Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Casseforti di Backup
In AWS Backup, un *archivio di backup* è un contenitore che archivia e organizza i backup.
Quando si crea un archivio di backup, è necessario specificare la chiave di crittografia AWS Key Management Service (AWS KMS) che crittografa alcuni dei backup inseriti in questo archivio. La crittografia per altri backup è gestita dai relativi servizi di origine. AWS Per ulteriori informazioni sulla crittografia dei backup, consulta la tabella [Crittografia per i backup in AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).
Le seguenti sezioni forniscono una panoramica su come gestire gli archivi di backup in. AWS Backup
**Topics**
+ [Creazione ed eliminazione dell'archivio di backup](create-a-vault.md)
+ [Vault logicamente isolata](logicallyairgappedvault.md)
+ [Policy di accesso dei vault](create-a-vault-access-policy.md)
+ [AWS Backup Vault Lock](vault-lock.md)
# Creazione ed eliminazione dell'archivio di backup
È necessario creare almeno un vault prima di creare un piano di backup o avviare un processo di backup.
Quando si utilizza per la prima volta la pagina **Backup Vault** della AWS Backup console in un archivio Regione AWS, la console crea automaticamente un archivio predefinito per la regione.
Tuttavia, se si utilizza AWS Backup tramite AWS SDK o CloudFormation, non viene creato un archivio predefinito. AWS CLIÈ necessario creare il proprio vault.
## Autorizzazioni richieste
È necessario disporre delle seguenti autorizzazioni per creare un vault di backup utilizzando. AWS Backup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:RetireGrant",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "AllowCreateBackupVault",
"Effect": "Allow",
"Action": [
"backup:CreateBackupVault"
],
"Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
},
{
"Sid": "AllowMountCapsule",
"Effect": "Allow",
"Action": [
"backup-storage:MountCapsule"
],
"Resource": "*"
}
]
}
```
------
## Creazione di un vault di backup (console)
Anziché utilizzare il vault di backup di default che viene creato automaticamente nella console di AWS Backup , è possibile creare vault di backup specifici per salvare e organizzare gruppi di backup nello stesso vault.
**Come creare un vault di backup**
1. Sulla AWS Backup console, nel riquadro di navigazione, scegli **Backup vault**.
**Nota**
Se il riquadro di navigazione non è visibile sul lato sinistro, puoi aprirlo scegliendo l'icona del menu nell'angolo in alto a sinistra della console. AWS Backup
1. Scegliere **Create backup vault (Crea vault di backup)**.
1. Immettere un nome per il vault di backup. È possibile denominare il vault in modo che rifletta ciò che verrà archiviato o per rendere più facile la ricerca dei backup. Ad esempio, si potrebbe assegnare il nome **FinancialBackups**.
1. Seleziona un tasto AWS Key Management Service ()AWS KMS. Puoi utilizzare una chiave che hai già creato o selezionare la chiave AWS Backup KMS predefinita.
**Nota**
La AWS KMS chiave specificata qui si applica solo ai backup di servizi che supportano la crittografia AWS Backup indipendente. Per visualizzare l'elenco dei tipi di risorse che supportano la crittografia AWS Backup indipendente, consulta la sezione «Gestione completa» della [Disponibilità delle funzionalità per risorsa](backup-feature-availability.md#features-by-resource) tabella.
1. Facoltativamente, è possibile aggiungere tag che consentano di cercare e identificare il vault di backup. Ad esempio, si potrebbe aggiungere un tag **BackupType:Financial**.
1. Scegliere **Crea vault di Backup**.
1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)** e verificare che il vault di backup sia stato aggiunto.
**Nota**
È ora possibile modificare una regola di backup in uno dei piani di backup per archiviare i backup creati da tale regola nel vault di backup appena creato.
## Creazione di un vault di backup (utilizzando il codice)
Il AWS Command Line Interface comando seguente crea un archivio di backup:
```
aws backup create-backup-vault --backup-vault-name test-vault
```
È inoltre possibile specificare le seguenti configurazioni per un vault di backup.
## Nome del vault di backup
I nomi dei vault di backup rispettano la distinzione tra lettere maiuscole e minuscole. Devono contenere da 2 a 50 caratteri alfanumerici, trattini o trattini bassi.
## AWS KMS chiave di crittografia
La chiave di AWS KMS crittografia protegge i backup in questo archivio di backup. Per impostazione predefinita, AWS Backup crea per l'utente una chiave KMS con l'alias `aws/backup`. Puoi scegliere tale chiave o qualsiasi altra chiave disponibile nel tuo account (le chiavi KMS per più account possono essere utilizzate tramite CLI).
Puoi creare una nuova chiave crittografica seguendo la procedura di [Creazione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Dopo aver creato un archivio di backup e impostato la chiave di AWS KMS crittografia, non è più possibile modificare la chiave per tale archivio di backup.
La chiave di crittografia specificata in un AWS Backup archivio si applica ai backup di determinati tipi di risorse. Per ulteriori informazioni sulla crittografia di backup, consulta [Crittografia per i backup in AWS Backup](encryption.md) nella sezione relativa alla sicurezza. I backup di tutti gli altri tipi di risorse vengono eseguiti utilizzando la chiave usata per crittografare la risorsa di origine.
## Tag del vault di backup
Questi tag sono associati al vault di backup per permettere di organizzarlo e monitorarlo.
## Eliminazione di una vault
Per evitare eliminazioni di massa accidentali o dolose, puoi eliminare un vault di backup in AWS Backup solo dopo aver eliminato tutti i punti di ripristino al suo interno (o dopo che l'eliminazione è avvenuta a opera del sistema di gestione del ciclo di vita del piano di backup). Per eliminare i punti di ripristino manualmente, vedere [Eliminazione dei backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
Quando si elimina un vault di backup, aggiornare i piani di backup in modo che puntino al nuovo vault di backup. Un piano di backup che punta a un backup eliminato compromette la creazione del backup.
Non puoi eliminare l'archivio di backup predefinito o l'archivio di backup automatico di Amazon EFS utilizzando il. Console di gestione AWS Puoi eliminare un archivio di backup predefinito utilizzando AWS CLI se è vuoto. Tuttavia, se si apre la AWS Backup console e si seleziona quella regione, la console ricrea l'archivio di backup predefinito. Puoi eliminare le istantanee inutilizzate nel vault di backup automatico di Amazon EFS.
**Per eliminare un archivio di backup utilizzando la console AWS Backup**
1. Accedere a e aprire Console di gestione AWS la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.
1. Scegli il nome dell'archivio di backup per aprirne la pagina dei dettagli.
1. Scegliere ed eliminare i backup associati al vault di backup.
1. Scegli **Elimina vault**. Quando viene richiesta la conferma, inserisci il nome del vault e quindi scegli Elimina **Backup** vault.
# Vault logicamente isolata
## Panoramica delle casseforti con intercapedine d'aria logiche
AWS Backup offre un tipo di cassaforte secondario in grado di archiviare i backup in un contenitore con funzionalità di sicurezza aggiuntive. Un **archivio con intercapedine logiche** è un deposito specializzato che offre una maggiore sicurezza rispetto a un archivio di backup standard, oltre alla possibilità di condividere l'accesso al vault con altri account in modo che gli obiettivi relativi ai tempi di ripristino (RTOs) possano essere più rapidi e flessibili in caso di incidente che richieda un rapido ripristino delle risorse.
Le casseforti con intercapedine logiche sono dotate di funzionalità di protezione aggiuntive; ogni deposito è crittografato con una [chiave AWS proprietaria](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) (impostazione predefinita) o, facoltativamente, con una chiave KMS gestita dal cliente, e ogni deposito è dotato della modalità di conformità di [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html). Le informazioni sul tipo di chiave di crittografia sono visibili tramite una console per la rendicontazione di trasparenza e conformità. AWS Backup APIs
È possibile integrare gli archivi con sistema logico di [approvazione multipartitica](multipartyapproval.md) (MPA) per consentire il ripristino dei backup nei vault anche se l'account proprietario del vault è inaccessibile, il che contribuisce a mantenere la continuità aziendale. Inoltre, è possibile scegliere di effettuare l'integrazione con [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) per condividere un vault logicamente isolato con altri AWS account (inclusi account di altre organizzazioni) in modo che i backup archiviati all'interno del vault possano essere ripristinati da un account con cui il vault è condiviso, se necessario per il ripristino da perdita di dati o per i [test](restore-testing.md) di ripristino. Come parte di questa maggiore sicurezza, un archivio con intercapedine logiche archivia i propri backup in un account di proprietà del AWS Backup servizio (il che si traduce in backup visualizzati come condivisi all'esterno dell'organizzazione negli elementi di modifica degli attributi nei AWS CloudTrail log).
Nel caso in cui il tuo account proprietario del vault con accesso logico ad airgap venga chiuso (intenzionalmente o meno), puoi comunque accedere ai backup nel vault (ripristinarli o copiarli) tramite MPA fino al termine del [periodo successivo alla chiusura](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period). Dopo la scadenza del periodo successivo alla chiusura, i backup non sono più accessibili. Durante il periodo successivo alla chiusura, puoi fare riferimento alla [documentazione sulla gestione dell'AWS account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) per riprendere il controllo del tuo account mentre lavori al ripristino.
Per una maggiore resilienza, consigliamo di creare copie interregionali in archivi logici con intercapedine disposte nello stesso account o in account separati. Tuttavia, se desideri ridurre i costi di archiviazione conservando solo una singola copia, puoi utilizzare i [backup primari su archivi con sistema logico, dopo l'onboarding su](lag-vault-primary-backup.md) MPA. AWS
[È possibile visualizzare i prezzi di archiviazione per i backup dei servizi supportati in un archivio logico con sistema airgap nella pagina dei prezzi.AWS Backup](https://aws.amazon.com/backup/pricing/)
Scopri i tipi [Disponibilità delle funzionalità per risorsa](backup-feature-availability.md#features-by-resource) di risorse che puoi copiare in un vault logicamente isolato.
**Topics**
+ [Panoramica delle casseforti con intercapedine d'aria logiche](#lag-overview)
+ [Caso d'uso per le casseforti con intercapedine logiche](#lag-usecase)
+ [Confronto con un vault di backup standard](#lag-compare-and-contrast)
+ [Crea una cassaforte con intercapedine logiche](#lag-create)
+ [Visualizza i dettagli del vault con intercapedine logiche](#lag-view)
+ [Creazione di backup in un vault con intercapedine logiche](#lag-creation)
+ [Condividi un vault con intercapedine logiche](#lag-share)
+ [Ripristina un backup da un archivio logicamente isolato](#lag-restore)
+ [Eliminare un vault con intercapedine logiche](#lag-delete)
+ [Opzioni programmatiche aggiuntive per archivi con intercapedine logiche](#lag-programmatic)
+ [Comprensione dei tipi di chiavi di crittografia per gli archivi con intercapedine logiche](#lag-encryption-key-types)
+ [Utilizzo della chiave di proprietà del servizio](#lag-service-owned-key)
+ [Considerazioni sulla riparazione automatica della sicurezza](#lag-security-auto-remediation)
+ [Risolvi un problema relativo al vault con intercapedine logiche](#lag-troubleshoot)
+ [Backup primari su vault logicamente isolate](lag-vault-primary-backup.md)
+ [Approvazione multipartitica per le casseforti con chiusura logica](multipartyapproval.md)
## Caso d'uso per le casseforti con intercapedine logiche
Un vault logicamente isolato è un vault secondario che fa parte di una strategia di protezione dei dati. Questo archivio può aiutare a migliorare la strategia di conservazione e il ripristino dell'organizzazione quando si desidera un deposito per i backup che
+ [Viene impostato automaticamente con un blocco del vault in modalità di conformità](vault-lock.md)
+ Per impostazione predefinita, offre la crittografia con una chiave AWS proprietaria. Facoltativamente, puoi fornire una chiave gestita dal cliente
+ Contiene backup che, tramite AWS RAM o MPA, possono essere condivisi e ripristinati da un account diverso da quello che ha creato il backup
**Considerazioni e limitazioni**
+ I cluster Amazon Aurora, Amazon DocumentDB e Amazon Neptune non sono supportati per i vault con intercapedine logiche, in quanto non supportano la crittografia di istantanee di cluster DB non crittografate.
+ Amazon EC2 offre [EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Allowed. AMIs Se questa impostazione è abilitata nel tuo account, aggiungi l'alias `aws-backup-vault` alla tua lista di autorizzazioni.
Se questo alias non è incluso, le operazioni di copia da un vault logicamente airgapped a un vault di backup e le operazioni di ripristino delle istanze EC2 da un vault con airgap logico falliranno e verrà visualizzato un messaggio di errore del tipo «Source AMI ami-xxxxxx not found in Region».
+ L'ARN (Amazon Resource Name) di un punto di ripristino archiviato in un vault logico con sistema airgap sostituirà il tipo di risorsa `backup` sottostante. Ad esempio, se l'ARN originale inizia con`arn:aws:ec2:region::image/ami-*`, allora sarà l'ARN del punto di ripristino nel vault con intercapedine logiche. `arn:aws:backup:region:account-id:recovery-point:*`
È possibile utilizzare il comando CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)per determinare l'ARN.
## Confronto con un vault di backup standard
Un **vault di backup** è il tipo di vault principale e standard utilizzato in AWS Backup. Ogni backup viene archiviato in un vault di backup al momento della creazione del backup. È possibile assegnare policy basate sulle risorse per gestire i backup archiviati nel vault, ad esempio per definire il ciclo di vita dei backup archiviati all'interno del vault.
Un **vault logicamente isolato** è un vault specializzato con sicurezza aggiuntiva e condivisione flessibile per tempi di ripristino (RTO) più rapidi. Questo archivio archivia i backup o le copie principali dei backup che sono stati inizialmente creati e archiviati all'interno di un archivio di backup standard.
Gli archivi di backup sono crittografati con una chiave, un meccanismo di sicurezza che limita l'accesso agli utenti previsti. Queste chiavi possono essere gestite o AWS gestite dal cliente. Vedi [Copia la crittografia](encryption.md#copy-encryption) per conoscere il comportamento di crittografia durante i lavori di copia, inclusa la copia in un archivio logicamente isolato.
Inoltre, un vault di backup può essere ulteriormente protetto grazie a una serratura del vault; le casseforti dotate di sigillo logico sono dotate di una serratura del vault in modalità di conformità.
