang dikonfigurasi untuk brankas yang memiliki celah udara secara logis.
+ **Brankas cadangan terkunci** — Jika brankas cadangan target Anda mengaktifkan kunci vault, titik pemulihan sementara tidak dapat dihapus secara manual dan akan dipertahankan hingga salinan selesai atau periode penyimpanan berakhir.
+ **Pulihkan pengujian, pengindeksan, dan pemindaian** — Mengembalikan pengujian, pengindeksan titik pemulihan, dan pemindaian malware akan mengabaikan titik pemulihan sementara dengan `DELETE_AFTER_COPY` siklus hidup. Pengindeksan titik pemulihan tidak mendukung titik pemulihan di brankas yang celah udara secara logis. Pemindaian malware tidak mendukung pemindaian terjadwal dari titik pemulihan yang disalin, yang mencakup salinan otomatis yang diambil sebagai bagian dari cadangan utama ke brankas yang memiliki celah udara secara logis.
### Sumber daya yang mendukung AWS Backup manajemen penuh
Beberapa jenis sumber daya, seperti Amazon EFS, Amazon S3, Amazon DynamoDB [AWS Backup dengan fitur-fitur canggih](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html), dll., yang mendukung manajemen AWS Backup penuh, dapat mencadangkan langsung ke brankas Anda yang memiliki celah udara secara logis. Tidak ada titik pemulihan yang dibuat di brankas cadangan Anda, dan tidak diperlukan operasi penyalinan. Setiap tindakan penyalinan terjadwal dalam paket cadangan Anda menggunakan titik pemulihan di brankas Anda yang memiliki celah udara secara logis sebagai sumbernya.
Sumber daya yang mendukung pencadangan berkelanjutan, seperti Amazon S3, juga dapat melakukan pencadangan terus menerus langsung ke brankas yang memiliki celah udara secara logis.
Untuk daftar jenis sumber daya yang mendukung AWS Backup manajemen penuh dan brankas dengan celah udara secara logis, lihat [Ketersediaan fitur berdasarkan sumber daya](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) di kolom berlabel “Manajemen penuh” dan “Vault yang memiliki celah udara secara logis”.
### Sumber daya tidak mendukung AWS Backup manajemen penuh
Sumber daya seperti Amazon EBS/EC2, Amazon Aurora, dan FSx Amazon tidak dapat membuat cadangan langsung ke brankas dengan celah udara secara logis. Untuk jenis sumber daya ini, AWS Backup buat titik pemulihan sementara di brankas cadangan Anda dan kemudian secara otomatis menyalinnya ke brankas Anda yang memiliki celah udara secara logis.
Titik pemulihan sementara memiliki pengaturan siklus hidup khusus yang disebut. `DELETE_AFTER_COPY` Setelah salinan ke brankas Anda yang memiliki celah udara secara logis berhasil diselesaikan, AWS Backup secara otomatis menghapus titik pemulihan sementara. Semua tindakan penyalinan terjadwal lainnya dalam rencana pencadangan Anda dimulai secara paralel dengan salinan ke brankas Anda yang memiliki celah udara secara logis dan tidak memengaruhi pengalaman penyalinan Anda saat ini.
Jika salinan ke brankas dengan celah udara Anda gagal, titik pemulihan sementara disimpan di brankas cadangan Anda sesuai dengan periode retensi yang Anda tentukan. Ini membantu Anda memastikan bahwa Anda selalu memiliki titik pemulihan yang dapat digunakan setelah pekerjaan cadangan selesai. Jika titik pemulihan kemudian disalin secara manual ke brankas yang memiliki celah udara secara logis, maka secara otomatis dibersihkan sesuai aturan. `DELETE_AFTER_COPY`
**Awas**
Sumber daya yang dienkripsi dengan kunci AWS terkelola (misalnya,`aws/ebs`) tidak didukung untuk disalin ke brankas dengan celah udara secara logis. Sumber daya ini harus dienkripsi dengan kunci yang dikelola AWS Key Management Service pelanggan atau tidak dienkripsi. Sumber daya yang mendukung AWS Backup manajemen penuh tidak memiliki kendala ini.
#### Hapus setelah siklus hidup salinan
Titik pemulihan sementara memiliki atribut siklus hidup baru yang disebut `DeleteAfterEvent` dengan nilai. `DELETE_AFTER_COPY` Atribut ini menunjukkan bahwa titik pemulihan akan dihapus secara otomatis setelah semua pekerjaan penyalinan selesai, atau setelah periode retensi yang Anda tentukan, mana yang lebih dulu.
Titik pemulihan sementara dihapus ketika semua kondisi berikut benar:
+ Semua pekerjaan penyalinan otomatis dan terjadwal telah selesai.
+ Ada pekerjaan penyalinan yang sudah selesai ke brankas dengan celah udara target Anda secara logis dengan periode retensi setidaknya selama titik pemulihan sumber.
Jika Anda perlu mencegah penghapusan manual titik pemulihan sementara saat salinan sedang berlangsung, pertimbangkan untuk menggunakan brankas cadangan yang terkunci sebagai brankas cadangan target Anda.
#### Pencadangan berkelanjutan untuk Sumber Daya tidak mendukung AWS Backup manajemen penuh
Untuk sumber daya seperti Amazon Aurora, jika Anda mengaktifkan pencadangan berkelanjutan, AWS Backup buat titik pemulihan berkelanjutan di brankas cadangan Anda dan ambil snapshot sementara yang disalin ke brankas yang memiliki celah udara secara logis. Snapshot sementara harus dihapus secara otomatis setelah salinan selesai, terlepas dari apakah salinan berhasil atau gagal, karena Anda mempertahankan titik pemulihan berkelanjutan di brankas cadangan Anda.
Jika Anda tidak ingin membuat titik pemulihan berkelanjutan untuk Amazon Aurora di brankas cadangan Anda, tetapi ingin titik pemulihan berkelanjutan untuk Amazon S3 di brankas celah udara Anda secara logis, maka Anda dapat menonaktifkan pengaturan cadangan berkelanjutan (`EnableContinuousBackup`) dalam paket saat ini dan mengaktifkan S3 terus menerus dari paket yang berbeda.
Anda dapat mempelajari lebih lanjut tentang penyimpanan cadangan Aurora di [Memahami penggunaan penyimpanan cadangan Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated).
### Sumber daya yang tidak didukung
Jika jenis sumber daya tidak didukung oleh brankas dengan celah udara secara logis, atau jika sumber daya yang tidak dikelola sepenuhnya dienkripsi dengan kunci terkelola, AWS Backup buat cadangan hanya di brankas cadangan Anda. AWS Tidak ada salinan ke brankas Anda yang memiliki celah udara yang dicoba. Pekerjaan pencadangan berhasil diselesaikan dengan pesan yang menunjukkan mengapa cadangan tidak masuk ke brankas Anda yang memiliki celah udara secara logis.
## Pertimbangan Biaya
+ Fitur ini tidak dikenakan biaya baru. Anda hanya membayar penyimpanan di brankas Anda.
+ Untuk sumber daya yang mendukung AWS Backup manajemen penuh, mempertahankan cadangan hanya di brankas yang memiliki celah udara secara logis dapat menghasilkan penghematan biaya yang signifikan dibandingkan dengan menyimpan dua salinan cadangan di brankas cadangan dan brankas yang memiliki celah udara secara logis.
+ Untuk sumber daya yang tidak mendukung AWS Backup manajemen penuh, Anda dikenakan biaya untuk titik pemulihan sementara di brankas cadangan Anda dan titik pemulihan di brankas Anda yang memiliki celah udara secara logis.
+ Anda masih dapat mencapai penghematan biaya yang signifikan dari retensi hanya satu salinan cadangan, tetapi penghematan ini dapat bervariasi berdasarkan frekuensi cadangan dan tingkat perubahan Anda.
+ Frekuensi cadangan yang lebih rendah umumnya menghasilkan penghematan yang lebih besar karena titik pemulihan sementara menempati penyimpanan untuk persentase yang lebih pendek dari periode penagihan Anda.
+ Beberapa sumber daya memiliki durasi penagihan minimum, yang meningkatkan biaya untuk titik pemulihan sementara.
+ Nonaktifkan Tag atau pengambilan ACLs metadata dalam konfigurasi cadangan jika Anda tidak menggunakan fitur S3 ini. Ini mengurangi panggilan API dan biaya terkait untuk pemeriksaan metadata selama operasi penyalinan.
## Konfigurasikan cadangan utama brankas yang memiliki lubang udara secara logis
Anda dapat mengonfigurasi cadangan utama vault yang memiliki celah udara secara logis melalui AWS Backup konsol, kebijakan, atau cadangan. AWS CLI AWS CloudFormation AWS Organizations
### Konfigurasikan paket Backup
------
#### [ Console ]
**Untuk mengonfigurasi cadangan utama vault yang memiliki celah udara secara logis untuk rencana cadangan**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup).
1. Di panel navigasi, pilih **Backup plan**, lalu pilih **Buat rencana cadangan atau pilih rencana cadangan** yang ada untuk diedit.
1. Di bagian **Konfigurasi aturan Backup**, tentukan pengaturan aturan cadangan Anda.
1. Untuk **brankas Cadangan**, pilih brankas cadangan tempat titik pemulihan sementara akan disimpan (untuk sumber daya yang tidak dikelola sepenuhnya) atau tempat cadangan akan disimpan jika tidak dapat ditempatkan di brankas Anda yang memiliki celah udara secara logis.
1. Untuk brankas dengan **celah udara secara logis (Opsional), pilih brankas** dengan celah udara secara logis tempat Anda ingin cadangan disimpan.
**catatan**
Brankas yang memiliki celah udara secara logis harus berada di akun dan Wilayah yang sama dengan brankas cadangan Anda.
1. Konfigurasikan setelan aturan cadangan yang tersisa, termasuk opsi siklus hidup dan salin.
1. Pilih **Buat paket** atau **Simpan perubahan**.
------
#### [ AWS CLI ]
Gunakan perintah CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)untuk membuat rencana baru, atau [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)untuk memperbarui rencana yang ada, dan sertakan `TargetLogicallyAirGappedBackupVaultArn` parameter dalam aturan cadangan Anda.
