Vault con intercapedine logiche - AWS Backup
Panoramica delle casseforti con intercapedine d'aria logicheCaso d'uso per le casseforti con intercapedine logicheConfronto con un vault di backup standardCrea una cassaforte con intercapedine logicheVisualizza i dettagli del vault con intercapedine logicheCopia in una cassetta di sicurezza con intercapedine logicheCondividete un deposito logicamente isolatoRipristina un backup da un archivio logicamente isolatoEliminare un vault con intercapedine logicheOpzioni programmatiche aggiuntive per archivi con intercapedine logicheRisolvi un problema relativo ai vault con airgap logico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vault con intercapedine logiche

Panoramica delle casseforti con intercapedine d'aria logiche

AWS Backup offre un tipo di cassaforte secondario in grado di archiviare copie dei backup in un contenitore con funzionalità di sicurezza aggiuntive. Un archivio con intercapedine logiche è un deposito specializzato che offre una maggiore sicurezza rispetto a un archivio di backup standard, oltre alla possibilità di condividere l'accesso al vault con altri account in modo che gli obiettivi relativi ai tempi di ripristino (RTOs) possano essere più rapidi e flessibili in caso di incidente che richieda un rapido ripristino delle risorse.

Le casseforti con intercapedine logiche sono dotate di funzionalità di protezione aggiuntive; ogni deposito è crittografato con una chiave AWS proprietaria e ogni deposito è dotato della modalità di conformità di AWS Backup Vault Lock.

È possibile scegliere di effettuare l'integrazione con AWS Resource Access Manager(RAM) per condividere un vault logicamente isolato con altri AWS account (inclusi account di altre organizzazioni) in modo che i backup archiviati all'interno del vault possano essere ripristinati da un account con cui il vault è condiviso, se necessario per il ripristino da perdita di dati o per i test di ripristino.

È possibile visualizzare i prezzi di archiviazione per i backup dei servizi supportati in un vault logicamente isolato nella pagina dei prezzi.AWS Backup

Scopri i tipi Disponibilità delle funzionalità per risorsa di risorse che puoi copiare in un vault logicamente isolato.

Caso d'uso per le casseforti con intercapedine logiche

Un vault logicamente isolato è un vault secondario che fa parte di una strategia di protezione dei dati. Questo archivio può aiutare a migliorare la strategia di conservazione e il ripristino dell'organizzazione quando si desidera un deposito per i backup che

Considerazioni e limitazioni

  • La copia interregionale da o verso un vault logico con airgap non è attualmente disponibile per i backup che contengono Amazon Aurora, Amazon DocumentDB e Amazon Neptune.

  • Un backup contenente uno o più EBS volumi Amazon che viene copiato in un vault logicamente airgapped deve avere una dimensione inferiore a 16 TB; i backup di questo tipo di risorse di dimensioni maggiori non sono supportati.

  • Il supporto di Amazon S3 per vault con airgap logico è disponibile solo nelle regioni che non richiedono l'attivazione.

  • Il ARN (Amazon Resource Name) di un punto di ripristino archiviato in un vault logicamente isolato sostituirà il backup tipo di risorsa sottostante. Ad esempio, se l'originale ARN inizia conarn:aws:ec2:region::image/ami-*, allora sarà il punto ARN di ripristino nel vault logicamente isolato. arn:aws:backup:region:account-id:recovery-point:*

    È possibile utilizzare il CLI comando list-recovery-points-by-backup-vaultper determinare il. ARN

Confronto con un vault di backup standard

Un vault di backup è il tipo di vault principale e standard utilizzato in AWS Backup. Ogni backup viene archiviato in un vault di backup al momento della creazione del backup. È possibile assegnare policy basate sulle risorse per gestire i backup archiviati nel vault, ad esempio per definire il ciclo di vita dei backup archiviati all'interno del vault.

Un deposito con intercapedine logiche è un deposito specializzato con sicurezza aggiuntiva e condivisione flessibile per tempi di ripristino più rapidi (). RTO Questo vault archivia le copie dei backup inizialmente creati e archiviati in un vault di backup standard.

I vault di backup possono essere crittografati con una chiave, un meccanismo di sicurezza che limita l'accesso ai soli utenti previsti. Queste chiavi possono essere gestite o gestite dal cliente. AWS Inoltre, un vault di backup può essere ulteriormente protetto grazie a una serratura del vault; le casseforti dotate di chiusura ermetica logicamente sono dotate di una serratura del vault in modalità di conformità.