Analogamente agli archivi di backup, gli archivi con intercapedine logiche supportano anche tag con restrizioni [per i backup di Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions).
| Funzionalità | Vault di backup | Vault logicamente isolata |
| --- | --- | --- |
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | È possibile utilizzare AWS Backup Audit Manager [Controlli e correzioni](controls-and-remediation.md) per monitorare gli archivi di backup. | Assicuratevi che il backup di una risorsa specifica sia archiviato in [almeno un archivio con sistema logico, secondo una pianificazione da voi stabilita](controls-and-remediation.md#resources-in-lag-vault-control), oltre ai controlli disponibili per gli archivi standard. |
| [Fatturazione](https://aws.amazon.com/backup/pricing/) | I costi di archiviazione e trasferimento dati per le risorse completamente gestite da AWS Backup sono indicati sotto "».AWS Backup Altri costi per l'archiviazione e il trasferimento dei dati relativi ai rispettivi tipi di risorse verranno applicati nell'ambito dei rispettivi servizi. Ad esempio, i backup di Amazon EBS verranno visualizzati sotto «Amazon EBS»; i backup di Amazon S3 verranno visualizzati sotto "».AWS Backup | Tutti i costi di fatturazione relativi a questi archivi (archiviazione o trasferimento dati) sono indicati nella sezione "».AWS Backup |
| [Regioni](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Disponibile in tutte le regioni in cui opera AWS Backup | Disponibile nella maggior parte delle regioni supportate da AWS Backup. Al momento non disponibile in Asia Pacifico (Malesia), Canada occidentale (Calgary), Messico (Centrale), Asia Pacifico (Thailandia), Asia Pacifico (Taipei), Asia Pacifico (Nuova Zelanda), Cina (Pechino), Cina (Ningxia), (Stati Uniti orientali) o (Stati Uniti occidentali). AWS GovCloud AWS GovCloud |
| [Risorse](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Può archiviare copie dei backup per la maggior parte dei tipi di risorse che supportano la copia tra account. | Consulta la colonna del vault con intercapedine logiche all'interno del vault [Disponibilità delle funzionalità per risorsa](backup-feature-availability.md#features-by-resource) per informazioni sulle risorse che possono essere copiate in questo vault. |
| [Ripristina](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | I backup possono essere ripristinati dallo stesso account a cui appartiene il vault. | I backup possono essere ripristinati da un account diverso da quello a cui appartiene il vault se il vault è condiviso con quell'account separato. |
| [Sicurezza](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | Opzionalmente può essere crittografato con una chiave (gestita dal cliente o gestita da AWS ) Facoltativamente, può utilizzare un blocco del vault in modalità conformità o governance | Può essere crittografato con una [chiave AWS di proprietà o una chiave gestita](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) dal cliente È sempre bloccato con un [blocco del vault](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) in modalità Compliance Le informazioni sul tipo di chiave di crittografia vengono conservate e visibili quando i vault vengono condivisi tramite AWS RAM o MPA |
| [Condivisione](#lag-share) | L'accesso può essere gestito tramite policy e [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) Non compatibile con AWS RAM | Opzionalmente può essere condiviso tra più account utilizzando [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) |
## Crea una cassaforte con intercapedine logiche
È possibile creare un vault con intercapedine logiche tramite la AWS Backup console o tramite una combinazione di comandi CLI. AWS Backup AWS RAM
Ciascun caveau logicamente chiuso è dotato di una serratura del vault in modalità di conformità. Consultate [AWS Backup Vault Lock](vault-lock.md) questa sezione per aiutarvi a determinare i valori del periodo di conservazione più appropriati per la vostra attività
------
#### [ Console ]
**Creazione di un vault logicamente isolato dalla console**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione seleziona **Vault**.
1. Verranno visualizzati entrambi i tipi di vault. Seleziona **Crea nuovo vault**.
1. Immettere un nome per il vault di backup. È possibile denominare il vault in modo che rifletta ciò che verrà archiviato o per rendere più facile la ricerca dei backup. Ad esempio, si potrebbe assegnare il nome `FinancialBackups`.
1. Seleziona il pulsante radio per **Logically airgapped vault.**
1. *(Facoltativo)* Scegli una chiave di crittografia. Puoi selezionare una chiave KMS gestita dal cliente per un ulteriore controllo sulla crittografia oppure utilizzare la chiave di AWS proprietà predefinita (consigliata).
1. Imposta il **Periodo di conservazione minimo**.
Questo valore (in giorni, mesi o anni) è il periodo di tempo minimo per cui un backup deve essere conservato in questo vault. I backup con periodi di conservazione inferiori a questo valore non possono essere copiati in questo vault.
Il valore minimo consentito è di giorni. `7` I valori per mesi e anni soddisfano questo minimo.
1. Imposta il **Periodo di conservazione massimo**.
Questo valore (in giorni, mesi o anni) è il periodo di tempo massimo per cui un backup deve essere conservato in questo vault. I backup con periodi di conservazione superiori a questo valore non possono essere copiati in questo vault.
1. *(Facoltativo)* Imposta la **chiave di crittografia**.
Specificate la chiave da usare con il vostro vault. Puoi scegliere una **chiave AWS di proprietà (gestita da AWS Backup)** o inserire l'ARN per una **chiave gestita dal cliente** che preferibilmente appartiene a un altro account a cui hai accesso. AWS Backup consiglia di utilizzare una chiave AWS proprietaria.
1. *(Facoltativo)* Aggiungi tag che ti aiuteranno a trovare e identificare il tuo vault logicamente isolato. Ad esempio, si potrebbe aggiungere un tag `BackupType:Financial`.
1. Seleziona **Crea vault**.
1. Verifica le impostazioni. Se tutte le impostazioni risultano valorizzate come previsto, seleziona **Crea un vault con isolamento logico air gap**.
1. La console ti porterà alla pagina dei dettagli del nuovo vault. Verifica che i dettagli del vault siano quelli previsti.
1. Seleziona **Vaults** per visualizzare i vault nel tuo account. Verrà visualizzato il tuo vault con intercapedine logiche. La chiave KMS sarà disponibile circa 1-3 minuti dopo la creazione del vault. Aggiorna la pagina per vedere la chiave associata. Una volta che la chiave è visibile, il vault è disponibile e può essere utilizzato.
------
#### [ AWS CLI ]
Crea un vault con intercapedine logiche dalla CLI
È possibile utilizzarlo per eseguire in modo programmatico operazioni AWS CLI per vault con intercapedine logiche. Ogni CLI è specifica per il AWS servizio da cui proviene. I comandi relativi alla condivisione sono preceduti da `aws ram`, tutti gli altri comandi devono essere preceduti da `aws backup`.
Utilizzate il comando CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html), modificato con i seguenti parametri:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```
Il `--encryption-key-arn` parametro opzionale consente di specificare una chiave KMS gestita dal cliente per la crittografia del vault. Se non viene fornita, il vault utilizzerà una chiave di proprietà. AWS
Esempio di comando CLI per creare un vault con intercapedine logiche:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```
Esempio di comando CLI per creare un vault con intercapedine logiche con crittografia gestita dal cliente:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```
Consulta gli [elementi di risposta CreateLogicallyAirGappedBackupVault dell'API](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html) per informazioni dopo l'operazione di creazione. Se l'operazione è andata a buon fine, il nuovo vault con intercapedine logiche avrà il valore di. VaultState `CREATING`
Una volta completata la creazione e assegnata la chiave crittografata KMS, passerà a. VaultState `AVAILABLE` Una volta disponibile, è possibile utilizzare il vault. `VaultState`può essere recuperato [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)chiamando o. [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)
------
## Visualizza i dettagli del vault con intercapedine logiche
Puoi visualizzare i dettagli del vault come il riepilogo, i punti di ripristino, le risorse protette, la condivisione dell'account, la politica di accesso e i tag tramite la AWS Backup console o la AWS Backup CLI.
------
#### [ Console ]
1. [Apri la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione a sinistra, seleziona **Vault**.
1. Sotto le descrizioni dei vault ci sono tre elenchi, **Vaults creati da questo account**, Vaults **condivisi tramite RAM e Vaults accessibili tramite l'**approvazione di più **parti**. Seleziona la scheda desiderata per visualizzare i vault.
1. In **Nome vault**, fai clic sul nome del vault per aprire la pagina dei dettagli. Puoi visualizzare il riepilogo, i punti di ripristino, le risorse protette, la condivisione dell'account, la policy di accesso e i dettagli dei tag.
I dettagli vengono visualizzati in base al tipo di account: gli account che possiedono un vault possono visualizzare la condivisione degli account; gli account che non possiedono un vault non saranno in grado di visualizzare la condivisione degli account. Per gli archivi condivisi, il tipo di chiave di crittografia (chiave KMS di AWS proprietà o gestita dal cliente) viene visualizzato nel riepilogo del vault.
------
#### [ AWS CLI ]
Visualizza i dettagli di un vault con intercapedine logiche tramite CLI
Il comando CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html)può essere utilizzato per ottenere dettagli su un vault. Il parametro `backup-vault-name` è obbligatorio; `region` è facoltativo.
```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```
Esempio di risposta:
```
{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```
**Nota**
Il `VaultType` campo non è incluso nella risposta dell'API nelle regioni in cui non sono disponibili vault logicamente isolati.
------
## Creazione di backup in un vault con intercapedine logiche
Gli archivi con intercapedine logiche possono essere una destinazione di destinazione del lavoro di copia in un piano di backup o una destinazione per un processo di copia su richiesta. Può anche essere usato come destinazione di backup principale. Vedi [Backup primari su archivi con intercapedine logiche.](lag-vault-primary-backup.md)
**Crittografia compatibile**
Un processo di copia riuscito da un archivio di backup a un archivio con intercapedine logiche richiede una chiave di crittografia determinata dal tipo di risorsa da copiare.
Quando si crea o si copia un backup di un [tipo di risorsa completamente gestita, la risorsa di](backup-feature-availability.md#features-by-resource) origine può essere crittografata da una chiave gestita dal cliente o da una chiave gestita. AWS
Quando si crea o si copia un backup di altri tipi di risorse ([non completamente gestite](backup-feature-availability.md#features-by-resource)), la fonte deve essere crittografata con una chiave gestita dal cliente. AWS le chiavi gestite per risorse non completamente gestite non sono supportate.
**Crea o copia i backup in un archivio con sistema logico tramite un piano di backup**
È possibile copiare un backup (punto di ripristino) da un archivio di backup standard a un vault logicamente collegato in aria [creando un nuovo piano di backup o aggiornandone uno](creating-a-backup-plan.md) [esistente](updating-a-backup-plan.md) nella console o tramite i comandi e. AWS Backup AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) È inoltre possibile creare backup direttamente in un vault con airgap logico utilizzandolo come destinazione principale. Per maggiori dettagli, consulta [Backup primari su vault con intercapedine logiche](lag-vault-primary-backup.md).
Su richiesta, è possibile copiare un backup da un archivio con sistema di sicurezza logico a un altro archivio con sigillo d'aria logico (questo tipo di backup non può essere pianificato in un piano di backup). È possibile copiare un backup da un archivio con sistema di backup logico a un archivio di backup standard, purché la copia sia crittografata con una chiave gestita dal cliente.
**Copia di backup su richiesta in un vault con sistema logico**
Per creare una copia una tantum [su richiesta](recov-point-create-on-demand-backup.md) di un backup in un archivio con sistema logico, è possibile eseguire la copia da un archivio di backup standard. Sono disponibili copie interregionali o tra più account se il tipo di risorsa supporta il tipo di copia.
**Disponibilità delle copie**
È possibile creare una copia di un backup dall'account a cui appartiene il vault. Gli account con cui è stato condiviso il vault hanno la possibilità di visualizzare o ripristinare un backup, ma non di crearne una copia.
È possibile [includere solo i tipi di risorse che supportano la copia tra aree geografiche o tra più account](backup-feature-availability.md#features-by-resource).
------
#### [ Console ]
1. [Apri la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione a sinistra, seleziona **Vault**.
1. Nella pagina dei dettagli del vault, vengono visualizzati tutti i punti di ripristino all'interno del vault. Metti un segno di spunta accanto al punto di ripristino che desideri copiare.
1. Scegli **Operazioni** e seleziona **Copia** dal menu a discesa.
1. Nella schermata successiva, inserisci i dettagli della destinazione.
1. Specificare la regione di destinazione.
1. Il menu a discesa associato al vault di backup di destinazione mostra i vault di destinazione idonei. Selezionane uno con il tipo `logically air-gapped vault`
1. Seleziona **Copia** una volta che tutti i dettagli sono impostati in base alle tue preferenze.
Nella pagina **Processi** della console, puoi selezionare i processi **Copia** per visualizzare i processi di copia correnti.
------
#### [ AWS CLI ]
Utilizza [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html) per copiare un backup esistente in un vault logicamente isolato.
Input CLI di esempio:
```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```
------
Per ulteriori informazioni, consulta [Copia di un backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [Backup tra regioni](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) e [Backup tra account](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html).
## Condividi un vault con intercapedine logiche
Puoi usare AWS Resource Access Manager (RAM) per condividere un vault con intercapedine logiche con altri account da te designati. Quando si condividono gli archivi, le informazioni sul tipo di chiave di crittografia (chiave KMS di AWS proprietà o gestita dal cliente) vengono conservate e visibili agli account con cui è condiviso il vault.
Un vault può essere condiviso con un account della sua organizzazione o con un account di un'altra organizzazione. Il vault non può essere condiviso con un'intera organizzazione, ma solo con gli account all'interno dell'organizzazione.
Solo gli account con privilegi IAM specifici possono condividere e gestire la condivisione dei vault.
Per condividere l'utilizzo AWS RAM, assicurati di disporre di quanto segue:
+ Due o più account a cui è possibile accedere AWS Backup
+ L'account proprietario di Vault che intende condividere dispone delle autorizzazioni RAM necessarie. Per l'esecuzione di questa procedura è necessaria l'autorizzazione `ram:CreateResourceShare`. La policy `AWSResourceAccessManagerFullAccess` contiene tutte le autorizzazioni necessarie relative alla RAM:
+ `backup:DescribeBackupVault`
+ `backup:DescribeRecoveryPoint`
+ `backup:GetRecoveryPointRestoreMetadata`
+ `backup:ListProtectedResourcesByBackupVault`
+ `backup:ListRecoveryPointsByBackupVault`
+ `backup:ListTags`
+ `backup:StartRestoreJob`
+ Almeno un vault logicamente isolato
------
#### [ Console ]
1. [Apri la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione a sinistra, seleziona **Vault**.
1. Sotto le descrizioni dei vault sono visualizzati due elenchi, **Vault di proprietà di questo account** e **Vault condivisi con questo account**. I vault di proprietà dell'account possono essere condivisi.
1. In **Nome vault**, fai clic sul nome del vault logicamente isolato per aprire la pagina dei dettagli.
1. Il riquadro **Condivisione dell'account** mostra con quali account viene condiviso il vault.
1. Per iniziare la condivisione con un altro account o per modificare gli account con cui è già condiviso, seleziona **Gestione della condivisione**.
1. La AWS RAM console si apre quando si seleziona **Gestisci condivisione**. Per i passaggi per condividere una risorsa utilizzando la AWS RAM, consulta [Creazione di una condivisione di risorse nella AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) nella *Guida per l'utente della AWS RAM*.
1. L'account che riceve un invito per partecipare alla condivisione dispone di 12 ore per accettarlo. Consulta [Accettazione e rifiuto degli inviti alla condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) nella *Guida per l'utente di AWS RAM*.
1. Se i passaggi di condivisione sono stati completati e accettati, la pagina di riepilogo del vault verrà visualizzata in **Condivisione account = "Condiviso - vedere la tabella di condivisione dell'account riportata di seguito"**.
------
#### [ AWS CLI ]
AWS RAM utilizza il comando CLI. `create-resource-share` L'accesso a questo comando è disponibile solo per gli account con autorizzazioni sufficienti. Consulta [Creazione di una condivisione di risorse in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) per i passaggi della CLI.
I passaggi da 1 a 4 devono essere eseguiti con l'account proprietario del vault logicamente isolato. I passaggi da 5 a 8 devono essere eseguiti con l'account con cui il vault logicamente isolato sarà condiviso.