Contoh perintah CLI untuk membuat rencana cadangan menggunakan dokumen JSON:
```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```
Contoh perintah CLI untuk membuat rencana cadangan langsung di CLI:
```
aws backup create-backup-plan --backup-plan '{
"BackupPlanName": "MyPlan",
"Rules": [
{
"RuleName": "MyRule",
"TargetBackupVaultName": "MyBackupVault",
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
"ScheduleExpression": "cron(0 1 ? * * *)",
"ScheduleExpressionTimezone": "America/Los_Angeles",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 120,
"Lifecycle": {
"DeleteAfterDays": 35
}
}
]
}'
```
------
### Konfigurasikan cadangan sesuai permintaan
------
#### [ Console ]
**Untuk mengonfigurasi cadangan utama vault yang memiliki celah udara secara logis untuk cadangan sesuai permintaan**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup).
1. Di panel navigasi, pilih **Sumber daya yang dilindungi**.
1. Pada halaman **Sumber daya yang dilindungi**, pilih **Buat cadangan sesuai permintaan**.
1. Pilih jenis sumber daya dan sumber daya ARN yang ingin Anda cadangkan.
1. Untuk **Backup vault**, pilih brankas cadangan.
1. Untuk brankas dengan **celah udara secara logis (Opsional), pilih brankas** dengan celah udara secara logis tempat Anda ingin cadangan disimpan.
1. Konfigurasikan pengaturan yang tersisa dan pilih **Buat cadangan sesuai permintaan**.
------
#### [ AWS CLI ]
Gunakan start-backup-job perintah dengan `--logically-air-gapped-backup-vault-arn` parameter baru:
```
aws backup start-backup-job \
--backup-vault-name MyBackupVault \
--logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault \
--resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234 \
--iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole \
--lifecycle DeleteAfterDays=35
```
------
## Pantau cadangan utama brankas celah udara secara logis
Anda dapat memantau status pencadangan dan menyalin pekerjaan menggunakan AWS Backup konsol, AWS CLI, atau acara Amazon EventBridge .
### Monitor untuk Pekerjaan Backup
Pantau status pekerjaan cadangan ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)) untuk memastikan sumber daya Anda tetap terlindungi. Pekerjaan pencadangan yang gagal menunjukkan tidak ada titik pemulihan yang dibuat.
+ **Verifikasi lokasi pembuatan titik pemulihan** - Ketika pekerjaan pencadangan berhasil diselesaikan, Anda memiliki titik pemulihan baik di brankas cadangan target atau brankas target yang memiliki celah udara secara logis. Periksa `BackupVaultArn` bidang untuk menentukan di mana titik pemulihan dibuat.
+ **Verifikasi status pekerjaan** - Jika sumber daya tidak didukung oleh brankas yang memiliki celah udara secara logis, tugas pencadangan akan selesai dengan pesan `MessageCategory` dari `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED` dan status yang menjelaskan mengapa cadangan dibuat di brankas cadangan Anda.
+ **Verifikasi tipe titik pemulihan sementara** - Untuk memeriksa apakah titik pemulihan bersifat sementara, cari `RecoveryPointLifecycle.DeleteAfterEvent` bidang dengan nilai`DELETE_AFTER_COPY`.
### Monitor untuk Copy Jobs
Pantau copy jobs ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) ke brankas Anda yang memiliki celah udara secara logis untuk mengetahui kegagalan. Pekerjaan penyalinan yang gagal berarti titik pemulihan Anda tetap berada di brankas cadangan standar Anda tanpa perlindungan brankas celah udara secara logis.
+ **Verifikasi status pekerjaan salin** - Anda dapat memantau status salinan pekerjaan menggunakan `Copy Job State Change` EventBridge acara yang ada. Secara opsional, filter pada vault tujuan (`destinationBackupVaultArn`) untuk fokus pada salinan vault yang memiliki celah udara secara logis.
+ **Verifikasi salinan untuk titik pemulihan sumber** - Gunakan [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)API dengan `BySourceRecoveryPointArn` filter baru untuk menemukan semua pekerjaan salinan yang terkait dengan titik pemulihan tertentu, termasuk salinan otomatis ke brankas Anda yang memiliki celah udara secara logis dan salinan terjadwal ke tujuan lain.
+ **Verifikasi penghapusan titik pemulihan sementara** - Lacak penyelesaian penghapusan titik pemulihan sementara. Jika status pekerjaan salinan`RUNNING`, titik pemulihan belum dihapus. Jika salinan ke brankas Anda yang secara logis memiliki celah udara`FAILED`, titik pemulihan akan dipertahankan sesuai periode retensi yang Anda tentukan.
**catatan**
Salin catatan pekerjaan kedaluwarsa dan dihapus 30 hari setelah selesai. Setelah periode ini, Anda tidak dapat menggunakan `ListCopyJobs` untuk menentukan status salinan historis.
### Monitor untuk titik Pemulihan
Monitor untuk titik `EXPIRED` pemulihan ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)), yang mungkin menunjukkan tidak AWS Backup dapat menghapusnya (mungkin karena izin yang hilang). `EXPIRED`titik pemulihan dapat memiliki implikasi biaya.
+ **Verifikasi status titik pemulihan** - Gunakan EventBridge peristiwa Perubahan Status Titik Pemulihan yang ada untuk memantau kedaluwarsa.
+ **Verifikasi penghapusan titik pemulihan sementara - Jika titik** pemulihan dengan `DeleteAfterEvent: DELETE_AFTER_COPY` belum dihapus, gunakan `ListCopyJobs` API untuk menentukan alasannya, seperti yang disebutkan di atas.
## Orientasi dan migrasi
Jika saat ini Anda menggunakan tindakan salin untuk menyalin cadangan ke brankas dengan celah udara secara logis, Anda dapat bermigrasi ke cadangan utama vault yang memiliki celah udara secara logis untuk mengurangi biaya. Anda juga dapat memigrasikan pencadangan berkelanjutan Amazon S3 yang ada dari brankas cadangan ke brankas yang memiliki celah udara secara logis. Panduan ini menjelaskan prasyarat dan langkah-langkah yang diperlukan untuk bermigrasi ke fitur cadangan utama vault yang memiliki celah udara secara logis.
### Prasyarat dan Praktik Terbaik
Sebelum Anda dapat secara efektif menggunakan fitur cadangan utama vault air-gapped secara logis, ada prasyarat dan praktik terbaik yang direkomendasikan.
**Prasyarat**
Saat ini, brankas dengan celah udara secara logis sebagai target cadangan utama hanya mendukung pencadangan dalam AWS akun dan AWS Wilayah yang sama dengan sumber daya cadangan Anda. Secara logis cadangan vault air-gapped secara inheren disimpan dalam akun layanan terpisah, menyediakan isolasi lintas-akun/lintas organisasi tanpa memerlukan salinan ke akun terpisah. Jika Anda memerlukan cadangan lintas wilayah, lanjutkan menggunakan brankas dengan celah udara secara logis sebagai tujuan penyalinan. Sebelum bermigrasi ke fitur ini, pastikan Anda memenuhi persyaratan berikut:
+ **Persyaratan wilayah dan akun**
+ Brankas Anda yang memiliki celah udara secara logis harus berada di AWS akun dan Wilayah yang sama dengan sumber daya Anda
+ **Kompatibilitas sumber daya**
+ [Verifikasi bahwa sumber daya Anda didukung oleh brankas yang memiliki celah udara secara logis di Ketersediaan fitur berdasarkan sumber daya.](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)
+ Periksa apakah sumber daya Anda mendukung [AWS Backup manajemen penuh](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) atau tidak. Pengalaman membuat cadangan air-gapped berbeda antara kedua jenis sumber daya ini, meskipun hasilnya serupa untuk keduanya.
+ **Persyaratan enkripsi**
+ Sumber daya yang tidak mendukung AWS Backup manajemen penuh harus tidak terenkripsi atau dienkripsi dengan Customer Managed Keys (). CMKs AWS Sumber daya terenkripsi Managed Key (AMK) tidak didukung oleh brankas yang memiliki celah udara secara logis.
**Praktik Terbaik**
+ Mulailah dengan migrasi percontohan sumber daya non-kritis.
+ Tinjau dan sesuaikan frekuensi cadangan berdasarkan kinerja pekerjaan penyalinan.
+ Menerapkan pemantauan komprehensif sebelum migrasi penuh.
+ Verifikasi secara teratur pembuatan titik pemulihan di brankas yang dimaksud.
### Merencanakan Migrasi Anda
+ Tinjau rencana dan kebijakan cadangan yang ada.
+ Identifikasi sumber daya mana yang mendukung AWS Backup manajemen penuh dan mana yang tidak.
+ Sumber daya yang mendukung AWS Backup manajemen penuh (misalnya, EFS, S3) - dapat membuat cadangan langsung ke brankas dengan celah udara secara logis
+ Sumber daya yang tidak mendukung AWS Backup manajemen penuh (misalnya, EC2, EBS, FSx) - memerlukan cadangan sementara di brankas cadangan sebelum disalin ke brankas celah udara secara logis
+ Tinjau volume dan frekuensi cadangan Anda saat ini dan pastikan konfigurasi Anda selaras dengan batas salinan bersamaan untuk semua sumber daya yang tidak mendukung manajemen penuh AWS Backup .
+ Lewati langkah ini Jika Anda sudah menyalin ke brankas dengan celah udara secara logis pada frekuensi yang sama dengan cadangan vault standar Anda.
+ Pertimbangkan untuk menyesuaikan frekuensi cadangan, jika diperlukan, untuk mencegah antrian pekerjaan salinan.
+ Jika antrian pekerjaan salin terjadi, Anda masih akan memiliki titik pemulihan yang dapat digunakan di brankas cadangan standar Anda sambil menunggu penyelesaian salinan ke brankas Anda yang memiliki celah udara secara logis. Namun, titik pemulihan itu tidak akan memberikan tingkat perlindungan yang ditawarkan oleh brankas celah udara secara logis.