Per i tipi di risorse completamente gestiti da AWS Backup, un backup non può essere copiato in un vault logicamente chiuso se la chiave non è stata modificata manualmente o impostata come AWS KMS chiave al momento della creazione della risorsa iniziale. KMS

Funzionalità Vault di backup Cassaforte con intercapedine logiche
AWS Backup Audit Manager È possibile utilizzare AWS Backup Audit Manager Controlli e correzioni per monitorare gli archivi di backup. Assicuratevi che una copia di backup di una risorsa specifica sia stata copiata in almeno un archivio con sistema logico, secondo una pianificazione da voi stabilita, oltre ai controlli disponibili per gli archivi standard.

Creazione di un backup

Quando viene creato un backup, viene archiviato come punto di ripristino.

I backup non vengono archiviati in questo archivio al momento della creazione.

Archiviazione di un backup

Può archiviare i backup iniziali delle risorse e le copie dei backup

Può archiviare copie di backup da altri vault

Fatturazione

I costi di archiviazione e trasferimento dati per le risorse completamente gestite da sono indicati AWS Backup in "»AWS Backup. Altri costi per l'archiviazione e il trasferimento dei dati relativi ai rispettivi tipi di risorse verranno applicati nell'ambito dei rispettivi servizi.

Ad esempio, i EBS backup di Amazon verranno visualizzati sotto EBS «Amazon»; i backup di Amazon S3 verranno visualizzati sotto "».AWS Backup

Tutti gli addebiti di fatturazione relativi a questi archivi (archiviazione o trasferimento dati) sono indicati nella sezione "».AWS Backup

Regioni

Disponibile in tutte le regioni in cui opera AWS Backup

Disponibile nella maggior parte delle regioni supportate da AWS Backup. Attualmente non disponibile in Asia Pacifico (Malesia), Canada occidentale (Calgary), Cina (Pechino), Cina (Ningxia), (Stati Uniti orientali) o AWS GovCloud (Stati Uniti occidentali). AWS GovCloud

Risorse

Può archiviare copie dei backup per la maggior parte dei tipi di risorse che supportano la copia tra account.

Al momento le copie FSx di backup di Amazon RDS e Amazon non possono essere archiviate in questi vault.

Ripristina

I backup possono essere ripristinati dallo stesso account a cui appartiene il vault.

I backup possono essere ripristinati da un account diverso da quello a cui appartiene il vault se il vault è condiviso con quell'account separato.

Sicurezza

Opzionalmente può essere crittografato con una chiave (gestita dal cliente o gestita da AWS )

Facoltativamente, può utilizzare un blocco del vault in modalità conformità o governance

È crittografato con una chiave proprietaria AWS

È sempre bloccato con un blocco del vault in modalità Compliance

Condivisione

L'accesso può essere gestito tramite policy e AWS Organizations

Non compatibile con AWS RAM

Opzionalmente può essere condiviso tra più account utilizzando AWS RAM

Crea una cassaforte con intercapedine logiche

È possibile creare un vault con intercapedine logiche tramite la AWS Backup console o tramite una combinazione di comandi e. AWS Backup AWS RAM CLI

Ogni camera con chiusura ermetica logica è dotata di una serratura del vault in modalità di conformità. Consultate AWS Backup Vault Lock questa sezione per aiutarvi a determinare i valori del periodo di conservazione più appropriati per la vostra attività

Console
Creazione di un vault logicamente isolato dalla console

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione seleziona Vault.

  3. Verranno visualizzati entrambi i tipi di vault. Seleziona Crea nuovo vault.

  4. Immettere un nome per il vault di backup. È possibile denominare il vault in modo che rifletta ciò che verrà archiviato o per rendere più facile la ricerca dei backup. Ad esempio, si potrebbe assegnare il nome FinancialBackups.

  5. Seleziona il pulsante radio per Logically airgapped vault.

  6. Imposta il Periodo di conservazione minimo.

    Questo valore (in giorni, mesi o anni) è il periodo di tempo minimo per cui un backup deve essere conservato in questo vault. I backup con periodi di conservazione inferiori a questo valore non possono essere copiati in questo vault.

    Il valore minimo consentito è di giorni. 7 I valori per mesi e anni soddisfano questo minimo.

  7. Imposta il Periodo di conservazione massimo.

    Questo valore (in giorni, mesi o anni) è il periodo di tempo massimo per cui un backup deve essere conservato in questo vault. I backup con periodi di conservazione superiori a questo valore non possono essere copiati in questo vault.