1. Accedi all'account proprietario OPPURE richiedi che un utente della tua organizzazione che dispone di credenziali sufficienti per accedere all'account di origine completi questi passaggi.
1. Se in precedenza è stata creata una condivisione di risorse e desideri aggiungerne una aggiuntiva, utilizza invece il comando CLI `associate-resource-share` con l'ARN del nuovo vault.
1. Recupera le credenziali di un ruolo con autorizzazioni sufficienti per la condivisione tramite RAM. [Inserisci tali credenziali nella CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new).
1. Per l'esecuzione di questa procedura è necessaria l'autorizzazione `ram:CreateResourceShare`. La policy [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)contiene tutte le autorizzazioni relative alla RAM.
1. Utilizza [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).
1. Includi l'ARN del vault logicamente isolato.
1. Input di esempio:
```
aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1
```
1. Output di esempio:
```
{
"resourceShare":{
"resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name":"MyLogicallyAirGappedVault",
"owningAccountId":"123456789012",
"allowExternalPrincipals":true,
"status":"ACTIVE",
"creationTime":"2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
}
}
```
1. Copia l'ARN della condivisione di risorse nell'output (necessario per i passaggi successivi). Fornisci l'ARN all'operatore dell'account che stai invitando a ricevere la condivisione.
1. Ottieni l'ARN della condivisione di risorse
1. Se non hai eseguito i passaggi da 1 a 4, richiedili a chi l'ha resourceShareArn fatto.
1. Ad esempio: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`
1. Nella CLI, assumi le credenziali dell'account del destinatario.
1. Ricevi un invito alla condivisione delle risorse con [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html). Per ulteriori informazioni, consulta [Accettare e rifiutare gli inviti](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) nella *Guida per l'utente di AWS RAM *.
1. Accetta l'invito nell'account di destinazione (ripristino).
1. Utilizza [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (può anche utilizzare [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)).
Puoi usare i comandi AWS RAM CLI per visualizzare gli elementi condivisi:
+ Risorse che hai condiviso:
`aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Mostra il principale:
`aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Risorse condivise da altri account:
`aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`
------
## Ripristina un backup da un archivio logicamente isolato
È possibile ripristinare un backup archiviato in un vault con sistema logico dall'account proprietario del vault o da qualsiasi account con cui il vault è condiviso.
Vedi [Ripristino di un backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) per informazioni su come ripristinare un punto di ripristino tramite la console. AWS Backup
Una volta che un backup è stato condiviso da un archivio logicamente isolato sul tuo account, puoi [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)utilizzarlo per ripristinare il backup.
Un input CLI di esempio può includere il comando e i parametri seguenti:
```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```
## Eliminare un vault con intercapedine logiche
[Vedi eliminare un vault.](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault) I vault non possono essere eliminati se contengono ancora backup (punti di ripristino). Assicurati che il vault sia privo di backup prima di iniziare un'operazione di eliminazione.
L'eliminazione di un archivio comporta anche l'eliminazione della chiave associata al vault sette giorni dopo l'eliminazione del vault, in conformità alla politica di eliminazione delle chiavi.
Il seguente comando CLI di esempio [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) può essere utilizzato per eliminare un vault.
```
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```
## Opzioni programmatiche aggiuntive per archivi con intercapedine logiche
Il comando CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) può essere modificato per elencare tutti i vault di proprietà e presenti nell'account:
```
aws backup list-backup-vaults
--region us-east-1
```
Per elencare solo i vault logicamente isolati, aggiungi il parametro
```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```
Includi il parametro `by-shared` per filtrare l'elenco di archivi restituito in modo da mostrare solo gli archivi condivisi con intercapedine logiche. La risposta includerà le informazioni sul tipo di chiave di crittografia per ogni archivio condiviso.
```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```
Esempio di risposta che mostra le informazioni sul tipo di chiave di crittografia:
```
{
"BackupVaultList": [
{
"BackupVaultName": "shared-logically air-gapped-vault",
"BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30
}
]
}
```
**Nota**
Il `VaultType` campo non è incluso nella risposta dell'API nelle regioni in cui non sono disponibili casseforti con intercapedine logiche.
## Comprensione dei tipi di chiavi di crittografia per gli archivi con intercapedine logiche
Gli archivi con intercapedine logiche supportano diversi tipi di chiavi di crittografia e queste informazioni sono visibili tramite una console. AWS Backup APIs Quando gli archivi vengono condivisi tramite AWS RAM o MPA, le informazioni sul tipo di chiave di crittografia vengono conservate e rese visibili agli account con cui il vault è condiviso. Questa trasparenza aiuta a comprendere la configurazione di crittografia dei vault e a prendere decisioni informate sulle operazioni di backup e ripristino.
### Valori del tipo di chiave di crittografia
Il `EncryptionKeyType` campo può avere i seguenti valori:
+ `AWS_OWNED_KMS_KEY`- Il vault è crittografato con una chiave AWS di proprietà. Questo è il metodo di crittografia predefinito per gli archivi con intercapedine logiche quando non viene specificata alcuna chiave gestita dal cliente.
+ `CUSTOMER_MANAGED_KMS_KEY`- Il vault è crittografato con una chiave KMS gestita dal cliente e controllata dall'utente. Questa opzione fornisce un controllo aggiuntivo sulle chiavi di crittografia e sulle politiche di accesso.
**Nota**
AWS Backup consiglia di utilizzare chiavi AWS di proprietà con archivi logicamente isolati.
Se la politica dell'organizzazione richiede l'utilizzo di una chiave gestita dal cliente, AWS non è consigliabile utilizzare le chiavi dello stesso account, ad eccezione dei test. Per i carichi di lavoro di produzione, come best practice utilizza una chiave gestita dal cliente proveniente da un altro account in un'organizzazione secondaria dedicata al ripristino. Puoi fare riferimento al blog [Encrypt AWS Backup (archivi con intercapedine logiche con chiavi gestite dal cliente) per raccogliere maggiori informazioni sulla configurazione di vault airgapping](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) logici basati su CMK.
È possibile selezionare una chiave di crittografia KMS solo durante la creazione del vault. AWS Una volta creati, tutti i backup contenuti nel vault verranno crittografati con quella chiave. Non è possibile modificare o migrare i vault per utilizzare una chiave di crittografia diversa.
### Politica chiave per la creazione di vault con intercapedine logiche crittografate CMK
Quando si crea un vault con intercapedine logiche con una chiave gestita dal cliente, è necessario applicare la politica gestita al ruolo dell'account. AWS`AWSBackupFullAccess` Questa policy include `Allow` azioni che consentono di interagire con AWS KMS la creazione AWS Backup di sovvenzioni sulle chiavi KMS durante le operazioni di backup, copia e archiviazione. Inoltre, è necessario assicurarsi che la politica relativa alle chiavi gestite dai clienti (se utilizzata) includa le autorizzazioni specifiche richieste.
+ La CMK deve essere condivisa con l'account in cui si trova il vault con intercapedine logiche
```
{
"Sid": "Allow use of the key to create a logically air-gapped vault",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
**Politica chiave per la copia/ripristino**
Per evitare errori nei lavori, rivedi la tua politica AWS KMS chiave per assicurarti che includa tutte le autorizzazioni richieste e non contenga dichiarazioni di negazione che potrebbero bloccare le operazioni. Si applicano le seguenti condizioni:
+ Per tutti gli scenari di copia, CMKs devono essere condivisi con il ruolo di copia di origine
```
{
"Sid": "Allow use of the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
+ Quando si esegue la copia da un archivio airgap logico crittografato CMK a un archivio di backup, il CMK deve essere condiviso anche con l'account di destinazione SLR
```
{
"Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
+ Quando si esegue la copia o il ripristino da un account di ripristino utilizzando un vault condiviso con sistema logico airgapped RAM/MPA
```
{
"Sid": "Allow use of the key for copy/restore from a recovery account",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
**Ruolo IAM**
Quando eseguono operazioni di copia del vault con sistema logico, i clienti possono utilizzare il sistema, che include la policy gestita. `AWSBackupDefaultServiceRole` AWS`AWSBackupServiceRolePolicyForBackup` Tuttavia, se i clienti preferiscono implementare un approccio basato sulla politica dei privilegi minimi, la loro politica IAM deve includere un requisito specifico:
+ Il ruolo di copia dell'account di origine deve disporre delle autorizzazioni di accesso sia all'origine che alla destinazione. CMKs
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
},
{
"Sid": "KMSCreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
]
}
```
Di conseguenza, uno degli errori più comuni dei clienti si verifica durante la copia, quando i clienti non forniscono autorizzazioni sufficienti per i loro ruoli CMKs e per quelli di copia.
### Visualizzazione dei tipi di chiavi di crittografia
È possibile visualizzare le informazioni sul tipo di chiave di crittografia sia tramite la AWS Backup console che a livello di programmazione utilizzando o. AWS CLI SDKs
**Console:** quando si visualizzano casseforti con sistema logico nella AWS Backup console, il tipo di chiave di crittografia viene visualizzato nella pagina dei dettagli del vault nella sezione delle informazioni di sicurezza.
**AWS CLI/API:** il tipo di chiave di crittografia viene restituito nella risposta delle seguenti operazioni quando si eseguono interrogazioni su vault con airgap logico:
+ `list-backup-vaults`(incluso per gli archivi condivisi) `--by-shared`
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`
### Considerazioni sulla crittografia dei vault
Quando lavorate con archivi con intercapedine logiche e tipi di chiavi di crittografia, tenete presente quanto segue:
+ **Selezione delle chiavi durante la creazione:** è possibile specificare facoltativamente una chiave KMS gestita dal cliente durante la creazione di un vault con airgap logico. Se non viene specificata, verrà utilizzata una chiave di proprietà. AWS
+ **Visibilità del vault condiviso:** gli account con cui è condiviso un archivio possono visualizzare il tipo di chiave di crittografia ma non possono modificare la configurazione di crittografia.
+ **Informazioni sui punti di ripristino:** il tipo di chiave di crittografia è disponibile anche quando si visualizzano i punti di ripristino all'interno di archivi con intercapedine logiche.
+ **Operazioni di ripristino:** la comprensione del tipo di chiave di crittografia consente di pianificare le operazioni di ripristino e comprendere eventuali requisiti di accesso.
+ **Conformità:** le informazioni sul tipo di chiave di crittografia supportano i requisiti di rendicontazione e verifica della conformità fornendo trasparenza sui metodi di crittografia utilizzati per i dati di backup.
## Utilizzo della chiave di proprietà del servizio
AWS Backup crea e gestisce chiavi di crittografia utilizzate per crittografare tutti i dati di backup archiviati in archivi logici con sistema airgap, per proteggere e prevenire la perdita di accesso alla chiave di crittografia durante un evento di perdita di dati.
+ Queste chiavi sono gratuite e non vengono conteggiate nelle quote del AWS KMS tuo account.
+ Una singola chiave viene utilizzata solo per un deposito specifico e non viene condivisa con nessun altro account o per altri scopi.
+ Queste chiavi vengono eliminate una volta eliminato anche il vault assegnato (vuoto).
+ Queste chiavi vengono create utilizzando la specifica chiave [SYMMETRIC\$1DEFAULT](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).
+ La politica di rotazione predefinita è di 90 giorni. Puoi richiedere la rotazione (una volta ogni 6 mesi) delle chiavi di crittografia di proprietà del servizio per i tuoi vault logicamente chiusi tramite un ticket di supporto.
[Consulta la documentazione per saperne di più.AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)
## Considerazioni sulla riparazione automatica della sicurezza
Quando AWS Backup copia un backup EC2 (AMI) su un vault logico, lo concede temporaneamente (sull'AMI) `createVolumePermission` e `launchPermission` (sulle istantanee EBS associate) a un account di proprietà del servizio. Queste autorizzazioni vengono revocate automaticamente dopo il completamento della copia.
Queste operazioni `ModifyImageAttribute` generano `ModifySnapshotAttribute` eventi nei AWS CloudTrail registri, con impostazione su. `userIdentity.invokedBy` `backup.amazonaws.com`
Se disponi di una logica di riparazione automatica della sicurezza (ad esempio, Amazon EventBridge rules with AWS Lambda) che monitora questi eventi e revoca la condivisione tra account, devi escludere gli eventi in cui si trova. `userIdentity.invokedBy` `backup.amazonaws.com` In caso contrario, i lavori di copia in archivi con intercapedine logiche falliranno con: «Non sei autorizzato ad accedere allo spazio di archiviazione di questo ami».
Questa esclusione è sicura perché la copia è autorizzata dalle politiche di accesso del vault (sul vault di origine e `backup:CopyFromBackupVault` `backup:CopyIntoBackupVault` sul vault di destinazione), che vengono valutate prima che si verifichi qualsiasi modifica degli attributi EC2. Le autorizzazioni temporanee vengono concesse solo a un account fisso di AWS proprietà del servizio e vengono revocate automaticamente dopo il completamento della copia.
Esempio di schema di eventi della EventBridge regola che esclude le operazioni: AWS Backup
```
{
"source": ["aws.ec2"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["ec2.amazonaws.com"],
"eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
"userIdentity": {
"invokedBy": [{"anything-but": "backup.amazonaws.com"}]
}
}
}
```
## Risolvi un problema relativo al vault con intercapedine logiche
Se riscontri errori durante il flusso di lavoro, consulta i seguenti errori di esempio e le risoluzioni suggerite:
### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
**Errore:** `Copy job fails with "You do not have permission to access the storage of this ami."`
**Possibile causa:** durante un processo di copia dell'AMI EC2 su un vault logicamente collegato, concede AWS Backup temporaneamente l'autorizzazione all'avvio (AMI) e alla creazione di volume (snapshot EBS) a un account di proprietà del servizio, generando ed eventi nei log. `ModifyImageAttribute` `ModifySnapshotAttribute` AWS CloudTrail Se disponi di una logica di riparazione automatica della sicurezza (come EventBridge le regole con Lambda) che monitora questi eventi e revoca automaticamente le autorizzazioni di condivisione tra account, è possibile rimuovere l'accesso temporaneo prima del completamento della copia.
**Nota**
Ciò può accadere allo stesso modo per i lavori di copia per altre risorse come Amazon FSx.
**Risoluzione:** aggiorna lo schema degli eventi della EventBridge regola per escludere le operazioni eseguite da AWS Backup. In particolare, escludi gli eventi in cui si `userIdentity.invokedBy` trova `backup.amazonaws.com` per garantire che la logica di riparazione automatica non revochi le autorizzazioni temporanee tra account concesse durante il processo di copia. AWS Backup
### `AccessDeniedException`
**Errore:** `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`
**Causa possibile:** il parametro non `--backup-vault-account-id` è stato incluso quando una delle seguenti richieste è stata eseguita su un archivio condiviso dalla RAM:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`
**Risoluzione:** riprova il comando che ha restituito l'errore, ma includi il parametro `--backup-vault-account-id` che specifica l'account proprietario del vault.
### `OperationNotPermittedException`
**Errore:** `OperationNotPermittedException` viene restituito dopo una chiamata. `CreateResourceShare`
**Possibile causa:** se si tenta di condividere una risorsa, ad esempio un vault logicamente isolato, con un'altra organizzazione, è possibile che si verifichi questa eccezione. Un vault può essere condiviso con un account di un'altra organizzazione, ma non può essere condiviso con l'altra organizzazione stessa.