### Sumber daya yang mendukung jalur migrasi AWS Backup manajemen penuh
Untuk sumber daya yang dikelola sepenuhnya, Anda dapat mencadangkan langsung ke brankas dengan celah udara secara logis tanpa memerlukan operasi penyalinan.
#### Untuk backup berbasis snapshot
Proses ini berlaku untuk semua skenario snapshot, terlepas dari apakah brankas cadangan Anda terkunci. Saat memigrasikan paket cadangan yang ada atau menggunakan brankas cadangan yang ada (utama) dan brankas yang memiliki celah udara (salin) secara logis dalam paket cadangan baru:
1. Pertahankan brankas cadangan yang ada atau tambahkan sebagai target cadangan (`TargetBackupVaultName`). Vault ini tidak akan menyimpan cadangan apa pun tetapi harus disediakan untuk kompatibilitas mundur.
1. Perbarui paket cadangan Anda untuk menyertakan vault (`TargetLogicallyAirGappedBackupVaultArn`) yang memiliki celah udara secara logis, yang ada di akun yang sama, sebagai target utama.
1. Tinjau tindakan penyalinan yang ada ke brankas lain yang memiliki celah udara secara logis untuk menentukan apakah masih diperlukan. Anda juga dapat memindahkan brankas ini sebagai target utama di Langkah 2 jika berada di akun yang sama.
#### Untuk pencadangan berkelanjutan Amazon S3
Vault yang memiliki celah udara secara logis sebagai target cadangan utama mendukung pencadangan berkelanjutan untuk Amazon S3. Namun, Anda hanya dapat mempertahankan satu titik pemulihan berkelanjutan aktif per sumber daya dalam satu brankas. Jika Anda memiliki titik pemulihan berkelanjutan Amazon S3 aktif yang sudah ada, Anda harus memisahkan atau menghapusnya sebelum membuat yang baru di brankas lain. Menambahkan target vault yang memiliki celah udara secara logis (dari akun yang sama) ke paket cadangan Anda, dengan titik pemulihan berkelanjutan Amazon S3 aktif yang ada, akan menyebabkan pekerjaan pencadangan berkelanjutan gagal.
**Untuk memigrasikan titik pemulihan berkelanjutan Amazon S3 ke brankas yang memiliki celah udara secara logis dari brankas cadangan yang tidak terkunci:**
1. Perbarui paket cadangan Anda untuk menambahkan tindakan penyalinan ke brankas Anda yang memiliki celah udara secara logis. Ini akan mengurangi biaya Anda untuk menghasilkan cadangan awal di brankas Anda yang memiliki celah udara secara logis. Lewati langkah ini jika Anda sudah menyalin ke brankas lokal yang memiliki celah udara secara logis.
1. Verifikasi bahwa setidaknya satu salinan snapshot berhasil diselesaikan di brankas Anda yang memiliki celah udara secara logis sebelum melanjutkan.
1. Lepaskan titik pemulihan berkelanjutan Amazon S3 yang ada. Panggil [DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)API untuk mengubah status titik pemulihan dari AVAILABLE menjadi STOPTED. Tindakan ini mempertahankan data cadangan yang ada sambil menghentikan data baru agar tidak ditambahkan.
1. Perbarui rencana cadangan untuk menambahkan vault (`TargetLogicallyAirGappedBackupVaultArn`) yang memiliki celah udara secara logis sebagai target cadangan.
1. Hapus tindakan salinan sebelumnya dalam paket.
1. Pada eksekusi rencana cadangan berikutnya, titik pemulihan berkelanjutan baru akan dibuat di brankas Anda yang memiliki celah udara secara logis. Titik pemulihan ini akan bersifat inkremental, berdasarkan snapshot yang disalin dari Langkah 1.
**Untuk memigrasikan titik pemulihan berkelanjutan Amazon S3 Anda ke brankas yang memiliki celah udara secara logis dari brankas cadangan yang terkunci:**
1. Perbarui paket cadangan Anda untuk menambahkan tindakan penyalinan ke brankas Anda yang memiliki celah udara secara logis. Ini akan mengurangi biaya Anda untuk menghasilkan cadangan awal di brankas Anda yang memiliki celah udara secara logis. Lewati langkah ini jika Anda sudah menyalin ke brankas lokal yang memiliki celah udara secara logis.
1. Verifikasi bahwa setidaknya satu salinan snapshot berhasil diselesaikan di brankas Anda yang memiliki celah udara secara logis sebelum melanjutkan. Pastikan snapshot yang disalin memiliki periode retensi yang cukup lama untuk tetap tersedia hingga Anda menyelesaikan semua langkah.
1. Tambahkan brankas dengan celah udara secara logis sebagai target utama dan hapus tindakan penyalinan apa pun.
1. Langkah ini diperlukan karena brankas yang terkunci tidak mendukung pemisahan titik pemulihan berkelanjutan.
1. Titik pemulihan berkelanjutan Anda yang ada di brankas cadangan yang terkunci akan terus mengumpulkan data hingga kedaluwarsa sesuai dengan siklus hidupnya.
1. Pekerjaan pencadangan berkelanjutan baru akan gagal karena hanya satu titik pemulihan berkelanjutan aktif yang dapat ada per sumber daya. Karena pekerjaan ini gagal, tidak ada tindakan penyalinan yang akan dijalankan.
1. Tunggu titik pemulihan berkelanjutan yang ada kedaluwarsa. Setelah kedaluwarsa, titik pemulihan berkelanjutan baru akan dibuat di brankas yang memiliki celah udara secara logis. Titik pemulihan ini akan bertambah berdasarkan snapshot yang disalin dari langkah 1, asalkan snapshot masih ada di brankas celah udara Anda secara logis.
1. Setiap data yang terkumpul di brankas standar Anda akan hilang setelah kedaluwarsa. Hanya data yang dicadangkan setelah pembuatan titik pemulihan baru di brankas dengan celah udara secara logis yang akan dipertahankan.
### Sumber daya tidak mendukung jalur migrasi AWS Backup manajemen penuh
Sumber daya yang tidak dikelola sepenuhnya memerlukan operasi penyalinan ke brankas yang memiliki celah udara secara logis. Proses ini membuat titik pemulihan sementara (dapat ditagih) di brankas cadangan standar Anda, yang secara otomatis disalin ke brankas celah udara Anda secara logis dan kemudian dihapus setelah salinan selesai. Saat Anda memperbarui paket cadangan untuk menyertakan target vault yang memiliki celah udara secara logis:
+ Pekerjaan Backup akan membuat titik pemulihan di brankas cadangan Anda. Ini memiliki siklus hidup yang ditentukan oleh peristiwa. `DELETE_AFTER_COPY`
+ Pekerjaan penyalinan secara otomatis memulai transfer titik pemulihan ke brankas Anda yang memiliki celah udara secara logis.
+ Setelah salinan berhasil diselesaikan, titik pemulihan sementara di brankas Anda dihapus.
+ Jika salinan gagal, titik pemulihan sementara dipertahankan untuk durasi maksimum sesuai dengan periode retensi yang Anda tentukan, memastikan Anda memiliki titik pemulihan yang dapat digunakan.
## Pemecahan masalah
### Pekerjaan backup atau salin gagal dengan kesalahan ketidakcocokan siklus hidup
**Kesalahan untuk pekerjaan cadangan:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`
**Kesalahan untuk menyalin pekerjaan:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`
**Kemungkinan penyebabnya:** Pekerjaan cadangan atau pekerjaan penyalinan gagal karena periode retensi tidak sesuai dengan pengaturan retensi minimum atau maksimum brankas yang memiliki celah udara secara logis.
**Resolusi:** Perbarui paket cadangan Anda untuk menentukan periode retensi yang termasuk dalam periode retensi minimum dan maksimum yang dikonfigurasi untuk brankas Anda yang memiliki celah udara secara logis.
### Pekerjaan pencadangan berkelanjutan gagal dengan “pencadangan berkelanjutan sudah diaktifkan”
**Kesalahan:** `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`
**Kemungkinan penyebabnya:** Pekerjaan pencadangan berkelanjutan gagal karena sudah ada titik pemulihan berkelanjutan untuk sumber daya di brankas lain.
**Resolusi:** Setiap sumber daya hanya dapat memiliki satu titik pemulihan berkelanjutan. Jika brankas cadangan Anda tidak terkunci, lepaskan titik pemulihan berkelanjutan yang ada menggunakan perintah. [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) Jika brankas cadangan Anda terkunci, tunggu hingga titik pemulihan berkelanjutan yang ada kedaluwarsa sesuai dengan siklus hidupnya.
### Pekerjaan Backup selesai dengan “Selesai dengan masalah” - Jenis sumber daya yang tidak didukung
**Pesan**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`
**Kemungkinan penyebabnya:** Pekerjaan cadangan untuk sumber daya yang tidak dikelola sepenuhnya yang tidak didukung menunjukkan “Selesai dengan masalah” dengan pesan yang menunjukkan bahwa sumber daya tidak didukung.
**Resolusi:** Jenis sumber daya yang tidak didukung hanya akan mencadangkan ke brankas cadangan. Jika Anda ingin menyimpan cadangan ini di brankas cadangan Anda, tidak diperlukan tindakan. Jika Anda memilih untuk tidak mencampur sumber daya yang tidak didukung dengan brankas yang memiliki celah udara secara logis, Anda dapat:
+ Hapus sumber daya atau target vault yang memiliki celah udara secara logis dari paket cadangan Anda untuk sumber daya ini dan lanjutkan mencadangkan ke brankas cadangan Anda saja. Anda selanjutnya dapat menambahkan sumber daya sebagai bagian dari rencana yang berbeda.