  8. (Facoltativo) Aggiungi tag che ti aiuteranno a trovare e identificare il tuo vault logicamente isolato. Ad esempio, si potrebbe aggiungere un tag BackupType:Financial.

  9. Seleziona Crea vault.

  10. Verifica le impostazioni. Se tutte le impostazioni risultano valorizzate come previsto, seleziona Crea un vault con isolamento logico air gap.

  11. La console ti porterà alla pagina dei dettagli del nuovo vault. Verifica che i dettagli del vault siano quelli previsti.

  12. Seleziona Vaults per visualizzare i vault nel tuo account. Verrà visualizzato il tuo vault con intercapedine logiche. La KMS chiave sarà disponibile circa 1-3 minuti dopo la creazione del vault. Aggiorna la pagina per vedere la chiave associata. Una volta che la chiave è visibile, il vault è disponibile e può essere utilizzato.

AWS CLI

Crea un vault con intercapedine logiche da CLI

È possibile utilizzarlo per eseguire in modo programmatico operazioni AWS CLI per casseforti con intercapedine logiche. Ciascuno CLI è specifico del servizio da cui proviene. AWS I comandi relativi alla condivisione sono preceduti da aws ram, tutti gli altri comandi devono essere preceduti da aws backup.

Utilizzate il CLI comando create-logically-air-gapped-backup-vault, modificato con i seguenti parametri:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

CLIComando di esempio per creare un vault con intercapedine logiche:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Vedi gli elementi di CreateLogicallyAirGappedBackupVault API risposta per informazioni dopo l'operazione di creazione. Se l'operazione è andata a buon fine, il nuovo vault con intercapedine logiche avrà il valore di. VaultState CREATING

Una volta completata la creazione e assegnata la chiave KMS crittografata, passerà a. VaultState AVAILABLE Una volta disponibile, è possibile utilizzare il vault. VaultStatepuò essere recuperato DescribeBackupVaultchiamando o. ListBackupVaults

Visualizza i dettagli del vault con intercapedine logiche

Puoi visualizzare i dettagli del vault come il riepilogo, i punti di ripristino, le risorse protette, la condivisione dell'account, la politica di accesso e i tag tramite la console o il. AWS Backup AWS Backup CLI

Console

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione a sinistra, seleziona Vault.

  3. Sotto le descrizioni dei vault sono visualizzati due elenchi, Vault di proprietà di questo account e Vault condivisi con questo account. Seleziona la scheda desiderata per visualizzare i vault.

  4. In Nome vault, fai clic sul nome del vault per aprire la pagina dei dettagli. Puoi visualizzare il riepilogo, i punti di ripristino, le risorse protette, la condivisione dell'account, la policy di accesso e i dettagli dei tag.

    I dettagli vengono visualizzati in base al tipo di account: gli account che possiedono un vault possono visualizzare la condivisione degli account; gli account che non possiedono un vault non saranno in grado di visualizzare la condivisione degli account.

AWS CLI

Visualizza i dettagli di un vault con intercapedine logiche tramite CLI

Il CLI comando describe-backup-vaultpuò essere utilizzato per ottenere dettagli su un vault. Il parametro backup-vault-name è obbligatorio; region è facoltativo.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Esempio di risposta:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Copia in una cassetta di sicurezza con intercapedine logiche

I vault logicamente isolati possono essere solo la destinazione di un processo di copia in un piano di backup o una destinazione per un processo di copia su richiesta.

Crittografia compatibile

Un processo di copia riuscito da un archivio di backup a un archivio con intercapedine logiche richiede una chiave di crittografia determinata dal tipo di risorsa da copiare.

Quando si copia un backup di un tipo di risorsa completamente gestita, il backup di origine nel (archivio di backup standard) può essere crittografato da una chiave gestita dal cliente o da una chiave gestita. AWS

Quando si copia un backup di altri tipi di risorse (non completamente gestite), sia il backup che la risorsa di cui è stato eseguito il backup devono essere crittografati con una chiave gestita dal cliente. AWS le chiavi gestite per i tipi di risorse non sono supportate per le copie.

Copia in un archivio logicamente isolato tramite un piano di backup

È possibile copiare un backup (punto di ripristino) da un archivio di backup standard a un archivio con intercapedine logiche creando un nuovo piano di backup o aggiornandone uno esistente nella console o tramite i comandi e. AWS Backup AWS CLI create-backup-planupdate-backup-plan

È possibile copiare un backup da un vault logicamente con airgap a un altro archivio con airgap logico su richiesta (questo tipo di backup non può essere pianificato in un piano di backup). È possibile copiare un backup da un archivio con sistema di backup logico a un archivio di backup standard purché la copia sia crittografata con una chiave gestita dal cliente.