**Risoluzione:** riprova l'operazione, ma specifica un account come valore per `principals` anziché un'organizzazione o un'unità organizzativa.
### Tipo di chiave di crittografia non visualizzato
**Problema:** il tipo di chiave di crittografia non è visibile quando si visualizza un archivio logicamente isolato o i relativi punti di ripristino.
**Possibili cause:**
+ Stai visualizzando un archivio precedente creato prima dell'aggiunta del supporto per i tipi di chiavi di crittografia
+ Stai utilizzando una versione precedente di AWS CLI o SDK
+ La risposta dell'API non include il campo del tipo di chiave di crittografia
**Risoluzione:**
+ Aggiorna il tuo AWS CLI alla versione più recente
+ Per gli archivi più vecchi, il tipo di chiave di crittografia verrà compilato automaticamente e dovrebbe apparire nelle successive chiamate API
+ Verifica di utilizzare le operazioni API corrette che restituiscono informazioni sul tipo di chiave di crittografia
+ Per gli archivi condivisi, verifica che l'archivio sia condiviso correttamente tramite AWS Resource Access Manager
### «FAILED» VaultState con log in AccessDeniedException CloudTrail
**Errore in CloudTrail:** `"User: is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`
**Possibili cause:**
+ Il vault è stato creato utilizzando una chiave gestita dal cliente, ma il ruolo assunto non dispone dell' CreateGrant autorizzazione sulla politica chiave richiesta per utilizzare la chiave per la creazione del vault
**Risoluzione:**
+ Concedi le autorizzazioni specificate nella [Politica chiave per la creazione di vault con intercapedine logiche crittografate CMK](#key-policy-lag-vault-creation) sezione, quindi riprova il flusso di lavoro per la creazione del vault.
# Backup primari su vault logicamente isolate
## Panoramica di
La funzionalità di backup primario di logically airgapped vault offre la possibilità di specificare un vault logicamente airgapped come destinazione di backup principale all'interno dello stesso account, sia per i lavori di backup pianificati che su richiesta. In questo modo si elimina la necessità di conservare copie separate sia in un archivio di backup standard che in un archivio logicamente isolato, riducendo i costi e semplificando i flussi di lavoro, preservando al contempo i vantaggi in termini di sicurezza dell'air-gapping logico.
È possibile assegnare un vault logicamente isolato come obiettivo principale nei piani di backup, nelle politiche a livello di organizzazione o nei backup su richiesta. In precedenza, per eseguire il backup in un vault logicamente chiuso, era necessario prima creare un backup in un archivio di backup e poi copiarlo in un archivio con airgap logico. Con questa funzionalità, a seconda del tipo di risorsa, è AWS Backup possibile creare backup direttamente nel vault logicamente chiuso o gestire automaticamente i backup temporanei che vengono copiati nel vault logicamente chiuso e quindi eliminati.
Il comportamento dipende da due fattori:
+ Se il tipo di risorsa è supportato da un vault con intercapedine logiche.
+ [Se il tipo di risorsa supporta la gestione completa. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management)
**avvertimento**
Se adotti questa funzionalità, ti consigliamo di integrare i tuoi vault logicamente isolati con [l'approvazione multipartitica](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA). Ciò consente il ripristino dei backup nel vault anche se l'account proprietario del vault è inaccessibile.
Non ci sono nuovi prezzi per questa funzionalità. Ti vengono addebitati solo i backup archiviati in vault logicamente chiusi e le istantanee temporanee (durante il periodo di conservazione nel sistema) delle risorse applicabili alle tariffe prevalenti. Per i dettagli, consulta la pagina relativa ai [AWS Backup prezzi](https://aws.amazon.com/backup/pricing/).
**Topics**
+ [Panoramica di](#lag-primary-backup-overview)
+ [Come funziona](#lag-primary-backup-how-it-works)
+ [Considerazioni sui costi](#lag-primary-backup-cost)
+ [Configura il backup primario del vault con intercapedine logiche](#lag-primary-backup-configure)
+ [Monitora logicamente il backup primario del vault con intercapedine](#lag-primary-backup-monitor)
+ [Onboarding e migrazione](#lag-primary-backup-onboarding)
+ [Risoluzione dei problemi](#lag-primary-backup-troubleshooting)
## Come funziona
Puoi sfruttare questa funzionalità aggiornando il tuo piano di backup esistente o creandone uno nuovo e aggiungendo un ARN del vault con gap logico (nome campo`TargetLogicallyAirGappedBackupVaultArn`:) come destinazione di backup principale. È possibile eseguire questa operazione tramite la AWS Backup console o tramite i comandi AWS Backup CLI.
```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```
Quando si specificano sia un archivio di backup che un archivio con intercapedine logiche come destinazioni per i processi di backup, AWS Backup determina il flusso di lavoro appropriato in base al tipo di risorsa e alla configurazione di crittografia.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)
**Risorse supportate per il backup primario su archivi con sistema logico**
[Per visualizzare l'elenco completo delle risorse supportate per gli archivi con sistema airgap logico, consulta la pagina sulla disponibilità delle funzionalità. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources) Tutte le risorse che supportano gli archivi con airgap logico seguono il principio di conservare una sola copia del backup, anziché archiviare due copie separate, quando si utilizza questa funzionalità.
**avvertimento**
Il supporto delle risorse attualmente non supportate per questa funzionalità potrebbe essere abilitato in futuro. Quando ciò si verifica, la nuova risorsa supportata inizierà automaticamente a eseguire il backup nel vault logicamente isolato utilizzando il flusso di lavoro mostrato sopra.
**Considerazioni e limitazioni:**
+ **Solo lo stesso account e la stessa regione**: per utilizzare questa funzionalità, la tua cassetta di sicurezza con intercapedine logiche deve trovarsi nello stesso AWS account e nella stessa regione delle tue risorse. Non è possibile creare backup direttamente tra account o tra regioni diverse. Ti consigliamo di eseguire il backup su un archivio con sistema logico nella stessa regione per consentire un ripristino più rapido senza richiedere una copia. Se hai bisogno di una copia dei dati in una seconda regione per il ripristino di emergenza (DR), ti consigliamo la replica interregionale delle risorse principali per un failover rapido o le copie dei punti di ripristino tra regioni su un archivio di backup bloccato.
+ **Limiti relativi all'utilizzo di chiavi AWS gestite: le** risorse che non supportano la AWS Backup gestione completa e sono crittografate con chiavi AWS gestite (ad esempio`aws/ebs`,`aws/rds`) non possono essere copiate in archivi con sistema logico. Queste risorse devono essere crittografate con una chiave KMS gestita dal cliente o non essere crittografate. Le risorse che supportano AWS Backup la gestione completa **non hanno questo vincolo**.
+ **Frequenza di backup e copie simultanee**: per le risorse che non supportano la AWS Backup gestione completa, assicurati che la frequenza di backup consenta il tempo sufficiente per il completamento delle copie. Se i backup vengono pianificati con una frequenza superiore a quella consentita per le copie, i processi di copia verranno messi in coda e potrebbero avere esito negativo. [Per indicazioni sui limiti di copia simultanea, consulta le quote.](aws-backup-limits.md#lag-vault-quotas-table)
+ **Compatibilità con il ciclo** di vita: il periodo di conservazione specificato nel piano di backup deve essere compatibile con i periodi di conservazione minimo e massimo configurati per il vault logicamente isolato.
+ **Archivi di backup bloccati**: se l'archivio di backup di destinazione dispone di un blocco del vault abilitato, i punti di ripristino temporanei non possono essere eliminati manualmente e verranno conservati fino al completamento della copia o alla scadenza del periodo di conservazione.
+ **Test di ripristino, indicizzazione e scansione: i test di ripristino, l'indicizzazione dei punti di ripristino e la scansione** antimalware ignoreranno i punti di ripristino temporanei con un ciclo di vita. `DELETE_AFTER_COPY` L'indicizzazione dei punti di ripristino non supporta i punti di ripristino in vault con intercapedine logiche. La scansione antimalware non supporta le scansioni pianificate dei punti di ripristino copiati, che includono le copie automatiche eseguite come parte dei backup principali su un archivio con sistema logico.
### Risorse a supporto della gestione completa AWS Backup
Alcuni tipi di risorse, come Amazon EFS, Amazon S3, Amazon DynamoDB [AWS Backup con funzionalità avanzate](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html) e così via, che supportano la gestione AWS Backup completa, possono eseguire il backup direttamente nel tuo vault logicamente airgapped. Nel vault di backup non viene creato alcun punto di ripristino e non è richiesta alcuna operazione di copia. Qualsiasi azione di copia pianificata nel piano di backup utilizza come origine il punto di ripristino nel vault con sistema logico di intercapedine.
Le risorse che supportano il backup continuo, come Amazon S3, possono anche eseguire il backup continuo direttamente su un vault logico con sistema airgap.
Per un elenco dei tipi di risorse che supportano la AWS Backup gestione completa e gli archivi con intercapedine logiche, consulta la sezione [Disponibilità delle funzionalità per risorsa](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) nelle colonne «Gestione completa» e «Vault logicamente airgapped».
### AWS Backup Risorsa che non supporta la gestione completa
Risorse come Amazon EBS/EC2, Amazon Aurora e FSx Amazon non possono eseguire il backup direttamente su vault logici con sistema airgap. Per questi tipi di risorse, AWS Backup crea un punto di ripristino temporaneo nel tuo archivio di backup e quindi lo copia automaticamente nel tuo archivio logico con sistema airgap.
Il punto di ripristino temporaneo ha una speciale impostazione del ciclo di vita denominata. `DELETE_AFTER_COPY` Una volta completata correttamente la copia nel vault logicamente isolato, elimina automaticamente il punto di ripristino temporaneo. AWS Backup Tutte le altre azioni di copia pianificate nel piano di backup iniziano parallelamente alla copia nel vault logicamente isolato e non influiscono sull'esperienza di copia corrente.
Se la copia nel vault con sistema di backup logico fallisce, il punto di ripristino temporaneo viene mantenuto nel vault di backup in base al periodo di conservazione specificato. Ciò consente di disporre sempre di un punto di ripristino utilizzabile dopo il completamento di un processo di backup. Se il punto di ripristino viene successivamente copiato manualmente nel vault logicamente isolato, viene ripulito automaticamente in base alla regola. `DELETE_AFTER_COPY`
**avvertimento**
Le risorse crittografate con chiavi AWS gestite (ad esempio`aws/ebs`) non sono supportate per la copia in archivi con sistema logico. Queste risorse devono essere crittografate con una chiave gestita AWS Key Management Service dal cliente o non essere crittografate. Le risorse che supportano AWS Backup la gestione completa non hanno questo vincolo.
#### Elimina dopo il ciclo di vita della copia
I punti di ripristino temporanei hanno un nuovo attributo del ciclo di vita chiamato `DeleteAfterEvent` con il valore di. `DELETE_AFTER_COPY` Questo attributo indica che il punto di ripristino verrà eliminato automaticamente dopo il completamento di tutti i processi di copia o dopo il periodo di conservazione specificato, a seconda dell'evento che si verifica per primo.
Un punto di ripristino temporaneo viene eliminato quando sono soddisfatte tutte le seguenti condizioni:
+ Tutti i processi di copia automatici e pianificati sono terminati.
+ È stato completato un processo di copia nel vault con sistema di archiviazione logico di destinazione, con un periodo di conservazione almeno pari a quello del punto di ripristino di origine.
Se è necessario impedire l'eliminazione manuale del punto di ripristino temporaneo mentre le copie sono in corso, è consigliabile utilizzare un archivio di backup bloccato come archivio di backup di destinazione.
#### Il backup continuo di Resource non supporta la gestione completa AWS Backup
Per risorse come Amazon Aurora, se abiliti il backup continuo, AWS Backup crea un punto di ripristino continuo nel tuo archivio di backup e scatta uno snapshot temporaneo che viene copiato nel tuo vault con sistema logico. Lo snapshot temporaneo deve essere eliminato automaticamente dopo il completamento della copia, indipendentemente dal fatto che la copia abbia esito positivo o negativo, poiché nel vault di backup viene mantenuto un punto di ripristino continuo.
Se non desideri creare un punto di ripristino continuo per Amazon Aurora nel tuo archivio di backup, ma desideri un punto di ripristino continuo per Amazon S3 nel tuo vault logicamente collegato, puoi disabilitare l'impostazione di backup continuo (`EnableContinuousBackup`) nel piano corrente e abilitare S3 continuous da un piano diverso.
Per ulteriori informazioni sullo storage di backup Aurora, consulta [Comprendere l'uso dello storage di backup di Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated).
### Risorse non supportate
Se un tipo di risorsa non è supportato da archivi con intercapedine logiche o se una risorsa non completamente gestita è crittografata con una chiave AWS gestita, AWS Backup crea il backup solo nel tuo archivio di backup. Non viene tentata alcuna copia nel vault logicamente isolato. Il processo di backup viene completato correttamente con un messaggio che indica il motivo per cui il backup non è stato trasferito nel vault con sistema logico.
## Considerazioni sui costi
+ Questa funzionalità non comporta nuovi addebiti. Paghi solo per lo spazio di archiviazione nei tuoi caveau.
+ Per quanto riguarda le risorse a supporto AWS Backup della gestione completa, la manutenzione dei backup solo nel vault logicamente chiuso può comportare notevoli risparmi sui costi rispetto alla conservazione di due copie di backup sia in un archivio di backup che in un archivio logicamente distanziato.
+ Per le risorse che non supportano la AWS Backup gestione completa, viene addebitato sia il punto di ripristino temporaneo nel vault di backup che i punti di ripristino nel vault con sistema logico.
+ È comunque possibile ottenere risparmi significativi sui costi grazie alla conservazione di una sola copia di backup, ma tali risparmi possono variare in base alla frequenza di backup e alla frequenza di modifica.
+ Frequenze di backup più basse in genere generano maggiori risparmi perché i punti di ripristino temporanei occupano lo spazio di archiviazione per una percentuale più breve del periodo di fatturazione.
+ Alcune risorse hanno una durata minima di fatturazione, il che aumenta i costi per i punti di ripristino temporanei.
+ Disattiva i tag o il recupero ACLs dei metadati nella configurazione di backup se non utilizzi queste funzionalità di S3. Ciò riduce le chiamate API e i costi associati per il controllo dei metadati durante le operazioni di copia.
## Configura il backup primario del vault con intercapedine logiche
È possibile configurare il backup primario del vault con gap logico tramite la console, la o le policy di backup. AWS Backup AWS CLI AWS CloudFormation AWS Organizations
### Configurazione di un piano di Backup
------
#### [ Console ]
**Per configurare il backup primario del vault con gap logico per un piano di backup**
1. [Apri la console in AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com//backup)
1. Nel riquadro di navigazione, scegli **Piani di backup**, quindi scegli **Crea piano di backup** o seleziona un piano di backup esistente da modificare.
1. Nella sezione **Configurazione delle regole di backup**, specificare le impostazioni delle regole di backup.
1. Per **Backup vault**, scegli l'archivio di backup in cui verranno archiviati i punti di ripristino temporanei (per risorse non completamente gestite) o dove verranno archiviati i backup se non possono essere collocati nel tuo vault logicamente isolato.