### Pekerjaan Backup selesai dengan “Selesai dengan masalah” - Kunci enkripsi tidak didukung
**Pesan**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`
**Kemungkinan penyebabnya:** Pekerjaan cadangan untuk sumber daya yang tidak dikelola sepenuhnya yang tidak didukung menunjukkan “Selesai dengan masalah” dengan pesan yang menunjukkan bahwa sumber daya dienkripsi dengan kunci terkelola. AWS
**Resolusi:** Sumber daya yang tidak dikelola sepenuhnya yang dienkripsi dengan kunci AWS terkelola tidak dapat disalin ke brankas dengan celah udara secara logis. Jika Anda ingin menyimpan cadangan ini di brankas cadangan Anda, tidak diperlukan tindakan. Jika Anda memilih untuk tidak mencampur sumber daya yang tidak didukung dengan brankas yang memiliki celah udara secara logis, Anda dapat:
+ Enkripsi ulang sumber daya Anda dengan kunci KMS yang dikelola pelanggan, atau
+ Hapus sumber daya atau target vault yang memiliki celah udara secara logis dari paket cadangan Anda untuk sumber daya ini dan lanjutkan mencadangkan ke brankas cadangan Anda saja. Anda selanjutnya dapat menambahkan sumber daya sebagai bagian dari rencana yang berbeda.
### Poin pemulihan tetap dalam `EXPIRED` keadaan
**Kemungkinan penyebabnya:** Transisi titik pemulihan sementara ke `EXPIRED` status tetapi tidak dihapus.
**Resolusi:** AWS Backup mungkin tidak memiliki izin untuk menghapus titik pemulihan. Verifikasi bahwa peran cadangan Anda memiliki izin IAM yang diperlukan. Anda mungkin perlu menghapus titik `expired` pemulihan secara manual.
### Salin pekerjaan antri atau gagal karena frekuensi cadangan yang tinggi
**Kemungkinan penyebabnya:** Menyalin pekerjaan ke brankas dengan celah udara secara logis mengantri atau gagal karena cadangan dijadwalkan lebih sering daripada yang dapat diselesaikan salinan.
**Resolusi:** Kurangi frekuensi pencadangan Anda atau sesuaikan jadwal pencadangan Anda untuk memungkinkan lebih banyak waktu di antara pencadangan. Lihat [dokumentasi AWS Backup kuota](aws-backup-limits.md#lag-vault-quotas-table) untuk informasi tentang batas salinan bersamaan.
# Persetujuan multi-pihak untuk brankas yang memiliki celah udara secara logis
## Ikhtisar persetujuan Multi-pihak di brankas yang memiliki celah udara secara logis
AWS Backup menawarkan Anda opsi untuk menambahkan [persetujuan Multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), kemampuan dari AWS Organizations, ke brankas Anda yang memiliki celah udara secara logis. Persetujuan multi-pihak memberikan opsi tambahan untuk membantu melindungi operasi penting melalui proses persetujuan terdistribusi.
Persetujuan multi-pihak dirancang untuk membantu melindungi sumber daya penting dan meminimalkan waktu untuk kembali beroperasi penuh, seperti gangguan yang disebabkan oleh pelaku jahat atau peristiwa malware. Pengaturan ini dapat membantu Anda memulihkan konten brankas celah udara yang secara logis yang mungkin telah dikompromikan.
[Tidak ada biaya tambahan untuk mengintegrasikan dan menggunakan tim persetujuan Multi-pihak dengan brankas yang memiliki AWS Backup celah udara secara logis (biaya penyimpanan dan transfer lintas wilayah berlaku, seperti yang ditunjukkan pada halaman harga).](https://aws.amazon.com/backup/pricing)
Sebagai AWS Backup pelanggan, Anda dapat menggunakan persetujuan Multi-pihak untuk memberikan kemampuan persetujuan dari beberapa operasi kepada sekelompok individu tepercaya yang secara kolaboratif dapat menyetujui akses ke brankas celah udara secara logis dari akun pemulihan yang dibuat secara terpisah dalam kasus dugaan aktivitas berbahaya yang dapat membahayakan penggunaan akun utama.
Langkah-langkah berikut menguraikan alur yang disarankan untuk menyiapkan AWS organisasi pemulihan, menyiapkan persetujuan Multi-pihak, dan kemudian menggunakan persetujuan Multi-pihak dengan brankas Anda yang memiliki celah udara secara logis:
1. Administrator [membuat organisasi baru melalui Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) yang akan digunakan untuk operasi pemulihan.
1. Di akun manajemen organisasi baru ini, administrator membuat dan mengonfigurasi instans Pusat Identitas IAM (IDC) (untuk mengaktifkan instans organisasi, lihat Aktifkan Pusat Identitas [IAM di Panduan Pengguna Pusat Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) *IAM*. Lihat juga urutan untuk [Membuat sumber identitas persetujuan multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) di *Panduan Pengguna persetujuan multi-pihak*.
1. Administrator kemudian akan [membuat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), kelompok inti individu tepercaya yang akan menjadi pengguna utama persetujuan Multi-pihak.
1. Administrator menggunakan AWS RAM untuk [berbagi tim persetujuan](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) dengan setiap akun yang memiliki brankas celah udara secara logis dan akun pemulihan yang perlu meminta akses pada brankas itu.
1. Administrator akun pemilik brankas yang memiliki celah udara secara logis [mengaitkan brankas dengan tim persetujuan.](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)
1. Akun pemulihan [meminta akses](multipartyapproval-tasks-requester.md#create-restore-access-vault) ke akun yang memiliki brankas celah udara secara logis dengan tim persetujuan Multi-pihak terkait (“tim”). Tim yang terkait dengan akun [menyetujui atau menolak permintaan tersebut.](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)
1. Admin akun yang memiliki brankas celah udara secara logis dapat meminta agar [tim persetujuan dilepaskan dari](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team) brankas. Permintaan tersebut membutuhkan persetujuan tim saat ini.
1. Administrator dapat [memperbarui keanggotaan tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) seperlunya sesuai dengan praktik keamanan mereka atau ketika orang bergabung atau meninggalkan organisasi Anda.
## Prasyarat dan praktik terbaik untuk menggunakan persetujuan Multi-pihak dengan brankas yang memiliki celah udara secara logis
Sebelum Anda dapat secara efektif dan aman menggunakan persetujuan Multi-pihak dengan brankas Anda yang memiliki celah udara secara logis, ada prasyarat dan praktik terbaik yang direkomendasikan.
**Praktik terbaik:**
+ Dua (atau lebih) AWS organisasi melalui Organizations. Satu harus menjadi organisasi utama Anda di mana Anda memiliki satu atau lebih akun yang memiliki setidaknya satu brankas celah udara secara logis. Organisasi sekunder harus menjadi organisasi pemulihan Anda. Di organisasi inilah tim persetujuan multi-pihak Anda akan dikelola.
**Prasyarat**
1. Anda telah [Mengatur persetujuan Multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) dan memiliki setidaknya satu tim persetujuan.
1. Setidaknya satu akun di organisasi utama Anda harus memiliki brankas yang memiliki celah udara secara logis (dan brankas cadangan asli).
1. Akun manajemen di organisasi utama ikut serta dalam persetujuan Multi-pihak.
**Tip**
AWS Backup merekomendasikan Anda menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi utama Anda dan mengonfigurasinya dengan izin yang sesuai untuk organisasi dan untuk setiap tim persetujuan. Lihat bagian [Ketentuan persetujuan multi-pihak](#multipartyapproval-terms) untuk kebijakan sampel.
1. Tim persetujuan multi-pihak Anda dari organisasi (pemulihan) sekunder [dibagikan melalui](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) akun Anda yang memiliki brankas AWS RAM dengan celah udara dan akun pemulihan Anda.
## Pertimbangan dan dependensi Lintas Wilayah saat menggunakan persetujuan Multi-pihak
Saat Anda mengaktifkan persetujuan Multi-pihak dan instans Pusat Identitas IAM Anda di Wilayah yang berbeda, persetujuan Multi-pihak melakukan panggilan di seluruh Wilayah ke Pusat Identitas IAM. Ini berarti bahwa informasi pengguna dan grup bergerak melintasi Wilayah. Persetujuan multi-pihak Sumber daya tim hanya dapat dibuat dan disimpan di Wilayah AWS AS Timur (Virginia N.).
Lainnya Wilayah AWS yang merujuk sumber daya tim persetujuan multi-pihak akan bergantung pada Wilayah AWS US East (Virginia N.). Dengan demikian, persetujuan Multi-pihak akan melakukan panggilan Lintas wilayah jika instans Pusat Identitas Anda and/or secara logis brankas celah udara tidak berada di US East (Virginia N.).
## Ketentuan persetujuan multi-pihak, konsep, dan persona pengguna
Persetujuan multi-pihak di brankas Anda yang memiliki celah udara secara logis adalah integrasi,, dan AWS Organizations AWS Account Management AWS Backup, bersama dengan fitur AWS Identity and Access Management (IAM) dan (RAM). AWS RAM Melalui CLI, Anda dapat berinteraksi dengan setiap layanan untuk mengirim perintah yang sesuai. Anda juga dapat menggunakan konsol, tetapi Anda harus menavigasi ke konsol layanan yang sesuai untuk menyelesaikan tugas tertentu.
Cara Anda berinteraksi dengan Persetujuan multi-pihak tergantung pada peran dan tanggung jawab Anda di organisasi Anda, serta izin yang Anda miliki di akun Anda AWS Backup .
***Seperti yang ditunjukkan dalam [Panduan Pengguna persetujuan Multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), anggota organisasi Anda yang menggunakan persetujuan multi-pihak akan menjadi ***pemohon***, ***administrator***, atau pemberi persetujuan.*** Izin khusus berlaku untuk setiap [fungsi pekerjaan](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). Sesuai dengan praktik terbaik keamanan, pengguna hanya boleh memenuhi satu fungsi pekerjaan.
**Konsol, portal, dan sesi**
AWS Backup akun dengan satu atau lebih brankas celah udara secara logis dapat menggunakan persetujuan multi-pihak.
Sebelum proses persetujuan multi-pihak, administrator menggunakan AWS Organizations untuk membuat organisasi sekunder untuk tujuan pemulihan (**organisasi pemulihan**) jika salah satu belum dibentuk sebelumnya.
Kemudian, administrator menggunakan AWS Resource Access Manager (RAM) untuk mengatur berbagi lintas organisasi antara organisasi utama dan organisasi pemulihan.
**Organisasi utama** adalah rumah bagi akun yang memiliki dan menggunakan brankas yang memiliki celah udara secara logis, yang menyimpan data yang dilindungi.