Copia di backup su richiesta in un vault con sistema logico

Per creare una copia una tantum su richiesta di un backup in un archivio con sistema logico, è possibile eseguire la copia da un archivio di backup standard. Sono disponibili copie interregionali o tra più account se il tipo di risorsa supporta il tipo di copia.

Disponibilità delle copie

È possibile creare una copia di un backup dall'account a cui appartiene il vault. Gli account con cui è stato condiviso il vault hanno la possibilità di visualizzare o ripristinare un backup, ma non di crearne una copia.

È possibile includere solo i tipi di risorse che supportano la copia tra aree geografiche o tra più account.

Console

  1. Apri la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione a sinistra, seleziona Vault.

  3. Nella pagina dei dettagli del vault, vengono visualizzati tutti i punti di ripristino all'interno del vault. Metti un segno di spunta accanto al punto di ripristino che desideri copiare.

  4. Scegli Operazioni e seleziona Copia dal menu a discesa.

  5. Nella schermata successiva, inserisci i dettagli della destinazione.

    1. Specificare la regione di destinazione.

    2. Il menu a discesa associato al vault di backup di destinazione mostra i vault di destinazione idonei. Selezionane uno con il tipo logically air-gapped vault

  6. Seleziona Copia una volta che tutti i dettagli sono impostati in base alle tue preferenze.

Nella pagina Processi della console, puoi selezionare i processi Copia per visualizzare i processi di copia correnti.

AWS CLI

start-copy-jobDa utilizzare per copiare un backup esistente in un archivio di backup in un archivio con sistema airgap logico.

Esempio di input: CLI

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Per ulteriori informazioni, consulta Copia di un backup, Backup tra regioni e Backup tra account.

Condividete un deposito logicamente isolato

Puoi usare AWS Resource Access Manager (RAM) per condividere un vault con intercapedine logiche con altri account da te designati.

Un vault può essere condiviso con un account della sua organizzazione o con un account di un'altra organizzazione. Il vault non può essere condiviso con un'intera organizzazione, ma solo con gli account all'interno dell'organizzazione.

Solo gli account con IAM privilegi specifici possono condividere e gestire la condivisione degli account.

Per condividere utilizzando AWS RAM, assicurati di disporre di quanto segue:

  • Due o più account a cui è possibile accedere AWS Backup

  • L'account proprietario di Vault che intende condividere dispone delle autorizzazioni necessarie. RAM Per l'esecuzione di questa procedura è necessaria l'autorizzazione ram:CreateResourceShare. La policy contiene tutte le autorizzazioni necessarie relativeAWSResourceAccessManagerFullAccess: RAM

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • Almeno un vault logicamente isolato

Console

  1. Apri la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione a sinistra, seleziona Vault.

  3. Sotto le descrizioni dei vault sono visualizzati due elenchi, Vault di proprietà di questo account e Vault condivisi con questo account. I vault di proprietà dell'account possono essere condivisi.

  4. In Nome vault, fai clic sul nome del vault logicamente isolato per aprire la pagina dei dettagli.

  5. Il riquadro Condivisione dell'account mostra con quali account viene condiviso il vault.

  6. Per iniziare la condivisione con un altro account o per modificare gli account con cui è già condiviso, seleziona Gestione della condivisione.

  7. La AWS RAM console si apre quando si seleziona Gestisci condivisione. Per la procedura di condivisione di una risorsa utilizzando AWS RAM, consulta Creazione di una condivisione di risorse AWS RAM nella Guida per l'AWS RAMutente.

  8. L'account che riceve un invito per partecipare alla condivisione dispone di 12 ore per accettarlo. Vedi Accettazione e rifiuto degli inviti alla condivisione di risorse nella Guida per l'AWS RAMutente.

  9. Se i passaggi di condivisione sono stati completati e accettati, la pagina di riepilogo del vault verrà visualizzata in Condivisione account = "Condiviso - vedere la tabella di condivisione dell'account riportata di seguito".

AWS CLI

AWS RAM utilizza il comando. CLI create-resource-share L'accesso a questo comando è disponibile solo per gli account con autorizzazioni sufficienti. Vedi Creazione di una condivisione di risorse AWS RAM per CLI i passaggi.

I passaggi da 1 a 4 devono essere eseguiti con l'account proprietario del vault logicamente isolato. I passaggi da 5 a 8 devono essere eseguiti con l'account con cui il vault logicamente isolato sarà condiviso.