1. Per l'archivio con **intercapedine logico (opzionale), scegli l'archivio** con intercapedine logico in cui desideri archiviare i backup.
**Nota**
L'archivio logicamente chiuso deve trovarsi nello stesso account e nella stessa regione del deposito di backup.
1. Configura le impostazioni rimanenti delle regole di backup, incluse le opzioni di copia e ciclo di vita.
1. Scegli **Crea piano** o **Salva** modifiche.
------
#### [ AWS CLI ]
Utilizza il comando CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)per creare un nuovo piano o [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)aggiornare un piano esistente e includi il `TargetLogicallyAirGappedBackupVaultArn` parametro nella regola di backup.
Esempio di comando CLI per creare un piano di backup utilizzando un documento JSON:
```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```
Esempio di comando CLI per creare un piano di backup direttamente nella CLI:
```
aws backup create-backup-plan --backup-plan '{
"BackupPlanName": "MyPlan",
"Rules": [
{
"RuleName": "MyRule",
"TargetBackupVaultName": "MyBackupVault",
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
"ScheduleExpression": "cron(0 1 ? * * *)",
"ScheduleExpressionTimezone": "America/Los_Angeles",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 120,
"Lifecycle": {
"DeleteAfterDays": 35
}
}
]
}'
```
------
### Configura il backup su richiesta
------
#### [ Console ]
**Per configurare il backup primario del vault con gap logico per un backup su richiesta**
1. [Apri la console in /backup. AWS Backup https://console.aws.amazon.com](https://console.aws.amazon.com//backup)
1. Nel riquadro di navigazione selezionare **Protected resources (Risorse protette)**.
1. Nella pagina **Risorse protette**, scegli **Crea backup su richiesta**.
1. Seleziona il tipo di risorsa e l'ARN della risorsa di cui desideri eseguire il backup.
1. Per **Backup vault**, scegli l'archivio di backup.
1. Per l'archivio **con intercapedine logico (opzionale), scegli l'archivio** con gap d'aria logico in cui desideri archiviare il backup.
1. **Configura le impostazioni rimanenti e scegli Crea backup su richiesta.**
------
#### [ AWS CLI ]
Usa il start-backup-job comando con il nuovo `--logically-air-gapped-backup-vault-arn` parametro:
```
aws backup start-backup-job \
--backup-vault-name MyBackupVault \
--logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault \
--resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234 \
--iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole \
--lifecycle DeleteAfterDays=35
```
------
## Monitora logicamente il backup primario del vault con intercapedine
Puoi monitorare lo stato dei backup e dei processi di copia utilizzando la AWS Backup console o AWS CLI gli EventBridge eventi Amazon.
### Monitoraggio dei processi di Backup
Monitora lo stato dei processi di backup ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)) per garantire che le risorse rimangano protette. Un processo di backup non riuscito indica che non è stato creato alcun punto di ripristino.
+ **Verifica la posizione di creazione del punto di ripristino**: quando un processo di backup viene completato correttamente, è disponibile un punto di ripristino nel vault di backup di destinazione o nel vault di destinazione logicamente collegato all'air gap. Controlla il `BackupVaultArn` campo per determinare dove è stato creato il punto di ripristino.
+ **Verifica dello stato del processo**: se una risorsa non è supportata da vault airgapping logici, il job di backup viene completato con un `MessageCategory` of `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED` e un messaggio di stato che spiega perché il backup è stato invece creato nel tuo archivio di backup.
+ **Verifica il tipo di punto di ripristino temporaneo**: per verificare se un punto di ripristino è temporaneo, cerca il campo con un valore di. `RecoveryPointLifecycle.DeleteAfterEvent` `DELETE_AFTER_COPY`
### Monitora i lavori di copia
Monitora i processi di copia ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) nel tuo archivio logicamente isolato per individuare eventuali errori. Un processo di copia non riuscito significa che il punto di ripristino rimane nel deposito di backup standard senza una protezione logica del vault con sistema airgap.
+ **Verifica lo stato del processo di copia**: è possibile monitorare lo stato del processo di copia utilizzando l'evento esistente. `Copy Job State Change` EventBridge Facoltativamente, filtra in base al vault di destinazione (`destinationBackupVaultArn`) per concentrarti sulle copie del vault con intercapedine logiche.
+ **Verifica le copie per un punto di ripristino di origine**: utilizza l'[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)API con il nuovo `BySourceRecoveryPointArn` filtro per trovare tutti i lavori di copia associati a un punto di ripristino specifico, incluse le copie automatiche nel tuo vault con airgap logico e le copie pianificate verso altre destinazioni.
+ **Verifica l'eliminazione del punto di ripristino temporaneo**: monitora il completamento dell'eliminazione temporanea del punto di ripristino. Se lo stato del processo di copia è`RUNNING`, il punto di ripristino non è stato ancora eliminato. Se la copia nel vault con sistema airgap logico lo è`FAILED`, il punto di ripristino verrà conservato per il periodo di conservazione specificato.
**Nota**
I record relativi ai lavori di copia scadono e vengono rimossi 30 giorni dopo il termine. Dopo questo periodo, non è possibile utilizzarli `ListCopyJobs` per determinare lo stato cronologico delle copie.
### Monitor per il punto di ripristino
Monitora i punti di `EXPIRED` ripristino ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)), il che AWS Backup potrebbe indicare che non è stato possibile eliminarli (probabilmente a causa della mancanza di autorizzazioni). `EXPIRED`i punti di ripristino possono avere implicazioni in termini di costi.
+ **Verifica dello stato del punto di ripristino**: utilizza l' EventBridge evento Recovery Point State Change esistente per monitorare le scadenze.
+ **Verifica l'eliminazione del punto di ripristino temporaneo**: se un punto di ripristino con `DeleteAfterEvent: DELETE_AFTER_COPY` non è stato eliminato, utilizza l'`ListCopyJobs`API per determinarne il motivo, come indicato sopra.
## Onboarding e migrazione
Se attualmente utilizzi le azioni di copia per copiare i backup in un archivio con gap logico, puoi migrare al backup primario di un archivio con gap d'aria logico per ridurre i costi. Puoi anche migrare i tuoi backup continui esistenti di Amazon S3 da un archivio di backup a un archivio con sistema logico. Questa guida spiega i prerequisiti e i passaggi necessari per migrare alla funzionalità di backup principale del logically air-gapped vault.
### Prerequisiti e best practice
Prima di poter utilizzare in modo efficace la funzionalità di backup principale di Logically Airgapped Vault, esistono dei prerequisiti e delle best practice consigliate.
**Prerequisiti**
Attualmente, un vault con airgap logico come destinazione di backup principale supporta solo i backup all'interno dello stesso account e della stessa regione delle risorse di backup. AWS AWS I backup dei vault con intercapedine logiche sono intrinsecamente archiviati in account di servizio separati, garantendo l'isolamento tra account e organizzazioni senza richiedere copie su account separati. Se hai bisogno di backup su più regioni, continua a utilizzare il vault logicamente airgapped come destinazione di copia. Prima di passare a questa funzionalità, assicurati di soddisfare i seguenti requisiti:
+ **Requisiti relativi alla regione e all'account**
+ La tua cassetta di sicurezza con sistema logico deve trovarsi nello stesso AWS account e nella stessa regione delle tue risorse
+ **Compatibilità delle risorse**
+ Verifica che le tue risorse siano supportate da archivi con intercapedine logiche in [Feature](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) availability by resource.
+ Verifica se le tue risorse supportano o meno la gestione [completa AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource). L'esperienza di creazione di backup airgapped differisce tra questi due tipi di risorse, anche se il risultato è simile per entrambi.
+ **Requisiti di crittografia**
+ Le risorse che non supportano la AWS Backup gestione completa devono essere non crittografate o crittografate con Customer Managed Keys (CMKs). AWS Le risorse crittografate Managed Key (AMK) non sono supportate da vault con intercapedine logiche.
**Best practice**
+ Inizia con una migrazione pilota di risorse non critiche.
+ Rivedi e regola le frequenze di backup in base alle prestazioni dei processi di copia.
+ Implementa un monitoraggio completo prima della migrazione completa.
+ Verifica regolarmente la creazione dei punti di ripristino nei vault previsti.
### Pianificazione della migrazione
+ Rivedi i piani e le politiche di backup esistenti.
+ Identifica quali risorse supportano AWS Backup la gestione completa e quali no.
+ Risorse che supportano la AWS Backup gestione completa (ad esempio, EFS, S3): è possibile eseguire il backup direttamente su vault con sistema logico
+ Risorse che non supportano la AWS Backup gestione completa (ad esempio, EC2, EBS, FSx): richiedono un backup temporaneo nel backup vault prima di essere copiate in Logically air-gapped vault
+ Verifica il volume e la frequenza di backup correnti e assicurati che la configurazione sia in linea con i limiti di copia simultanea per tutte le risorse che non supportano la gestione completa. AWS Backup
+ Salta questo passaggio se esegui già la copia su un vault con sistema logico e con la stessa frequenza dei backup standard.
+ Valuta la possibilità di modificare la frequenza di backup, se necessario, per evitare che i lavori di copia vengano messi in coda.
+ Se si verifica l'accodamento dei processi di copia, sarà comunque disponibile un punto di ripristino utilizzabile nell'archivio di backup standard, in attesa del completamento della copia nell'archivio con sistema logico. Tuttavia, quel punto di ripristino non fornirà il livello di protezione offerto da Logically air-gapped vault.
### Risorse a supporto della gestione completa del percorso di migrazione AWS Backup
Per risorse completamente gestite, è possibile eseguire il backup direttamente nel vault con sistema logico, senza richiedere operazioni di copia.
#### Per backup basati su istantanee
Questo processo si applica a tutti gli scenari di istantanee, indipendentemente dal fatto che l'archivio di backup sia bloccato. Quando si esegue la migrazione di un piano di backup esistente o si utilizza un archivio di backup esistente (primario) e un archivio logicamente isolato (copia) in un nuovo piano di backup:
1. Mantieni il tuo archivio di backup esistente o aggiungilo come destinazione di backup (). `TargetBackupVaultName` Questo archivio non memorizzerà alcun backup, ma deve essere fornito per garantire la compatibilità con le versioni precedenti.
1. Aggiorna il tuo piano di backup per includere il vault logicamente airgapped (`TargetLogicallyAirGappedBackupVaultArn`), esistente nello stesso account, come obiettivo principale.
1. Esamina qualsiasi azione di copia esistente su un altro vault con intercapedine logiche per determinare se è ancora necessaria. È inoltre possibile spostare questo archivio come destinazione principale nella Fase 2 se si trova nello stesso account.
#### Per i backup continui di Amazon S3
Il vault logicamente airgapped come destinazione di backup principale supporta il backup continuo per Amazon S3. Tuttavia, è possibile mantenere un solo punto di ripristino continuo attivo per risorsa in un singolo vault. Se disponi di un punto di ripristino continuo Amazon S3 attivo esistente, devi dissociarlo o eliminarlo prima di crearne uno nuovo in un altro vault. L'aggiunta di una destinazione di vault logicamente isolata (dallo stesso account) al piano di backup, con un punto di ripristino continuo Amazon S3 attivo esistente, causerà il fallimento del processo di backup continuo.
**Per migrare il tuo punto di ripristino continuo Amazon S3 al tuo vault logicamente collegato in aria da un archivio di backup sbloccato:**
1. Aggiorna il tuo piano di backup per aggiungere un'azione di copia al tuo vault logicamente isolato. Ciò ridurrà i costi di generazione del backup iniziale nel vault logicamente chiuso. Saltate questo passaggio se state già eseguendo la copia nel vault locale con sistema logico airgapped.
1. Prima di procedere, verificate che almeno una copia dell'istantanea sia stata completata correttamente nel vault con airgap logico.
1. Dissocia il punto di ripristino continuo Amazon S3 esistente. Chiama l'[DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)API per modificare lo stato del punto di ripristino da AVAILABLE a STOPED. Questa azione preserva i dati di backup esistenti impedendo al contempo l'aggiunta di nuovi dati.
1. Aggiorna il piano di backup per aggiungere logicamente air-gapped vault () `TargetLogicallyAirGappedBackupVaultArn` come destinazione di backup.
1. Rimuovi tutte le azioni di copia precedenti dal piano.
1. Alla successiva esecuzione del piano di backup, verrà creato un nuovo punto di ripristino continuo nel vault logicamente isolato. Questo punto di ripristino sarà incrementale, in base all'istantanea copiata dalla Fase 1.
**Per migrare il tuo punto di ripristino continuo Amazon S3 al tuo vault logicamente collegato in aria da un archivio di backup bloccato:**
1. Aggiorna il tuo piano di backup per aggiungere un'azione di copia al tuo vault logicamente isolato. Ciò ridurrà i costi di generazione del backup iniziale nel vault logicamente chiuso. Saltate questo passaggio se state già eseguendo la copia nel vault locale con sistema logico airgapped.
1. Prima di procedere, verificate che almeno una copia dell'istantanea sia stata completata correttamente nel vault con airgap logico. Assicurati che l'istantanea copiata abbia un periodo di conservazione sufficientemente lungo da rimanere disponibile fino al completamento di tutti i passaggi.
1. Aggiungi il vault logicamente isolato come obiettivo principale e rimuovi qualsiasi azione di copia.
1. Questo passaggio è necessario perché gli archivi bloccati non supportano la dissociazione dei punti di ripristino continui.
1. Il punto di ripristino continuo esistente nell'archivio di backup bloccato continuerà ad accumulare dati fino alla scadenza prevista dal relativo ciclo di vita.
1. I nuovi processi di backup continuo falliranno perché può esistere un solo punto di ripristino continuo attivo per risorsa. Poiché questi processi non riescono, non verrà eseguita alcuna azione di copia.
1. Attendi la scadenza del punto di ripristino continuo esistente. Dopo la scadenza, verrà creato un nuovo punto di ripristino continuo nel vault logicamente isolato. Questo punto di ripristino sarà incrementale in base all'istantanea copiata dal passaggio 1, a condizione che l'istantanea esista ancora nel vault logicamente airgapped.
1. Tutti i dati accumulati nel vault standard andranno persi alla scadenza. Verranno conservati solo i dati di cui è stato eseguito il backup dopo la creazione del nuovo punto di ripristino nel vault Logically air-gapped.
### Risorse che non supportano la gestione completa del percorso di migrazione AWS Backup
Le risorse non completamente gestite richiedono un'operazione di copia nel vault logicamente isolato. Il processo crea un punto di ripristino temporaneo (fatturabile) nel deposito di backup standard, che viene automaticamente copiato nel deposito con sistema logico e quindi eliminato una volta completata la copia. Quando aggiorni il piano di backup per includere una destinazione del vault con sistema logico:
+ I processi di backup creeranno un punto di ripristino nel tuo archivio di backup. Questo ha un ciclo di vita dettato dall'evento. `DELETE_AFTER_COPY`
+ Un processo di copia avvia automaticamente il trasferimento del punto di ripristino nel vault con sistema logico airgap.
+ Una volta completata correttamente la copia, il punto di ripristino temporaneo nel vault viene eliminato.