Organisasi pemulihan adalah rumah bagi setidaknya satu **akun pemulihan**. Akun ini memiliki titik akses yang dapat berfungsi sebagai 'pintu belakang' kritis ke brankas celah udara yang secara logis bersama. Titik akses ini disebut **restore access backup vault**. Vault akses ini tidak menyimpan data; sebagai gantinya, ini berfungsi sebagai titik akses atau pemasangan yang mencerminkan konten sumber brankas yang secara logis bercelah udara tetapi tidak berisi data yang dapat diubah atau dihapus. Misalnya, jika pelanggan melewati proses pemulihan untuk titik pemulihan di brankas cadangan akses pemulihan, itu adalah titik pemulihan di brankas celah udara yang secara logis dipulihkan melalui pemulihan lintas akun melalui akun pemulihan.
Untuk memastikan keamanan ekstra, pelanggan menggunakan akun pemulihan ini untuk melakukan operasi yang dilindungi di akun utama, tetapi hanya setelah operasi tersebut telah diberikan persetujuan oleh [tim persetujuan terkait dalam sesi persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Sesi dibuat oleh AWS setelah permintaan persetujuan telah dikirim, dan sesi itu berakhir ketika ambang batas persetujuan anggota tim menyetujui atau menolak permintaan atau ketika waktu sesi yang diizinkan telah berlalu.
*Sebuah tim terdiri dari **pemberi persetujuan** (secara efektif, bagian dari persetujuan Multi-pihak) yang menerima pemberitahuan email tentang permintaan operasi yang dilindungi.* Email ini mengonfirmasi bahwa sesi persetujuan telah dimulai untuk permintaan tersebut. Persetujuan diberikan setelah ambang batas minimum persetujuan yang diperlukan tercapai. Ambang batas ini dapat ditetapkan sebagai **tim persetujuan multi-pihak** (“Tim”) dibuat.
Tim persetujuan multi-pihak dikelola melalui **portal persetujuan multi-pihak Organizations (“portal”), aplikasi AWS terkelola** yang memberikan identitas lokasi terpusat di mana anggota tim persetujuan dapat menerima dan menanggapi undangan tim persetujuan dan permintaan operasi.
# Tugas administrator
Beberapa tugas yang melibatkan AWS Backup dan ikhtisar Multi-pihak membutuhkan pengguna dengan izin admin dan akses ke akun manajemen.
## Buat tim persetujuan
Pengguna di organisasi Anda dengan izin admin untuk AWS akun perlu [menyiapkan persetujuan multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (langkah 3 dalam [Ikhtisar](multipartyapproval.md#multipartyapproval-overview)).
Sebelum melakukan langkah ini, disarankan sebagai praktik terbaik Anda memiliki organisasi primer dan organisasi sekunder (untuk tujuan pemulihan) yang diatur melalui AWS Organizations (langkah 1 dalam [Ikhtisar](multipartyapproval.md#multipartyapproval-overview).
Lihat [Membuat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dalam *panduan pengguna persetujuan multi-pihak* untuk membuat tim Anda.
Selama [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)operasi, salah satu parameternya adalah`policies`. Ini adalah daftar ARNs (Nama Sumber Daya Amazon) untuk kebijakan sumber daya persetujuan multi-pihak yang menentukan izin yang melindungi tim.
Kebijakan yang ditampilkan dalam contoh di *Panduan Pengguna persetujuan multi-pihak* dalam prosedur [Membuat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) berisi kebijakan `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` dengan beberapa izin yang diperlukan.
Ikuti langkah-langkah berikut untuk mengembalikan daftar kebijakan yang tersedia dengan menggunakan`mpa list-policies`:
1. Daftar Kebijakan:
```
aws mpa list-policies --region us-east-1
```
1. Daftar semua versi kebijakan:
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. Dapatkan detail tentang kebijakan:
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
Perluas di bawah ini untuk melihat kebijakan yang akan dibuat kemudian dilampirkan ke tim persetujuan Anda melalui operasi ini:
### Mengembalikan kebijakan akses vault
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## Bagikan tim persetujuan Multi-pihak menggunakan AWS RAM
Anda dapat berbagi tim persetujuan multi-pihak dengan AWS akun lain menggunakan [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), langkah 4 dalam [ikhtisar](multipartyapproval.md#multipartyapproval-overview).
------
#### [ Console ]
**Bagikan tim persetujuan Multi-pihak menggunakan AWS RAM**
1. Masuk ke [konsol AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1) tersebut.
1. Di panel navigasi, pilih **Pembagian sumber daya**.
1. Pilih **Buat berbagi sumber daya**.
1. Di bidang **Nama**, masukkan nama deskriptif untuk berbagi sumber daya Anda.
1. Di bawah **Jenis sumber daya**, pilih **Tim persetujuan multi-pihak** dari menu tarik-turun.
1. Di bawah **Sumber daya**, pilih tim persetujuan yang ingin Anda bagikan.
1. Di bawah **Prinsipal**, tentukan AWS akun dengan siapa Anda ingin berbagi tim persetujuan.
1. Untuk berbagi dengan AWS akun tertentu, pilih **AWS akun** dan masukkan akun IDs 12 digit.
1. Untuk berbagi dengan organisasi atau unit organisasi, pilih **Organisasi** atau **Unit Organisasi** dan masukkan ID yang sesuai.
1. (*Opsional*) Di bawah **Tag**, tambahkan tag apa pun yang ingin Anda kaitkan dengan pembagian sumber daya ini.
1. Pilih **Buat berbagi sumber daya**.
Status pembagian sumber daya awalnya akan ditampilkan sebagai`PENDING`. Setelah akun penerima menerima undangan, status akan berubah menjadi`ACTIVE`.
------
#### [ CLI ]
Untuk berbagi tim persetujuan Multi-pihak menggunakan AWS RAM melalui CLI, gunakan perintah berikut:
Pertama, identifikasi ARN dari tim persetujuan yang ingin Anda bagikan:
```
aws mpa list-approval-teams --region us-east-1
```
Buat berbagi sumber daya menggunakan create-resource-share perintah:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
Untuk berbagi dengan organisasi, bukan akun tertentu:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
Periksa status pembagian sumber daya Anda:
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
Akun penerima harus menerima undangan berbagi sumber daya:
```
aws ram get-resource-share-invitations --region us-east-1
```
Jalankan di akun penerima untuk menerima undangan:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
Setelah undangan diterima, tim persetujuan Multi-pihak akan tersedia untuk digunakan di akun penerima.
------
AWS menawarkan alat untuk berbagi akses akun, termasuk melalui [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)dan [akses Multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Saat Anda memilih untuk berbagi brankas yang memiliki celah udara secara logis dengan akun lain, pertimbangkan detail berikut:
| Fitur | AWS RAM berbagi berbasis | Akses berbasis persetujuan multi-pihak |
| --- | --- | --- |
| Akses ke brankas yang memiliki celah udara secara logis | Setelah pembagian RAM selesai, brankas dapat diakses. | Setiap upaya oleh akun yang berbeda harus disetujui oleh jumlah ambang batas anggota tim persetujuan Multi-pihak. Sesi persetujuan secara otomatis berakhir 24 jam setelah permintaan dimulai. |
| Penghapusan akses | Akun yang memiliki brankas air-gapped secara logis dapat mengakhiri berbagi berbasis RAM kapan saja. | Akses ke vault hanya dapat dihapus dengan permintaan ke tim persetujuan Multi-pihak. |
| Salin di seluruh akun and/or Wilayah | Saat ini tidak didukung. | Cadangan dapat disalin dalam akun yang sama atau dengan akun lain di organisasi yang sama dengan akun pemulihan. |
| Tagihan transfer lintas wilayah | | Transfer Lintas Wilayah ditagih ke akun yang sama yang memiliki brankas cadangan akses pemulihan. |
| Penggunaan yang disarankan | Penggunaan utama adalah untuk pemulihan kehilangan data dan untuk pengujian pemulihan. | Penggunaan utama adalah untuk situasi di mana akses akun atau keamanan diduga dikompromikan. |
| Daerah | Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara. | Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara. |
| Mengembalikan | Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama. | Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama. |
| Pengaturan | Berbagi dapat terjadi segera setelah AWS Backup akun mengatur berbagi RAM dan akun penerima menerima pembagian. | Berbagi mengharuskan akun manajemen untuk membuat tim terlebih dahulu, lalu mengatur berbagi RAM. Kemudian, akun manajemen memilih persetujuan Multi-pihak dan menugaskan tim itu ke brankas yang memiliki celah udara secara logis. |
| Berbagi | Berbagi dilakukan melalui RAM dalam AWS organisasi yang sama atau lintas AWS organisasi. Akses diberikan sesuai dengan model 'push', di mana akun yang memiliki brankas celah udara secara logis pertama kali memberikan akses. Kemudian, akun lain menerima akses. | Akses ke brankas yang memiliki celah udara secara logis adalah melalui tim persetujuan yang didukung Organisasi dalam organisasi yang sama atau di seluruh AWS organisasi. Akses diberikan sesuai dengan model 'tarik', di mana akun penerima pertama meminta akses, kemudian tim persetujuan memberikan atau menolak permintaan tersebut. |
# Tugas pemohon
## Kaitkan tim persetujuan Multi-pihak dengan brankas yang memiliki celah udara secara logis
Pemohon: **Pengguna dengan akses ke akun yang memiliki brankas celah udara secara logis**.
[Anda dapat mengaitkan tim persetujuan Multi-pihak dengan brankas yang memiliki celah udara secara logis untuk mengaktifkan persetujuan kolaboratif untuk akses ke brankas (langkah 5 di Ikhtisar).](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Kaitkan tim persetujuan Multi-pihak dengan brankas yang memiliki celah udara secara logis**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Arahkan ke bagian **Backup vaults** di panel navigasi kiri.
1. Pilih brankas cadangan yang memiliki celah udara yang ingin Anda kaitkan dengan tim MPA.
1. Pada halaman **detail vault**, pilih **Tetapkan tim persetujuan**.
1. Dari menu tarik-turun, pilih tim persetujuan yang ingin Anda kaitkan dengan vault
1. *Opsional* Masukkan komentar yang menjelaskan alasan asosiasi.