  1. Accedi all'account proprietario OPPURE richiedi che un utente della tua organizzazione che dispone di credenziali sufficienti per accedere all'account di origine completi questi passaggi.

    1. Se in precedenza è stata creata una condivisione di risorse e desideri aggiungervi una risorsa aggiuntiva, utilizzala CLI associate-resource-share invece con il ARN nuovo archivio.

  2. Recupera le credenziali di un ruolo con autorizzazioni sufficienti per la condivisione tramite. RAM Inseriscili nel. CLI

    1. Per l'esecuzione di questa procedura è necessaria l'autorizzazione ram:CreateResourceShare. La politica AWSResourceAccessManagerFullAccesscontiene tutte le autorizzazioni RAM relative.

  3. Usa. create-resource-share

    1. ARNIncludi il caveau logicamente chiuso.

    2. Input di esempio:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. Output di esempio:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. Copia la condivisione di risorse ARN nell'output (necessaria per i passaggi successivi). ARNConsegnalo all'operatore dell'account che stai invitando a ricevere la condivisione.

  5. Ottieni la condivisione delle risorse ARN

    1. Se non hai eseguito i passaggi resourceShareArn da 1 a 4, richiedili a chi l'ha fatto.

    2. Esempio: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. NelCLI, assumi le credenziali dell'account del destinatario.

  7. Ricevi un invito alla condivisione delle risorse con get-resource-share-invitations. Per ulteriori informazioni, consulta Accettare e rifiutare gli inviti nella Guida per l'utente di AWS RAM .

  8. Accetta l'invito nell'account di destinazione (ripristino).

    1. Utilizza accept-resource-share-invitation (può anche utilizzare reject-resource-share-invitation).

È possibile utilizzare AWS RAM CLI i comandi per visualizzare gli elementi condivisi:

  • Risorse che hai condiviso:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • Mostra il principale:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • Risorse condivise da altri account:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Ripristina un backup da un archivio logicamente isolato

È possibile ripristinare un backup archiviato in un vault con sistema logico dall'account proprietario del vault o da qualsiasi account con cui il vault è condiviso.

Vedi Ripristino di un backup per informazioni su come ripristinare un punto di ripristino tramite la console. AWS Backup

Una volta che un backup è stato condiviso da un archivio logicamente isolato sul tuo account, puoi start-restore-jobutilizzarlo per ripristinare il backup.

Un CLI input di esempio può includere il comando e i parametri seguenti:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Eliminare un vault con intercapedine logiche

Consulta Eliminare un vault di backup per eliminare un vault. I vault non possono essere eliminati se contengono ancora backup (punti di ripristino). Assicurati che il vault sia privo di backup prima di iniziare un'operazione di eliminazione.

L'eliminazione di un archivio comporta anche l'eliminazione della chiave associata al vault sette giorni dopo l'eliminazione del vault, in conformità alla politica di eliminazione delle chiavi.

Il seguente CLI comando di esempio delete-backup-vaultpuò essere utilizzato per eliminare un archivio.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opzioni programmatiche aggiuntive per archivi con intercapedine logiche

Il CLI comando list-backup-vaultspuò essere modificato per elencare tutti i vault di proprietà e presenti nell'account:

aws backup list-backup-vaults
--region us-east-1

Per elencare solo i vault logicamente isolati, aggiungi il parametro

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Includi il parametro by-shared per filtrare l'elenco di archivi restituito in modo da mostrare solo i vault logicamente condivisi.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Risolvi un problema relativo ai vault con airgap logico

Se riscontri errori durante il flusso di lavoro, consulta i seguenti errori di esempio e le risoluzioni suggerite:

AccessDeniedException

Errore: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

Causa possibile: il parametro non --backup-vault-account-id è stato incluso quando una delle seguenti richieste è stata eseguita su un vault condiviso da: RAM

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

Risoluzione: riprova il comando che ha restituito l'errore, ma includi il parametro --backup-vault-account-id che specifica l'account proprietario del vault.

OperationNotPermittedException

Errore: OperationNotPermittedException viene restituito dopo una chiamata. CreateResourceShare

Possibile causa: se si tenta di condividere una risorsa, ad esempio un vault logicamente isolato, con un'altra organizzazione, è possibile che si verifichi questa eccezione. Un vault può essere condiviso con un account di un'altra organizzazione, ma non può essere condiviso con l'altra organizzazione stessa.

Risoluzione: riprova l'operazione, ma specifica un account come valore per principals anziché un'organizzazione o un'unità organizzativa.