+ Se la copia fallisce, il punto di ripristino temporaneo viene mantenuto per una durata massima in base al periodo di conservazione specificato, garantendo così un punto di ripristino utilizzabile.
## Risoluzione dei problemi
### Il processo di backup o copia non riesce a causa di un errore di incompatibilità del ciclo di vita
**Errore relativo ai processi di backup:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`
**Errore nei lavori di copia:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`
**Possibile causa:** i processi di backup o di copia non riescono perché il periodo di conservazione è incompatibile con le impostazioni di conservazione minima o massima del vault logically air-gapped.
**Soluzione:** aggiorna il piano di backup per specificare un periodo di conservazione che rientri nei periodi di conservazione minimo e massimo configurati per il tuo vault logically air-gapped.
### I processi di backup continuo falliscono quando «il backup continuo è già abilitato»
**Errore:** `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`
**Possibile causa:** i processi di backup continui non riescono perché esiste già un punto di ripristino continuo per la risorsa in un altro vault.
**Risoluzione:** ogni risorsa può avere un solo punto di ripristino continuo. Se l'archivio di backup è sbloccato, dissocia il punto di ripristino continuo esistente utilizzando il comando. [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) Se il tuo archivio di backup è bloccato, attendi che il punto di ripristino continuo esistente scada in base al suo ciclo di vita.
### Il processo di backup viene completato con «Completato con problemi» - Tipo di risorsa non supportato
**Messaggio**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`
**Possibile causa:** nei processi di backup per risorse non supportate non completamente gestite viene visualizzato il messaggio «Completato con problemi» con un messaggio che indica che la risorsa non è supportata.
**Risoluzione:** i tipi di risorse non supportati eseguono il backup solo nel backup vault. Se si desidera conservare questi backup nel proprio archivio di backup, non è richiesta alcuna azione. Se preferisci non combinare risorse non supportate con il tuo vault con intercapedine logiche, puoi:
+ Rimuovi la risorsa o la destinazione del vault con intercapedine logiche dal tuo piano di backup per queste risorse e continua a eseguire il backup solo nel tuo archivio di backup. Successivamente è possibile aggiungere la risorsa come parte di un piano diverso.
### Il processo di backup viene completato con «Completato con problemi» - Chiave di crittografia non supportata
**Messaggio**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`
**Possibile causa:** nei processi di backup per risorse non completamente gestite non supportate viene visualizzato il messaggio «Completato con problemi» con un messaggio che indica che la risorsa è crittografata con una chiave AWS gestita.
**Soluzione:** le risorse non completamente gestite crittografate con chiavi AWS gestite non possono essere copiate in archivi con sistema logico. Se si desidera conservare questi backup nel proprio archivio di backup, non è richiesta alcuna azione. Se preferisci non combinare risorse non supportate con il tuo vault con intercapedine logiche, puoi:
+ Crittografa nuovamente le tue risorse con una chiave KMS gestita dal cliente oppure
+ Rimuovi la risorsa o la destinazione del vault con intercapedine logiche dal tuo piano di backup per queste risorse e continua a eseguire il backup solo sul tuo archivio di backup. Successivamente è possibile aggiungere la risorsa come parte di un piano diverso.
### I punti di ripristino rimangono `EXPIRED` invariati
**Possibile causa:** i punti di ripristino temporanei passano allo `EXPIRED` stato attuale ma non vengono eliminati.
**Risoluzione:** AWS Backup potrebbero mancare le autorizzazioni per eliminare i punti di ripristino. Verifica che il tuo ruolo di backup disponga delle autorizzazioni IAM necessarie. Potrebbe essere necessario eliminare manualmente i punti `expired` di ripristino.
### I processi di copia sono in coda o hanno esito negativo a causa dell'elevata frequenza di backup
**Possibile causa:** i lavori di copia su archivi con sistema logico sono in coda o hanno esito negativo perché i backup vengono pianificati con una frequenza maggiore rispetto al completamento delle copie.
**Risoluzione:** riduci la frequenza dei backup o modifica la pianificazione dei backup per consentire più tempo tra un backup e l'altro. Per informazioni sui limiti di copia simultanea [AWS Backup , consulta la documentazione relativa alle quote](aws-backup-limits.md#lag-vault-quotas-table).
# Approvazione multipartitica per le casseforti con chiusura logica
## Panoramica dell'approvazione multipartitica in un vault con sistema logico
AWS Backup offre la possibilità di aggiungere l'[approvazione multipartitica](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), una funzionalità di AWS Organizations, alle vostre casseforti logicamente separate. L'approvazione multipartitica offre un'opzione aggiuntiva per aiutare a proteggere le operazioni critiche attraverso un processo di approvazione distribuito.
L'approvazione multipartitica è progettata per aiutare a proteggere le risorse critiche e ridurre al minimo i tempi necessari per il ripristino della piena operatività, ad esempio un'interruzione causata da malintenzionati o da eventi malware. Questa configurazione può aiutarvi a ripristinare il contenuto di un deposito con intercapedine logiche che potrebbe essere stato compromesso.
[Non sono previsti costi aggiuntivi per l'integrazione e l'utilizzo di team di approvazione multipartitici con vault AWS Backup logicamente chiusi (si applicano le tariffe di archiviazione e i trasferimenti tra regioni, come indicato nella pagina dei prezzi).](https://aws.amazon.com/backup/pricing)
In qualità di AWS Backup cliente, puoi utilizzare l'approvazione multipartitica per concedere funzionalità di approvazione di alcune operazioni a un gruppo di persone fidate che possono approvare in modo collaborativo l'accesso a un archivio logico con intercapedine da un account di ripristino creato separatamente in caso di sospette attività dannose che potrebbero compromettere l'uso dell'account principale.
I passaggi seguenti descrivono il flusso consigliato per configurare un' AWS organizzazione di ripristino, impostare l'approvazione multipartitica e quindi utilizzare l'approvazione multipartitica con i vault logicamente separati:
1. Un amministratore [crea una nuova organizzazione tramite Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) da utilizzare per le operazioni di ripristino.
1. Nell'account di gestione di questa nuova organizzazione, l'amministratore crea e configura un'istanza IAM Identity Center (IDC) (per abilitare un'istanza dell'organizzazione, consulta Enable [IAM Identity Center nella IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) *User Guide*). Vedi anche la sequenza per [creare una fonte di identità di approvazione multipartitica](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) nella Guida utente per l'approvazione *multipartitica*.
1. L'amministratore [creerà quindi un team di approvazione](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), il gruppo principale di persone fidate che saranno gli utenti principali dell'approvazione multipartitica.
1. L'amministratore [condivide un team AWS RAM di approvazione](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) con ogni account proprietario di un vault logico e con l'account di ripristino che deve richiedere l'accesso a quel vault.
1. [Un amministratore dell'account proprietario del vault con gap logico associa il vault a un team di approvazione.](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)
1. Un account di ripristino [richiede l'accesso](multipartyapproval-tasks-requester.md#create-restore-access-vault) a un account che dispone di un vault con intercapedine logiche a cui è associato un team di approvazione multipartitico («team»). Il team associato all'account [approva](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html) o rifiuta la richiesta.
1. L'amministratore dell'account proprietario del vault logicamente bloccato può richiedere che il [team di approvazione venga dissociato dal](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team) vault. La richiesta richiede l'attuale approvazione del team.
1. Un amministratore può [aggiornare l'appartenenza al team di approvazione](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html), se necessario, in base alle proprie pratiche di sicurezza o quando le persone entrano o escono dall'organizzazione.
## Prerequisiti e procedure consigliate per l'utilizzo dell'approvazione multipartitica con un vault con sistema logico
Prima di poter utilizzare in modo efficace e sicuro l'approvazione multipartitica con le vostre casseforti logiche, esistono dei prerequisiti e delle best practice consigliate.
**Le migliori pratiche:**
+ Due (o più) AWS organizzazioni tramite Organizations. Una dovrebbe essere l'organizzazione principale in cui disponi di uno o più account con almeno un vault logicamente chiuso. L'organizzazione secondaria dovrebbe essere l'organizzazione di recupero. È in questa organizzazione che verrà gestito il team di approvazione multipartitico.
**Prerequisiti**
1. Hai [impostato l'approvazione multipartitica](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) e disponi di almeno un team di approvazione.
1. Almeno un account nell'organizzazione principale deve disporre di un vault con sistema logico (e del vault di backup originale).
1. L'account di gestione dell'organizzazione principale è abilitato all'approvazione multipartitica.
**Suggerimento**
AWS Backup consiglia di applicare una Service Control Policy (SCP) all'organizzazione principale e di configurarla con le autorizzazioni appropriate per l'organizzazione e per ogni team di approvazione. Consulta la sezione [Termini di approvazione multipartitica](#multipartyapproval-terms) per un esempio di politica.
1. Il team di approvazione composto da più parti dell'organizzazione secondaria (di ripristino) è [condiviso sia AWS RAM con gli](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) account che possiedono i vault con sistema logico che con gli account di ripristino.
## Considerazioni e dipendenze tra regioni quando si utilizza l'approvazione multipartitica
Quando abiliti l'approvazione multipartitica e la tua istanza IAM Identity Center in diverse regioni, l'approvazione multipartitica effettua chiamate verso IAM Identity Center da una regione all'altra. Ciò significa che le informazioni su utenti e gruppi si spostano tra le regioni. Approvazione multipartitica Le risorse del team possono essere create e archiviate solo negli Regione AWS Stati Uniti orientali (Virginia settentrionale).
Le altre risorse Regioni AWS che fanno riferimento alle risorse del team di approvazione multipartitico dipenderanno dagli Regione AWS Stati Uniti orientali (Virginia settentrionale). Di conseguenza, l'approvazione multipartitica effettuerà chiamate interregionali se l'istanza di Identity Center nel vault con sistema and/or logico airgapped non si trova negli Stati Uniti orientali (Virginia settentrionale).
## Termini, concetti e profili utente di approvazione multipartitici
L'approvazione multipartitica nel vault con sistema logico integrato è un'integrazione di e AWS Organizations Gestione dell'account AWS AWS Backup, insieme alle funzionalità AWS Identity and Access Management (IAM) e (RAM). AWS RAM Tramite la CLI, è possibile interagire con ogni servizio per inviare i comandi appropriati. Puoi anche utilizzare la console, ma dovrai accedere alla console del servizio appropriato per completare attività specifiche.
Il modo in cui interagisci con l'approvazione multipartitica dipende dai ruoli e dalle responsabilità che ricopri all'interno dell'organizzazione, nonché dai permessi di cui disponi nei tuoi AWS Backup account.
***Come illustrato nella [Guida per l'utente all'approvazione multipartitica](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), i membri dell'organizzazione che utilizzano l'approvazione multipartitica saranno ***richiedenti***, ***amministratori*** o approvatori.*** [Le autorizzazioni specifiche si applicano a ciascuna funzione lavorativa.](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html) In conformità con le migliori pratiche di sicurezza, un utente deve svolgere una sola funzione lavorativa.
**Console, portali e sessioni**
AWS Backup gli account con uno o più archivi con intercapedine logiche possono utilizzare l'approvazione multipartitica.
Prima del processo di approvazione multipartitico, un amministratore può creare un'organizzazione secondaria AWS Organizations a scopo di ripristino (un'organizzazione di ripristino) se non ne è **stata** configurata una in precedenza.
L'amministratore utilizza quindi AWS Resource Access Manager (RAM) per configurare la condivisione tra organizzazioni tra l'organizzazione principale e l'organizzazione di ripristino.
L'**organizzazione principale** ospita gli account che possiedono e utilizzano un archivio logicamente chiuso, in cui sono archiviati i dati protetti.
**L'organizzazione di ripristino ospita almeno un account di ripristino.** Questo account ospita un punto di accesso che può fungere da «backdoor» fondamentale per il vault logico condiviso con intercapedine d'aria. **Questo punto di accesso è chiamato repository access backup vault.** Questo archivio di accesso non memorizza dati; funge invece da punto di accesso o di montaggio che rispecchia il contenuto del vault di origine logicamente isolato, ma non contiene dati che possano essere modificati o eliminati. Ad esempio, se un cliente esegue il processo di ripristino per un punto di ripristino in un archivio di backup con accesso di ripristino, è il punto di ripristino nel vault con sistema logico a essere ripristinato tramite il ripristino tra account tramite l'account di ripristino.
Per garantire una maggiore sicurezza, i clienti utilizzano questo account di ripristino per eseguire operazioni protette nell'account principale, ma solo dopo che tali operazioni sono state approvate dal team di approvazione associato durante una sessione di [approvazione](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). AWS Una sessione viene creata dopo l'invio di una richiesta di approvazione e termina quando una soglia di membri del team di approvazione approva o rifiuta la richiesta o quando è trascorso il tempo consentito per la sessione.
Un team è composto da **approvatori** (in pratica, la parte dell'approvazione multipartitica delle *parti*) che ricevono notifiche e-mail relative a richieste operative protette. Queste e-mail confermano che è iniziata una sessione di approvazione della richiesta. L'approvazione viene concessa una volta raggiunta la soglia minima di approvazione richiesta. Questa soglia può essere impostata quando viene creato il **team di approvazione multipartitico** («Team»).
I team di approvazione multipartitici sono gestiti tramite il **portale di approvazione multipartitico** Organizations («portale»), un'applicazione AWS gestita che fornisce alle identità una posizione centralizzata in cui i membri del team di approvazione possono ricevere e rispondere agli inviti del team di approvazione e alle richieste operative.
# Attività amministrative
Diverse attività che coinvolgono una panoramica multipartitica richiedevano un utente con autorizzazioni di amministratore AWS Backup e accesso all'account di gestione.
## Crea un team di approvazione
Un utente della tua organizzazione con autorizzazioni di amministratore per un AWS account deve [configurare l'approvazione multipartitica](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (passaggio 3 della [Panoramica](multipartyapproval.md#multipartyapproval-overview)).
[Prima di eseguire questo passaggio, si consiglia di configurare sia un'organizzazione principale che un'organizzazione secondaria (ai fini del ripristino) tramite AWS Organizations il passaggio 1 della Panoramica.](multipartyapproval.md#multipartyapproval-overview)
Per [creare il tuo team, consulta Creare un](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) team di *approvazione nella Guida utente all'approvazione multipartitica*.
Durante l'[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)operazione, uno dei parametri è`policies`. Questo è un elenco di ARNs (Amazon Resource Names) per politiche di risorse di approvazione multipartitiche che definiscono le autorizzazioni che proteggono il team.
La politica mostrata nell'esempio nella *Guida utente per l'approvazione multipartitica* nella procedura [Crea un team di approvazione](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contiene la politica `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` con diverse autorizzazioni necessarie.