1. Pilih **Kirim permintaan** untuk mengirimkan permintaan asosiasi.
Jika ini adalah tim persetujuan pertama yang dikaitkan dengan brankas, tim akan dikaitkan dengan brankas. Jika vault sudah memiliki tim terkait, lihat [Memperbarui tim persetujuan multi-pihak](#update-multpartyapproval-team) untuk mengetahui langkah-langkahnya.
------
#### [ CLI ]
Gunakan perintah CLI`associate-backup-vault-mpa-approval-team`, dimodifikasi dengan parameter berikut:
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Jika ini adalah tim persetujuan pertama yang dikaitkan dengan brankas, tim akan dikaitkan dengan brankas. Jika vault sudah memiliki tim terkait, lihat [Memperbarui tim persetujuan multi-pihak](#update-multpartyapproval-team) untuk mengetahui langkah-langkahnya.
------
## Minta akses ke brankas yang memiliki celah udara secara logis
Pemohon: **Pengguna dengan akses ke akun pemulihan**.
[Anda dapat meminta akses ke brankas yang memiliki celah udara secara logis di akun lain (langkah 6 di Ikhtisar).](multipartyapproval.md#multipartyapproval-overview)
Setelah tim persetujuan mengabulkan permintaan, AWS Backup buat brankas cadangan akses pemulihan di akun pemulihan yang Anda tentukan sehingga akun akan memiliki akses ke titik pemulihan di brankas celah udara yang terhubung secara logis.
------
#### [ Console ]
**Minta akses ke brankas yang memiliki celah udara secara logis**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Arahkan ke bagian **Backup vaults** di panel navigasi kiri
1. Pilih **Vaults yang dapat diakses melalui tab MPA**
1. Pilih **Minta akses vault**.
1. Masukkan brankas cadangan sumber ARN dari brankas celah udara logis yang ingin Anda akses.
1. Masukkan nama opsional untuk brankas cadangan akses pemulihan. Jika Anda tidak memasukkan nama, AWS Backup akan menetapkan nama berdasarkan nama brankas celah udara logis.
1. Masukkan komentar pemohon opsional yang menjelaskan alasan permintaan akses.
1. Pilih **Kirim permintaan** untuk mengirimkan permintaan akses.
Anggota tim persetujuan yang terkait dengan brankas sumber akan menerima pemberitahuan email untuk menyetujui permintaan tersebut.
Setelah permintaan disetujui oleh nomor yang diperlukan (“ambang batas”) anggota tim, brankas cadangan akses pemulihan akan dibuat di akun pemulihan.
------
#### [ CLI ]
Gunakan perintah CLI: `create-restore-access-backup-vault`
```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Anggota tim persetujuan MPA yang terkait dengan brankas sumber akan menerima pemberitahuan untuk menyetujui permintaan tersebut. Setelah permintaan disetujui oleh nomor yang diperlukan (“ambang batas”) anggota tim, brankas cadangan akses pemulihan akan dibuat di akun pemulihan.
Anda dapat memeriksa status brankas menggunakan:
```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```
------
## Putuskan tim persetujuan multi-pihak dari brankas celah udara secara logis
Pemohon: **Administrator akun yang memiliki brankas celah udara secara logis**.
[Anda dapat memisahkan tim persetujuan Multi-pihak dari brankas yang memiliki celah udara secara logis (langkah 7 di Ikhtisar).](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Putuskan tim persetujuan dari brankas yang celah udara secara logis**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Arahkan ke bagian **Backup vaults** di panel navigasi kiri.
1. Pilih brankas cadangan yang memiliki celah udara secara logis tempat Anda ingin memisahkan tim persetujuan.
1. Pada halaman **detail Vault**, pilih Putuskan **tim persetujuan**.
1. Masukkan komentar pemohon opsional yang menjelaskan alasan disasosiasi.
1. Pilih **Kirim permintaan** untuk mengirimkan permintaan disasosiasi.
Anggota tim persetujuan saat ini akan menerima pemberitahuan untuk menyetujui permintaan tersebut.
Setelah disetujui oleh jumlah anggota tim yang diperlukan, tim akan dipisahkan dari brankas.
------
#### [ CLI ]
Gunakan perintah CLI: `disassociate-backup-vault-mpa-approval-team`
```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Anggota tim persetujuan MPA saat ini akan menerima pemberitahuan untuk menyetujui permintaan tersebut. Setelah disetujui oleh jumlah anggota tim yang diperlukan, tim akan dipisahkan dari brankas.
------
## Cabut kembalikan brankas cadangan akses
Pemohon: **Administrator akun yang memiliki brankas celah udara secara logis**.
Anda dapat mencabut akses ke brankas cadangan akses pemulihan dari akun sumber vault.
------
#### [ Console ]
**Cabut kembalikan brankas cadangan akses**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Arahkan ke bagian **Backup vaults** di panel navigasi kiri.
1. Pilih brankas cadangan yang memiliki celah udara yang ingin Anda cabut aksesnya.
1. Pada halaman **detail Vault**, gulir ke bawah ke bagian **Access through Multi-party approval**.
1. Temukan brankas cadangan akses pemulihan yang ingin dicabut, lalu pilih **Minta untuk menghapus** akses vault.
1. Masukkan komentar pemohon opsional yang menjelaskan alasan pencabutan.
1. Pilih **Kirim permintaan** untuk mengirimkan permintaan pencabutan.
Anggota tim persetujuan akan menerima pemberitahuan untuk menyetujui permintaan tersebut.
Setelah disetujui oleh jumlah anggota tim yang diperlukan, brankas cadangan akses pemulihan akan dihapus dari akun pemulihan
------
#### [ CLI ]
Pertama, cantumkan brankas cadangan akses pemulihan yang terkait dengan brankas sumber Anda:
```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```
Kemudian, gunakan perintah CLI: `revoke-restore-access-backup-vault`
```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Anggota tim persetujuan akan menerima pemberitahuan untuk menyetujui permintaan tersebut. Setelah disetujui oleh jumlah anggota tim yang diperlukan, brankas cadangan akses pemulihan akan dihapus dari akun pemulihan.
------
## Perbarui tim persetujuan Multi-pihak yang terkait dengan brankas yang memiliki celah udara secara logis
Pemohon: **Administrator akun yang memiliki brankas celah udara secara logis**.
[Anda dapat memperbarui tim persetujuan Multi-pihak yang terkait dengan brankas yang memiliki celah udara secara logis (langkah 8 di Ikhtisar).](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Perbarui tim persetujuan yang terkait dengan brankas yang memiliki celah udara secara logis**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Arahkan ke bagian **Backup vaults** di panel navigasi kiri.
1. Pilih brankas cadangan dengan celah udara yang ingin Anda perbarui tim persetujuannya.
1. Pada halaman detail vault, pilih **Minta perubahan tim persetujuan**.
1. Dari menu tarik-turun, pilih tim persetujuan baru yang ingin Anda kaitkan dengan brankas.
1. Masukkan komentar pemohon opsional yang menjelaskan alasan perubahan.
1. Pilih **Kirim permintaan** untuk mengirimkan permintaan perubahan.
Anggota tim persetujuan saat ini akan menerima pemberitahuan email untuk menyetujui permintaan tersebut.
Setelah disetujui oleh jumlah anggota tim yang diperlukan (ambang batas) dari tim MPA saat ini, tim baru akan dikaitkan dengan brankas.
------
#### [ CLI ]
Gunakan perintah CLI `associate-backup-vault-mpa-approval-team` dengan tim baru ARN:
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Anggota tim persetujuan saat ini akan menerima pemberitahuan untuk menyetujui permintaan tersebut. Setelah disetujui oleh jumlah anggota tim yang diperlukan (ambang batas) dari tim saat ini, tim MPA baru akan dikaitkan dengan brankas.
------
# Tugas persetujuan
Pengguna yang merupakan anggota tim persetujuan Multi-pihak dapat [menyetujui atau menolak permintaan](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) yang merupakan bagian dari sesi. Tugas lainnya meliputi:
+ [Menanggapi operasi yang diminta](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Lihat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Lihat riwayat operasi](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)
# Kebijakan akses vault
Dengan AWS Backup, Anda dapat menetapkan kebijakan ke brankas cadangan dan sumber daya yang dikandungnya. Menetapkan kebijakan memungkinkan Anda melakukan hal-hal seperti memberikan akses kepada pengguna untuk membuat paket cadangan dan pencadangan sesuai permintaan, tetapi membatasi kemampuan mereka untuk menghapus titik pemulihan setelah dibuat.
*Untuk informasi tentang penggunaan kebijakan untuk memberikan atau membatasi akses ke sumber daya, lihat Kebijakan Berbasis [Identitas dan Kebijakan Berbasis Sumber Daya di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).* Anda juga dapat mengontrol akses menggunakan tag.
Anda dapat menggunakan contoh kebijakan berikut sebagai panduan untuk membatasi akses ke sumber daya saat Anda bekerja dengan AWS Backup vault. Tidak seperti kebijakan berbasis IAM lainnya, kebijakan AWS Backup akses tidak mendukung wildcard di kunci. `Action`
Untuk daftar Nama Sumber Daya Amazon (ARNs) yang dapat Anda gunakan untuk mengidentifikasi titik pemulihan untuk jenis sumber daya yang berbeda, lihat [AWS Backup sumber daya ARNs](access-control.md#resource-arns-table) untuk titik pemulihan khusus sumber daya. ARNs
Kebijakan akses Vault hanya mengontrol akses pengguna ke AWS Backup APIs. Beberapa jenis cadangan, seperti snapshot Amazon Elastic Block Store (Amazon EBS) dan Amazon Relational Database Service (Amazon RDS), juga dapat diakses menggunakan layanan tersebut. APIs Anda dapat membuat kebijakan akses terpisah di IAM yang mengontrol akses ke mereka APIs untuk sepenuhnya mengontrol akses ke jenis cadangan tersebut.
Terlepas dari kebijakan akses AWS Backup vault, akses lintas akun untuk tindakan apa pun selain `backup:CopyIntoBackupVault` akan ditolak; yaitu, AWS Backup akan menolak permintaan lain dari akun yang berbeda dari akun sumber daya yang direferensikan.