Segui questi passaggi per restituire un elenco di politiche disponibili utilizzando: `mpa list-policies`
1. Elenca le politiche:
```
aws mpa list-policies --region us-east-1
```
1. Elenca tutte le versioni delle politiche:
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. Ottieni dettagli su una politica:
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
Espandi di seguito per visualizzare la politica che verrà creata e allegata al tuo team di approvazione mediante questa operazione:
### Ripristina la politica di Access Vault
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## Condividi un team di approvazione multipartitico utilizzando AWS RAM
[Puoi condividere un team di approvazione multipartitico con altri AWS account utilizzando [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), fase 4 della panoramica.](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Condividi un team di approvazione multipartitico utilizzando AWS RAM**
1. Accedi alla [console AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).
1. Nel riquadro di navigazione, scegli **Condivisioni di risorse**.
1. Seleziona **Crea condivisione risorse**.
1. Nel campo **Nome**, inserisci un nome descrittivo per la tua condivisione di risorse.
1. In **Tipo di risorsa**, seleziona **Team di approvazione multipartitico** dal menu a discesa.
1. In **Risorse**, seleziona il team di approvazione che desideri condividere.
1. In **Responsabili**, specifica gli AWS account con cui vuoi condividere il team di approvazione.
1. Per condividere con AWS account specifici, seleziona **AWS account** e inserisci l'account a 12 cifre. IDs
1. Per condividere con un'organizzazione o un'unità organizzativa, seleziona **Organizzazione** o **Unità organizzativa** e inserisci l'ID appropriato.
1. (*Facoltativo*) In **Tag**, aggiungi i tag che desideri associare a questa condivisione di risorse.
1. Seleziona **Crea condivisione risorse**.
Lo stato della condivisione delle risorse verrà inizialmente visualizzato come`PENDING`. Una volta che gli account dei destinatari avranno accettato l'invito, lo stato cambierà in`ACTIVE`.
------
#### [ CLI ]
Per condividere un team di approvazione multipartitico AWS RAM tramite la CLI, utilizza i seguenti comandi:
Innanzitutto, identifica l'ARN del team di approvazione che desideri condividere:
```
aws mpa list-approval-teams --region us-east-1
```
Crea una condivisione di risorse usando il create-resource-share comando:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
Per condividere con un'organizzazione anziché con account specifici:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
Verifica lo stato della condivisione delle risorse:
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
L'account o gli account del destinatario dovranno accettare l'invito alla condivisione delle risorse:
```
aws ram get-resource-share-invitations --region us-east-1
```
Esegui nell'account del destinatario per accettare un invito:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
Una volta accettato l'invito, il team di approvazione multipartitico sarà disponibile all'uso nell'account del destinatario.
------
AWS offre strumenti per condividere l'accesso all'account, incluso l'accesso tramite [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)e l'accesso [multipartitico](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Quando scegli di condividere un vault logicamente isolato con un altro account, prendi in considerazione i seguenti dettagli:
| Funzionalità | AWS RAM condivisione basata | Accesso basato sull'approvazione di più parti |
| --- | --- | --- |
| Accesso a camere blindate logicamente | Una volta completata la condivisione della RAM, è possibile accedere ai vault. | Qualsiasi tentativo effettuato da un altro account deve essere approvato da un numero limite di membri del team di approvazione multipartitico. La sessione di approvazione scade automaticamente 24 ore dopo l'avvio della richiesta. |
| Rimozione dell'accesso | L'account proprietario del vault logicamente isolato può interrompere la condivisione basata sulla RAM in qualsiasi momento. | L'accesso a un vault può essere rimosso solo tramite una richiesta al team di approvazione multipartitico. |
| Copia tra account e regioni and/or | Attualmente non è supportato. | I backup possono essere copiati all'interno dello stesso account o con altri account della stessa organizzazione dell'account di ripristino. |
| Fatturazione dei trasferimenti tra regioni | | I trasferimenti tra regioni vengono fatturati sullo stesso account proprietario del Restore Access Backup Vault. |
| Uso consigliato | L'uso principale è per il recupero dalla perdita di dati e per i test di ripristino. | L'uso principale è in situazioni in cui si sospetta che l'accesso o la sicurezza dell'account siano compromessi. |
| Regioni | Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con intercapedine logiche. | Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con separazione d'aria logica. |
| Ripristina | Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso. | Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso. |
| Configurazione | La condivisione può avvenire non appena l' AWS Backup account imposta la condivisione della RAM e l'account ricevente accetta la condivisione. | La condivisione richiede che l'account di gestione crei prima un team, quindi configuri la condivisione della RAM. Quindi, l'account di gestione attiva l'approvazione multipartitica e assegna il team a un vault con sistema logico. |
| Condivisione | La condivisione avviene tramite RAM all'interno della stessa AWS organizzazione o tra AWS organizzazioni. L'accesso viene concesso secondo il modello «push», in cui l'account proprietario del vault logicamente chiuso concede innanzitutto l'accesso. Quindi, l'altro account accetta l'accesso. | L'accesso a un vault logicamente chiuso avviene tramite i team di approvazione supportati da Organizations all'interno della stessa AWS organizzazione o di più organizzazioni. L'accesso viene concesso in base al modello «pull», in cui l'account ricevente richiede prima l'accesso, quindi il team di approvazione concede o rifiuta la richiesta. |
# Attività del richiedente
## Associate un team di approvazione composto da più parti a un vault con sistema logico
Richiedente: **utente con accesso all'account proprietario del vault logicamente isolato**.
[È possibile associare un team di approvazione composto da più parti a un vault con intercapedine logico per consentire l'approvazione collaborativa per l'accesso al vault (fase 5 della Panoramica).](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Associa un team di approvazione composto da più parti a un deposito con sistema logico**
1. [Apri la console in /backup. AWS Backup https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Vai alla sezione **Backup vault** nel riquadro di navigazione a sinistra.
1. Seleziona l'archivio di backup con sistema logico che desideri associare a un team MPA.
1. **Nella pagina dei **dettagli del vault**, seleziona Assegna team di approvazione.**
1. Dal menu a discesa, seleziona il team di approvazione che desideri associare al vault
1. *Facoltativo* Inserisci un commento che spieghi il motivo dell'associazione.
1. Seleziona **Invia richiesta** per inviare la richiesta di associazione.
Se questo è il primo team di approvazione ad essere associato al vault, il team verrà associato al vault. Se il vault ha già un team associato, vedi [Aggiornare il team di approvazione multipartitico](#update-multpartyapproval-team) per i passaggi.
------
#### [ CLI ]
Utilizzate il comando CLI`associate-backup-vault-mpa-approval-team`, modificato con i seguenti parametri:
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Se questo è il primo team di approvazione ad essere associato al vault, il team verrà associato al vault. Se il vault ha già un team associato, vedi [Aggiornare il team di approvazione multipartitico](#update-multpartyapproval-team) per i passaggi.
------
## Richiedi l'accesso a un vault con intercapedine logiche
Richiedente: **utente con** accesso all'account di ripristino.
[È possibile richiedere l'accesso a un vault logicamente isolato in un altro account (passaggio 6 della panoramica).](multipartyapproval.md#multipartyapproval-overview)
Dopo che un team di approvazione ha accolto la richiesta, AWS Backup crea un vault di backup per l'accesso al ripristino nell'account di ripristino designato, in modo che l'account abbia accesso ai punti di ripristino nel vault collegato con airgap logico.
------
#### [ Console ]
**Richiedi l'accesso a un deposito con intercapedine logiche**
1. [Apri la console in AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Vai alla sezione **Backup vault** nel riquadro di navigazione a sinistra
1. Seleziona i **vault accessibili tramite** la scheda MPA
1. Seleziona **Richiedi l'accesso al vault**.
1. Inserisci l'ARN del vault di backup di origine del vault con intercapedine logiche a cui desideri accedere.
1. Inserisci un nome opzionale per il repository access backup vault. Se non si inserisce un nome, AWS Backup verrà assegnato un nome in base al nome del vault con intercapedine logiche.
1. Inserisci un commento opzionale del richiedente che spieghi il motivo della richiesta di accesso.
1. Seleziona **Invia richiesta per inviare la richiesta** di accesso.
I membri del team di approvazione associati al deposito di origine riceveranno una notifica via e-mail per approvare la richiesta.
Una volta approvata la richiesta dal numero richiesto («soglia») di membri del team, il repository di backup per l'accesso al ripristino verrà creato nell'account di ripristino.
------
#### [ CLI ]
Utilizzare il comando CLI `create-restore-access-backup-vault`:
```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
I membri del team di approvazione MPA associati al deposito di origine riceveranno una notifica per approvare la richiesta. Una volta approvata la richiesta dal numero richiesto («soglia») di membri del team, il repository di backup per l'accesso al ripristino verrà creato nell'account di ripristino.
Puoi controllare lo stato del vault utilizzando:
```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```
------
## Dissocia il team di approvazione multipartitico da Logically Air Gapped Vault
Richiedente: **amministratore dell'account proprietario del vault con sistema logico airgapped**.
[È possibile dissociare un team di approvazione composto da più parti da un vault con sistema logico (passaggio 7 della panoramica).](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Dissocia il team di approvazione dal vault con intercapedine logiche**
1. [Apri la console in /backup. AWS Backup https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Vai alla sezione **Backup vault** nel riquadro di navigazione a sinistra.
1. Seleziona l'archivio di backup logicamente isolato dal quale desideri dissociare il team di approvazione.
1. **Nella pagina dei **dettagli del Vault**, seleziona Dissocia il team di approvazione.**
1. Inserisci un commento facoltativo del richiedente che spieghi il motivo della dissociazione.
1. Seleziona **Invia richiesta per inviare la richiesta** di dissociazione.
Gli attuali membri del team di approvazione riceveranno una notifica per approvare la richiesta.
Una volta approvato dal numero richiesto di membri del team, il team verrà dissociato dal vault.
------
#### [ CLI ]
Utilizzare il comando CLI `disassociate-backup-vault-mpa-approval-team`:
```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Gli attuali membri del team di approvazione MPA riceveranno una notifica per approvare la richiesta. Una volta approvata dal numero richiesto di membri del team, il team verrà dissociato dal vault.
------
## Revoca il vault di backup, ripristino e accesso
Richiedente: **amministratore dell'account proprietario del vault logicamente airgapped**.
È possibile revocare l'accesso a un archivio di backup con accesso di ripristino dall'account del vault di origine.
------
#### [ Console ]
**Revoca il vault di backup e ripristino dell'accesso**
1. [Apri la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Vai alla sezione **Backup vault** nel riquadro di navigazione a sinistra.
1. Seleziona il vault di backup logicamente isolato per il quale desideri revocare l'accesso.
1. **Nella pagina dei **dettagli del Vault**, scorri verso il basso fino alla sezione Accesso tramite approvazione multipartitica.**
1. Trova il vault di backup per l'accesso al ripristino che desideri revocare, quindi seleziona **Richiedi** di rimuovere l'accesso al vault.
1. Inserisci un commento opzionale del richiedente che spieghi il motivo della revoca.
1. Seleziona **Invia richiesta per inviare la richiesta** di revoca.
I membri del team di approvazione riceveranno una notifica per approvare la richiesta.
Una volta approvato dal numero richiesto di membri del team, il repository di backup per l'accesso al ripristino verrà eliminato dall'account di ripristino
------
#### [ CLI ]
Innanzitutto, elenca i vault di backup per l'accesso al ripristino associati al tuo archivio di origine:
```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```
Quindi, usa il comando CLI: `revoke-restore-access-backup-vault`
```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
I membri del team di approvazione riceveranno una notifica per approvare la richiesta. Una volta approvato dal numero richiesto di membri del team, l'archivio di backup per l'accesso al ripristino verrà eliminato dall'account di ripristino.
------
## Aggiorna il team di approvazione multipartitico associato a un vault con sistema logico
Richiedente: **amministratore dell'account proprietario del vault con sistema logico di intercapedine**.
[È possibile aggiornare il team di approvazione multipartitico associato a un vault con sistema logico (fase 8 della panoramica).](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Aggiorna il team di approvazione associato a un vault con intercapedine logiche**
1. [Apri la console in AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Vai alla sezione **Backup vault** nel riquadro di navigazione a sinistra.
1. Seleziona l'archivio di backup logicamente isolato per il quale desideri aggiornare il team di approvazione.
1. **Nella pagina dei dettagli del vault, seleziona Richiedi la modifica del team di approvazione.**
1. Dal menu a discesa, seleziona il nuovo team di approvazione che desideri associare al vault.
1. Inserisci un commento opzionale del richiedente che spieghi il motivo della modifica.
1. Seleziona **Invia richiesta per inviare la richiesta** di modifica.
Gli attuali membri del team di approvazione riceveranno una notifica via e-mail per approvare la richiesta.
Una volta approvato dal numero richiesto di membri del team MPA (soglia), il nuovo team verrà associato al vault.
------
#### [ CLI ]
Usa il comando CLI `associate-backup-vault-mpa-approval-team` con il nuovo ARN del team:
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Gli attuali membri del team di approvazione riceveranno una notifica per approvare la richiesta. Una volta approvato dal numero richiesto di membri del team attuale (soglia), il nuovo team MPA verrà associato al vault.
------
# Attività di approvazione
Un utente membro di un team di approvazione multipartitico può [approvare o rifiutare le richieste](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) che fanno parte di una sessione. Altre attività includono:
+ [Rispondere alle operazioni richieste](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Visualizza un team di approvazione](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Visualizza la cronologia delle operazioni](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)
# Policy di accesso dei vault
Con AWS Backup, è possibile assegnare politiche agli archivi di backup e alle risorse che contengono. L'assegnazione di policy permette di eseguire operazioni come concedere l'accesso agli utenti per creare piani di backup e backup on demand, ma limita la possibilità di eliminare i punti di ripristino dopo la creazione.
Per informazioni sull'utilizzo delle policy per concedere o limitare l'accesso alle risorse, consulta [Policy basate sulle identità e policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) nella *Guida per l'utente di IAM*. Puoi controllare l'accesso anche utilizzando i tag.
È possibile utilizzare le politiche di esempio seguenti come guida per limitare l'accesso alle risorse quando si lavora con AWS Backup i vault. A differenza di altre policy basate su IAM, le policy di AWS Backup accesso non supportano una jolly nella chiave. `Action`
Per un elenco di Amazon Resource Names (ARNs) che puoi utilizzare per identificare i punti di ripristino per diversi tipi di risorse, consulta [AWS Backup risorsa ARNs](access-control.md#resource-arns-table) la sezione dedicata ai punti di ripristino specifici della risorsa. ARNs
Le politiche di accesso di Vault controllano solo l'accesso degli utenti a. AWS Backup APIs Alcuni tipi di backup, come gli snapshot di Amazon Elastic Block Store (Amazon EBS) e Amazon Relational Database Service (Amazon RDS), sono accessibili anche utilizzando uno di questi servizi. APIs È possibile creare policy di accesso separate in IAM che controllino l'accesso a tali tipi di backup per controllare completamente l'accesso APIs a tali tipi di backup.
Indipendentemente dalla politica di accesso del AWS Backup vault, l'accesso tra account per qualsiasi azione diversa `backup:CopyIntoBackupVault` verrà rifiutato, ovvero AWS Backup rifiuterà qualsiasi altra richiesta proveniente da un account diverso dall'account della risorsa a cui si fa riferimento.