**Topics**
+ [Tolak akses ke jenis sumber daya di brankas cadangan](#deny-access-to-ebs-snapshots)
+ [Tolak akses ke brankas cadangan](#deny-access-to-a-backup-vault)
+ [Tolak akses untuk menghapus titik pemulihan di brankas cadangan](#deny-access-to-delete-recovery-points)
## Tolak akses ke jenis sumber daya di brankas cadangan
Kebijakan ini menolak akses ke operasi API yang ditentukan untuk semua snapshot Amazon EBS di brankas cadangan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyRecoveryPointOperations",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyRole"
},
"Action": [
"backup:UpdateRecoveryPointLifecycle",
"backup:DescribeRecoveryPoint",
"backup:DeleteRecoveryPoint",
"backup:GetRecoveryPointRestoreMetadata",
"backup:StartRestoreJob"
],
"Resource": [
"arn:aws:ec2:*:*:snapshot/*"
]
}
]
}
```
------
## Tolak akses ke brankas cadangan
Kebijakan ini menolak akses ke operasi API tertentu yang menargetkan brankas cadangan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyBackupVaultOperations",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MyRole"
},
"Action": [
"backup:DescribeBackupVault",
"backup:DeleteBackupVault",
"backup:PutBackupVaultAccessPolicy",
"backup:DeleteBackupVaultAccessPolicy",
"backup:GetBackupVaultAccessPolicy",
"backup:StartBackupJob",
"backup:GetBackupVaultNotifications",
"backup:PutBackupVaultNotifications",
"backup:DeleteBackupVaultNotifications",
"backup:ListRecoveryPointsByBackupVault"
],
"Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
}
]
}
```
------
## Tolak akses untuk menghapus titik pemulihan di brankas cadangan
Akses ke brankas dan kemampuan untuk menghapus titik pemulihan yang tersimpan di dalamnya ditentukan oleh akses yang Anda berikan kepada pengguna Anda.
Ikuti langkah-langkah berikut untuk membuat kebijakan akses berbasis sumber daya pada brankas cadangan yang mencegah penghapusan cadangan apa pun di brankas cadangan.
**Untuk membuat kebijakan akses berbasis sumber daya di brankas cadangan**
1. Masuk ke Konsol Manajemen AWS, dan buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Di panel navigasi di sebelah kiri, pilih **Backup vaults**.
1. Pilih brankas cadangan dalam daftar.
1. Di bagian **Kebijakan akses**, tempel contoh JSON berikut. Kebijakan ini mencegah siapa pun yang bukan prinsipal menghapus titik pemulihan di brankas cadangan target.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "backup:DeleteRecoveryPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:userId": [
"AIDA1234567890EXAMPLE",
"AROA1234567890EXAMPLE:my-role-session",
"AROA1234567890EXAMPLE:*",
"112233445566"
]
}
}
}
]
}
```
------
Untuk mengizinkan identitas IAM daftar menggunakan ARN mereka, gunakan kunci kondisi `aws:PrincipalArn` global dalam contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteRecoveryPoint",
"Effect": "Deny",
"Principal": "*",
"Action": "backup:DeleteRecoveryPoint",
"Resource": "*",
"Condition": {
"ArnNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::112233445566:role/mys3role",
"arn:aws:iam::112233445566:user/shaheer",
"arn:aws:iam::112233445566:root"
]
}
}
}
]
}
```
------
Untuk informasi tentang mendapatkan ID unik untuk entitas IAM, lihat [Mendapatkan pengenal unik di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id) Pengguna *IAM*.
Jika Anda ingin membatasi ini ke jenis sumber daya tertentu, alih-alih`"Resource": "*"`, Anda dapat secara eksplisit menyertakan jenis titik pemulihan untuk ditolak. Misalnya, untuk snapshot Amazon EBS, ubah jenis sumber daya menjadi yang berikut.
```
"Resource": ["arn:aws:ec2::Region::snapshot/*"]
```
1. Pilih **Lampirkan kebijakan**.
# AWS Backup Kunci Lemari Brankas
**catatan**
AWS Backup Vault Lock telah dinilai oleh Cohasset Associates untuk digunakan di lingkungan yang tunduk pada peraturan SEC 17a-4, CFTC, dan FINRA. Untuk informasi selengkapnya tentang bagaimana AWS Backup Vault Lock berhubungan dengan peraturan ini, lihat Penilaian Kepatuhan [Cohasset Associates](samples/cohassetreport.zip).
AWS Backup Vault Lock adalah fitur opsional dari brankas cadangan, yang dapat membantu memberi Anda keamanan dan kontrol tambahan atas brankas cadangan Anda. Ketika kunci aktif dalam mode Kepatuhan dan waktu tenggang berakhir, konfigurasi vault tidak dapat diubah atau dihapus oleh pelanggan, account/data pemilik, atau AWS selama berisi titik pemulihan. Setiap lemari besi dapat memiliki satu kunci brankas di tempatnya.
AWS Backup memastikan bahwa cadangan Anda tersedia untuk Anda sampai mereka mencapai berakhirnya periode retensi mereka. Jika ada pengguna (termasuk pengguna root) yang mencoba menghapus cadangan atau mengubah properti siklus hidup di brankas yang terkunci, AWS Backup akan menolak operasi.
+ Vault yang terkunci dalam **mode tata kelola** dapat menghapus kunci oleh pengguna dengan izin IAM yang memadai.
+ Vault yang terkunci dalam **mode kepatuhan** *tidak dapat dihapus* setelah periode pendinginan (” **waktu tenggang** “) berakhir jika ada titik pemulihan yang ada di brankas. Selama waktu tenggang, Anda masih dapat menghapus kunci brankas dan mengubah konfigurasi kunci.
**Awas**
Setelah waktu tenggang berakhir, brankas dan kuncinya tidak dapat diubah dan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS Pencadangan dalam brankas yang terkunci tidak dapat dihapus hingga siklus hidupnya selesai, menghasilkan biaya tetap jika Anda tidak berhati-hati. Misalnya, pastikan tidak ada titik pemulihan dengan periode retensi yang diatur ke “selalu” — setelah waktu tenggang berakhir, titik pemulihan ini akan dipertahankan selamanya dan tidak dapat diubah atau dihapus.
## Mode kunci vault
Saat Anda membuat kunci vault, Anda memiliki dua pilihan mode: Mode **tata kelola atau mode** **Kepatuhan**. Mode tata kelola dimaksudkan untuk memungkinkan brankas dikelola hanya oleh pengguna dengan hak istimewa IAM yang memadai. Mode tata kelola membantu organisasi memenuhi persyaratan tata kelola, memastikan hanya personel yang ditunjuk yang dapat membuat perubahan pada brankas cadangan. Mode kepatuhan ditujukan untuk brankas cadangan di mana brankas (dan dengan ekstensi, isinya) diharapkan tidak akan pernah dihapus atau diubah hingga periode penyimpanan data selesai. Setelah brankas dalam mode kepatuhan terkunci, itu tidak **dapat diubah**, artinya kunci *tidak dapat dihapus* (brankas itu sendiri dapat dihapus jika kosong dan tidak berisi titik pemulihan apa pun).
Vault yang terkunci dalam Mode tata kelola dapat dikelola atau dihapus oleh pengguna yang memiliki izin IAM yang sesuai.
Kunci brankas dalam mode Kepatuhan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS Kunci brankas dalam mode kepatuhan memiliki masa tenggang yang Anda atur sebelum terkunci dan konten serta kunci brankas menjadi tidak dapat diubah.
## Manfaat kunci vault
AWS Backup Vault Lock memberikan beberapa manfaat, antara lain:
+ Konfigurasi WORM (*tulis-sekali, baca-banyak*) untuk semua cadangan yang Anda simpan dan buat di brankas cadangan.
+ Lapisan pertahanan tambahan yang melindungi cadangan (titik pemulihan) di brankas cadangan Anda dari penghapusan yang tidak disengaja atau berbahaya.
+ Penegakan periode retensi, yang mencegah penghapusan dini oleh pengguna istimewa (termasuk pengguna Akun AWS root), dan memenuhi kebijakan dan prosedur perlindungan data organisasi Anda.
## Kunci brankas cadangan menggunakan konsol
Anda dapat menambahkan kunci vault ke AWS Backup Vault menggunakan konsol Backup.
Untuk menambahkan kunci vault ke brankas cadangan Anda:
1. Masuk ke Konsol Manajemen AWS, dan buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Di panel navigasi, temukan Brankas **Cadangan**. **Klik tautan yang bersarang di bawah Brankas Cadangan yang disebut kunci Vault.**
1. Di bawah **Cara kerja kunci vault** atau kunci **Vault, klik \$1 Buat kunci** **vault**.
1. Di panel **Detail kunci Vault**, pilih brankas mana yang ingin Anda gunakan untuk mengunci.
1. Di bawah **mode kunci Vault pilih mode** mana Anda ingin brankas Anda terkunci. Untuk informasi selengkapnya tentang memilih mode, lihat [Mode kunci Vault](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes) sebelumnya di halaman ini.
1. Untuk **periode Retensi**, pilih periode retensi minimum dan maksimum (periode retensi adalah *opsional*). Pekerjaan pencadangan dan penyalinan baru yang dibuat di vault akan gagal jika tidak sesuai dengan periode penyimpanan yang Anda tetapkan; periode ini tidak akan berlaku untuk titik pemulihan yang sudah ada di brankas. Titik pemulihan yang ada di lemari besi sebelum kunci vault diaktifkan akan mengikuti pengaturan siklus hidup sebelumnya.
1. Jika Anda memilih mode kepatuhan, bagian yang disebut **Tanggal mulai kunci Vault** akan ditampilkan. Jika Anda memilih mode Tata Kelola, ini tidak akan ditampilkan, dan langkah ini dapat dilewati.
Dalam mode kepatuhan, kunci brankas memiliki periode pendinginan dari pembuatan kunci lemari besi hingga lemari besi dan kuncinya menjadi tidak dapat diubah dan tidak dapat diubah. Anda memilih durasi periode ini (disebut **waktu tenggang**), meskipun harus *minimal* 3 hari (72 jam).
**penting**
Setelah waktu tenggang berakhir, brankas dan kuncinya tidak dapat diubah dan tidak dapat diubah atau dihapus oleh pengguna mana pun atau oleh. AWS
1. Bila Anda puas dengan pilihan konfigurasi, klik **Create vault lock**.
1. Untuk mengonfirmasi bahwa Anda ingin membuat kunci ini dalam mode yang dipilih, ketik `confirm` kotak teks, lalu centang kotak yang mengakui konfigurasi sebagaimana dimaksud.
Jika langkah-langkah telah berhasil diselesaikan, spanduk “Sukses” akan muncul di bagian atas konsol.
## Kunci brankas cadangan secara terprogram
Untuk mengonfigurasi AWS Backup Vault Lock, gunakan API`[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`. Parameter yang akan disertakan akan tergantung pada mode kunci vault mana yang Anda inginkan. Jika Anda ingin membuat kunci brankas dalam mode tata kelola, **jangan** sertakan. `ChangeableForDays` Jika parameter ini disertakan, kunci vault akan dibuat dalam mode kepatuhan.
Berikut adalah contoh CLI dari pembuatan kunci vault mode kepatuhan:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--changeable-for-days 3 \
--min-retention-days 7 \
--max-retention-days 30
```
Berikut adalah contoh CLI dari pembuatan kunci brankas mode tata kelola:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--min-retention-days 7 \
--max-retention-days 30
```
Anda dapat mengkonfigurasi empat opsi.
1. `BackupVaultName`
Nama lemari besi untuk dikunci.
1. `ChangeableForDays`(termasuk *hanya* untuk mode kepatuhan)
Parameter ini menginstruksikan AWS Backup untuk membuat kunci vault dalam mode **kepatuhan**. Hilangkan parameter ini jika Anda bermaksud membuat kunci dalam mode **tata kelola.**
Nilai ini dinyatakan dalam beberapa hari. Itu harus angka tidak kurang dari 3 dan tidak lebih dari 36.500; jika tidak, kesalahan akan kembali.
Dari pembuatan kunci brankas ini hingga berakhirnya tanggal yang ditentukan, kunci vault dapat dihapus dari lemari besi menggunakan. `DeleteBackupVaultLockConfiguration` Atau, selama waktu ini, Anda dapat mengubah konfigurasi menggunakan`PutBackupVaultLockConfiguration`.
Pada dan setelah tanggal yang ditentukan ditentukan oleh parameter ini, brankas cadangan akan tidak dapat diubah dan tidak dapat diubah atau dihapus.
1. `MaxRetentionDays`*(opsional)*
Ini adalah nilai numerik yang dinyatakan dalam hari. Ini adalah periode retensi maksimum dimana brankas mempertahankan titik pemulihannya.
Kerangka waktu retensi maksimum yang Anda pilih harus selaras dengan kebijakan organisasi Anda untuk menyimpan data. Jika organisasi Anda menginstruksikan data untuk disimpan selama suatu periode, nilai ini dapat diatur ke periode tersebut (dalam beberapa hari). Misalnya, data keuangan atau perbankan mungkin diperlukan untuk disimpan selama 7 tahun (sekitar 2.557 hari, tergantung pada tahun kabisat).
Jika tidak ditentukan, AWS Backup Vault Lock tidak akan menerapkan periode retensi maksimum. Jika ditentukan, cadangan dan salin pekerjaan ke vault ini dengan periode retensi siklus hidup yang lebih lama dari periode retensi maksimum akan gagal. Titik pemulihan yang sudah disimpan di brankas sebelum pembuatan kunci vault tidak terpengaruh. Periode retensi maksimum terpanjang yang dapat Anda tentukan adalah 36500 hari (sekitar 100 tahun).
1. `MinRetentionDays`(*opsional*; diperlukan untuk CloudFormation)
Ini adalah nilai numerik yang dinyatakan dalam hari. Ini adalah periode retensi minimum dimana vault mempertahankan titik pemulihannya. Pengaturan ini harus diatur ke jumlah waktu organisasi Anda *diperlukan* untuk memelihara data. Misalnya, jika peraturan atau undang-undang mengharuskan data disimpan setidaknya selama tujuh tahun, nilainya dalam hari akan menjadi sekitar 2.557, tergantung pada tahun kabisat.
Jika tidak ditentukan, AWS Backup Vault Lock tidak akan memberlakukan periode retensi minimum. Jika ditentukan, cadangan dan salin pekerjaan ke vault ini dengan periode retensi siklus hidup yang lebih pendek dari periode retensi minimum akan gagal. Titik pemulihan yang sudah disimpan di brankas sebelum AWS Backup Vault Lock tidak terpengaruh. Periode retensi minimum terpendek yang dapat Anda tentukan adalah 1 hari.
## Tinjau brankas cadangan untuk konfigurasi AWS Backup Vault Lock
Anda dapat meninjau detail AWS Backup Vault Lock di brankas kapan saja dengan menelepon `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` atau. `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs
Untuk menentukan apakah Anda menerapkan kunci vault ke brankas cadangan, hubungi `DescribeBackupVault` dan periksa properti. `Locked` Jika`"Locked": true`, seperti contoh berikut, Anda telah menerapkan AWS Backup Vault Lock ke brankas cadangan Anda.
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 1,
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30,
"LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```
Output sebelumnya mengkonfirmasi opsi berikut:
1. `Locked`adalah Boolean yang menunjukkan apakah Anda telah menerapkan AWS Backup Vault Lock ke brankas cadangan ini. `True`berarti bahwa AWS Backup Vault Lock menyebabkan operasi penghapusan atau pembaruan ke titik pemulihan yang disimpan di brankas gagal (terlepas dari apakah Anda masih dalam masa tenggang waktu pendinginan).
1. `LockDate`adalah tanggal dan waktu UTC ketika masa tenggang pendinginan Anda berakhir. Setelah waktu ini, Anda tidak dapat menghapus atau mengubah kunci Anda di brankas ini. Gunakan konverter waktu yang tersedia untuk umum untuk mengonversi string ini ke waktu lokal Anda.
Jika`"Locked":false`, seperti contoh berikut, Anda belum menerapkan kunci vault (atau yang sebelumnya telah dihapus).
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 3,
"Locked": false
}
```
## Penghapusan kunci brankas selama waktu tenggang (Mode kepatuhan)
Untuk menghapus kunci vault Anda selama waktu tenggang (waktu setelah mengunci brankas tetapi sebelum Anda`LockDate`) menggunakan konsol, AWS Backup
1. Masuk ke Konsol Manajemen AWS, dan buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Di navigasi kiri di bawah **Akun saya**, klik Backup vaults, lalu klik Backup Vault Lock.
1. Klik kunci vault yang ingin Anda hapus, lalu klik **Kelola kunci vault**.
1. Klik **Hapus kunci brankas**.
1. Kotak peringatan akan muncul, meminta Anda mengonfirmasi maksud Anda untuk menghapus kunci vault. Ketik `confirm` ke dalam kotak teks, lalu klik **konfirmasi**.
Setelah semua langkah berhasil diselesaikan, spanduk Sukses akan muncul di bagian atas layar konsol.
Untuk menghapus kunci vault Anda selama waktu tenggang menggunakan perintah CLI, `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` gunakan contoh CLI seperti ini:
```
aws backup delete-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock
```
## Akun AWS penutupan dengan lemari besi terkunci
Ketika Anda menutup Akun AWS yang berisi brankas cadangan, AWS dan AWS Backup menangguhkan akun Anda selama 90 hari dengan cadangan Anda utuh. Jika Anda tidak membuka kembali akun selama 90 hari tersebut, AWS menghapus konten brankas cadangan Anda, meskipun AWS Backup Vault Lock sudah terpasang.
## Pertimbangan keamanan tambahan
AWS Backup Vault Lock menambahkan lapisan keamanan tambahan ke pertahanan perlindungan data Anda secara mendalam. Kunci vault dapat dikombinasikan dengan fitur keamanan lainnya:
+ [Enkripsi untuk titik pemulihan Anda](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup kebijakan akses vault dan titik pemulihan](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), yang memungkinkan Anda memberikan atau menolak izin di tingkat vault,
+ [AWS Backup praktik terbaik keamanan](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), termasuk pustaka [kebijakan terkelola pelanggan](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies) yang memungkinkan Anda memberikan atau menolak izin pencadangan dan pemulihan oleh layanan yang AWS didukung, dan
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), yang memungkinkan Anda mengotomatiskan pemeriksaan kepatuhan untuk cadangan Anda terhadap [daftar kontrol yang Anda tentukan](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html).
Anda dapat bekerja [Membuat kerangka kerja menggunakan API AWS Backup](creating-frameworks-api.md) untuk kontrol [Sumber daya ada dalam paket cadangan dengan AWS Backup Vault Lock](controls-and-remediation.md#backup-vault-lock-control) dengan AWS Backup Audit Manager untuk membantu memastikan bahwa sumber daya yang Anda inginkan dilindungi dengan kunci vault.
+ Mekanisme yang membuat sumber daya tidak aktif dapat memengaruhi kemampuan untuk memulihkannya. Meskipun masih tidak dapat dihapus di brankas yang terkunci, mereka dapat berada dalam keadaan selain aktif. Misalnya, pengaturan Amazon Elastic Compute Cloud yang memungkinkan Anda [menonaktifkan AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) dapat memblokir sementara kemampuan untuk memulihkan cadangan instans EC2. Ini memengaruhi semua titik pemulihan EC2, bahkan cadangan yang dipengaruhi oleh kunci brankas atau penahanan hukum.
Jika cadangan EC2 dinonaktifkan, Anda dapat [mengaktifkan kembali AMI yang dinonaktifkan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami). Setelah diaktifkan kembali, itu memenuhi syarat untuk dipulihkan. Untuk memblokir fitur nonaktifkan AMI, Anda dapat menggunakan kebijakan IAM untuk tidak mengizinkan`ec2:DisableImage`.
**catatan**
AWS Backup Vault Lock bukan fitur yang sama dengan [Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) Vault Lock, yang hanya kompatibel dengan Amazon Glacier.