**Topics**
+ [Negare l'accesso a un tipo di risorsa in un vault di backup](#deny-access-to-ebs-snapshots)
+ [Negare l'accesso a un vault di backup](#deny-access-to-a-backup-vault)
+ [Negare l'accesso all'eliminazione dei punti di ripristino in un vault di backup](#deny-access-to-delete-recovery-points)
## Negare l'accesso a un tipo di risorsa in un vault di backup
Questa policy nega l'accesso alle operazioni API specificate per tutte le snapshot Amazon EBS di un vault di backup.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyRecoveryPointOperations",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyRole"
},
"Action": [
"backup:UpdateRecoveryPointLifecycle",
"backup:DescribeRecoveryPoint",
"backup:DeleteRecoveryPoint",
"backup:GetRecoveryPointRestoreMetadata",
"backup:StartRestoreJob"
],
"Resource": [
"arn:aws:ec2:*:*:snapshot/*"
]
}
]
}
```
------
## Negare l'accesso a un vault di backup
Questa policy nega l'accesso alle operazioni API specificate eseguite su un vault di backup.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyBackupVaultOperations",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MyRole"
},
"Action": [
"backup:DescribeBackupVault",
"backup:DeleteBackupVault",
"backup:PutBackupVaultAccessPolicy",
"backup:DeleteBackupVaultAccessPolicy",
"backup:GetBackupVaultAccessPolicy",
"backup:StartBackupJob",
"backup:GetBackupVaultNotifications",
"backup:PutBackupVaultNotifications",
"backup:DeleteBackupVaultNotifications",
"backup:ListRecoveryPointsByBackupVault"
],
"Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
}
]
}
```
------
## Negare l'accesso all'eliminazione dei punti di ripristino in un vault di backup
La possibilità di accedere ai vault e di eliminare i punti di ripristino in essi archiviati è determinata dal tipo di accesso concesso agli utenti.
Segui questi passaggi per creare una policy di accesso basata sulle risorse in un vault di backup che impedisca l'eliminazione di qualsiasi backup al suo interno.
**Per creare una policy di accesso basata su risorse per un vault di backup**
1. [Accedi a e apri la Console di gestione AWS console su /backup. AWS Backup https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione a sinistra scegliere **Vault di backup**.
1. Scegliere un vault di backup nell'elenco.
1. Nella sezione **Access policy (Policy di accesso)** incollare l'esempio JSON riportato di seguito. Questa policy impedisce a chiunque non sia l'entità principale di eliminare un punto di ripristino nel vault di backup di destinazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "backup:DeleteRecoveryPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:userId": [
"AIDA1234567890EXAMPLE",
"AROA1234567890EXAMPLE:my-role-session",
"AROA1234567890EXAMPLE:*",
"112233445566"
]
}
}
}
]
}
```
------
Per consentire alle identità IAM elencate di utilizzare il proprio ARN, utilizzare a chiave di condizione globale `aws:PrincipalArn` nell'esempio seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteRecoveryPoint",
"Effect": "Deny",
"Principal": "*",
"Action": "backup:DeleteRecoveryPoint",
"Resource": "*",
"Condition": {
"ArnNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::112233445566:role/mys3role",
"arn:aws:iam::112233445566:user/shaheer",
"arn:aws:iam::112233445566:root"
]
}
}
}
]
}
```
------
Per informazioni su come ottenere un ID univoco per un'entità IAM, consulta [Ottenere l'identificatore univoco](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id) nella *Guida per l'utente di IAM*.
Se si desidera limitare l'accesso a tipi di risorsa specifici, invece di `"Resource": "*"`, è possibile includere esplicitamente i tipi di punti di ripristino a cui negare l'accesso. Ad esempio, per gli snapshot di Amazon EBS, modificare il tipo di risorsa nel modo seguente.
```
"Resource": ["arn:aws:ec2::Region::snapshot/*"]
```
1. Scegliere **Attach policy (Collega policy)**.
# AWS Backup Vault Lock
**Nota**
AWS Backup Vault Lock è stato valutato da Cohasset Associates per l'uso in ambienti soggetti alle normative SEC 17a-4, CFTC e FINRA. [Per ulteriori informazioni su come AWS Backup Vault Lock si rapporta a queste normative, consulta la valutazione della conformità di Cohasset Associates.](samples/cohassetreport.zip)
AWS Backup Vault Lock è una funzionalità opzionale di un archivio di backup, che può essere utile per fornire maggiore sicurezza e controllo sui vault di backup. Quando un blocco è attivo in modalità Compliance e il periodo di prova è scaduto, la configurazione del vault non può essere modificata o eliminata dal cliente, dal account/data proprietario o AWS purché contenga punti di ripristino. Ogni vault può disporre di un solo blocco del vault.
AWS Backup assicura che i backup siano disponibili fino alla scadenza dei periodi di conservazione. Se un utente (incluso l'utente root) tenta di eliminare un backup o modificare le proprietà del ciclo di vita in un archivio bloccato, AWS Backup negherà l'operazione.
+ Nel caso di vault bloccati in **modalità Governance**, il blocco può essere rimosso da utenti con autorizzazioni IAM sufficienti.
+ Gli archivi bloccati in **modalità di conformità** *non possono essere eliminati* una volta scaduto il periodo di riflessione («**periodo di grazia**») se nel vault sono presenti punti di ripristino. Durante il periodo di tolleranza, è comunque possibile rimuovere il blocco del vault e modificare la configurazione del blocco.
**avvertimento**
Una volta scaduto il periodo di tolleranza, il deposito e il relativo blocco sono immutabili e non possono essere modificati o eliminati da nessun utente o da. AWS I backup all'interno di un archivio bloccato non possono essere eliminati fino al completamento del loro ciclo di vita, con conseguenti costi persistenti se non si presta attenzione. Ad esempio, assicurati che non vi siano punti di ripristino con un periodo di conservazione impostato su «Sempre»: una volta scaduto il periodo di prova, questi punti di ripristino verranno conservati per sempre e non possono essere modificati o eliminati.
## Modalità di blocco del vault
Quando si crea un blocco del vault, è possibile scegliere tra due modalità: **modalità Governance** o **modalità Compliance**. La modalità Governance ha lo scopo di consentire la gestione di un vault solo da parte di utenti con privilegi IAM sufficienti. La modalità Governance permette a un'organizzazione di soddisfare i requisiti di governance, garantendo che solo il personale designato possa apportare modifiche a un vault di backup. La modalità Compliance è destinata ai vault di backup in cui si prevede che il vault (e, per estensione, il suo contenuto) non venga mai eliminato o modificato fino al termine del periodo di conservazione dei dati. Una volta bloccato, un vault in modalità di conformità è **immutabile**, il che significa che il blocco *non può essere rimosso* (l'archivio stesso può essere eliminato se è vuoto e non contiene punti di ripristino).
Una vault bloccata in Modalità di governance può essere gestita o eliminata dagli utenti che dispongono delle autorizzazioni IAM appropriate.
Un blocco del vault in modalità Compliance non può essere modificato o eliminato da nessun utente né da AWS. Un blocco del vault in modalità di conformità ha un periodo di tolleranza impostato dall'utente prima che venga bloccato e il contenuto e il blocco del vault diventino immutabili.
## Vantaggi del blocco del vault
AWS Backup Vault Lock offre diversi vantaggi, tra cui:
+ Configurazione WORM (*write-once, read-many*) per tutti i backup archiviati e creati in un vault di backup.
+ Un ulteriore livello di difesa che protegge i backup (punti di ripristino) negli vault di backup da eliminazioni involontarie o dolose.
+ Applicazione di periodi di conservazione, che impediscono l'eliminazione anticipata da parte degli utenti privilegiati (incluso l'utente Account AWS root) e soddisfano le politiche e le procedure di protezione dei dati dell'organizzazione.
## Blocco di un vault di backup tramite la console
Puoi aggiungere un blocco del vault al tuo AWS Backup Vault utilizzando la console di Backup.
Per aggiungere un blocco al vault di backup:
1. [Accedi a e apri Console di gestione AWS la AWS Backup console in /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione, individuare **Vault di backup**. Fare clic sul link annidato all'interno di Vault di backup denominato **Lock del vault**.
1. Nella sezione **Come funzionano i blocchi del vault** o **Blocco del vault**, fare clic su **\$1 Crea blocco del vault**.
1. Nel riquadro **Dettagli del blocco del vault**, scegliere a quale vault si intende applicare il blocco.
1. In **Modalità di blocco del vault**, scegli in quale modalità bloccare il vault. Per ulteriori informazioni sulla scelta delle modalità, consulta la sezione [Modalità di blocco del vault](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes) all'inizio di questa pagina.
1. Alla voce **Periodo di conservazione**, scegliere i periodi di conservazione minimo e massimo (l'indicazione dei periodi di conservazione è *opzionale*). I nuovi processi di backup e copia creati nel vault avranno esito negativo se non sono conformi ai periodi di conservazione impostati; questi periodi non si applicheranno ai punti di ripristino già presenti nel vault. I punti di ripristino presenti nel vault prima dell'attivazione del blocco del vault seguiranno le impostazioni precedenti del ciclo di vita.
1. Se si sceglie la modalità Compliance, viene visualizzata una sezione denominata **Data di inizio del blocco di vault**. Se si sceglie la modalità Governance, questa sezione non verrà visualizzata e il presente passaggio può essere ignorato.
In modalità Compliance, un blocco del vault è associato a un periodo di riflessione dalla creazione del blocco fino a quando il vault e il relativo blocco diventano immutabili e immodificabili. L'utente può scegliere la durata di questo periodo, denominato **periodo di tolleranza**, anche se deve essere di *almeno* 3 giorni (72 ore).
**Importante**
Una volta scaduto il periodo di tolleranza, il vault e il relativo blocco sono immutabili e non possono essere modificati o eliminati da nessun utente o da. AWS
1. Quando si è soddisfatti delle scelte di configurazione, fare clic su **Crea blocco del vault**.
1. Per confermare che si desidera creare questo blocco nella modalità scelta, digitare `confirm` nella casella di testo, quindi selezionare la casella per confermare che la configurazione è quella prevista.
Se i passaggi sono stati completati correttamente, nella parte superiore della console verrà visualizzato il banner "Operazione riuscita".
## Creazione di un blocco di un vault utilizzando il codice
Per configurare AWS Backup Vault Lock, usa l'API. `[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)` I parametri da includere dipenderanno dalla modalità di blocco del vault desiderata. Se desideri creare un blocco del vault in modalità Governance, **non includere** `ChangeableForDays`. Se questo parametro è incluso, il blocco del vault verrà creato in modalità Compliance.
Ecco un esempio di creazione di un blocco del vault in modalità Compliance attraverso l'uso della CLI:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--changeable-for-days 3 \
--min-retention-days 7 \
--max-retention-days 30
```
Ecco un esempio di creazione di un blocco del vault in modalità Governance attraverso l'uso della CLI:
```
aws backup put-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock \
--min-retention-days 7 \
--max-retention-days 30
```
È possibile configurare quattro opzioni.
1. `BackupVaultName`
Il nome del vault da bloccare.
1. `ChangeableForDays` (da includere *solo* per la modalità Compliance)
**Questo parametro indica di AWS Backup creare il blocco del vault in modalità di conformità.** Ometti questo parametro se intendi creare il blocco in **modalità Governance**.
Questo valore deve essere espresso in giorni. Deve essere un numero non inferiore a 3 e non superiore a 36.500. In caso contrario, verrà restituito un errore.
Dalla creazione di questo blocco del vault fino alla scadenza della data specificata, il blocco può essere rimosso dal vault utilizzando `DeleteBackupVaultLockConfiguration`. In alternativa, durante questo periodo, è possibile modificare la configurazione utilizzando `PutBackupVaultLockConfiguration`.
A partire dalla data specificata determinata da questo parametro, il vault di backup sarà immutabile e non potrà più essere modificato o eliminato.
1. `MaxRetentionDays` *(opzionale)*
Questo è un valore numerico che deve essere espresso in giorni. Questo è il periodo di conservazione massimo durante il quale il vault conserva i punti di ripristino.
Il periodo di conservazione massimo scelto deve essere in linea con le policy dell'organizzazione in tema di conservazione dei dati. Se l'organizzazione richiede che i dati debbano essere conservati per un certo periodo, questo valore può essere impostato su tale periodo (in giorni). Ad esempio, potrebbe essere necessario conservare i dati finanziari o bancari per 7 anni (circa 2.557 giorni, a seconda del numero di anni bisestili).
Se non specificato, AWS Backup Vault Lock non applicherà un periodo di conservazione massimo. Se specificato, i processi di backup e copia in questo vault con periodi di conservazione del ciclo di vita superiori al periodo di conservazione massimo avranno esito negativo. I punti di ripristino già salvati nel vault prima dell'applicazione del Vault Lock non sono interessati. Il periodo di conservazione massimo più lungo che è possibile specificare è di 36500 giorni (circa 100 anni).
1. `MinRetentionDays`(*opzionale*; obbligatorio per) CloudFormation
Questo è un valore numerico che deve essere espresso in giorni. Questo è il periodo di conservazione minimo durante il quale il vault conserva i punti di ripristino. Questa impostazione deve essere valorizzata in base al periodo di tempo per il quale la tua organizzazione è *obbligata* a conservare i dati. Ad esempio, se i regolamenti o le leggi richiedono la conservazione dei dati per almeno sette anni, il valore in giorni sarebbe di circa 2.557, a seconda del numero di anni bisestili.
Se non specificato, AWS Backup Vault Lock non applicherà un periodo di conservazione minimo. Se specificato, i processi di backup e copia in questo vault con periodi di conservazione del ciclo di vita inferiori al periodo di conservazione minimo avranno esito negativo. I punti di ripristino già salvati nel vault prima di AWS Backup Vault Lock non sono interessati. Il periodo di conservazione minimo più breve che è possibile specificare è di 1 giorno.
## Controlla la configurazione di un archivio di backup per verificarne AWS Backup la configurazione di Vault Lock
Puoi controllare i dettagli di AWS Backup Vault Lock su un vault in qualsiasi momento chiamando o. `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs
Per determinare se hai applicato un blocco del vault a un vault di backup, invoca `DescribeBackupVault` e controlla la proprietà `Locked`. Se`"Locked": true`, come nell'esempio seguente, hai applicato AWS Backup Vault Lock al tuo vault di backup.
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 1,
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30,
"LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```
L'output precedente conferma le opzioni seguenti:
1. `Locked`è un valore booleano che indica se è stato applicato AWS Backup Vault Lock a questo archivio di backup. `True`significa che AWS Backup Vault Lock causa il fallimento delle operazioni di eliminazione o aggiornamento dei punti di ripristino archiviati nel vault (indipendentemente dal fatto che sia ancora in corso il periodo di tolleranza).
1. `LockDate` è la data e ora UTC in cui termina il periodo di tolleranza legato al periodi di riflessione. Trascorso questo periodo, non è più possibile eliminare o modificare il blocco di questo vault. Utilizza qualsiasi convertitore orario disponibile pubblicamente per convertire questa stringa nell'ora locale.
Se `"Locked":false`, come nell'esempio seguente, non hai applicato un blocco del vault (o ne è stato eliminato uno precedente applicato).
```
{
"BackupVaultName": "my_vault_to_lock",
"BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
"CreationDate": "2021-09-24T12:25:43.030000-07:00",
"CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
"NumberOfRecoveryPoints": 3,
"Locked": false
}
```
## Rimozione del blocco del vault durante il periodo di tolleranza (modalità Compliance)
Per eliminare il blocco del vault durante il periodo di prova (il periodo dopo il blocco del vault ma prima del) utilizzando la console, `LockDate` AWS Backup
1. [Accedi a e apri Console di gestione AWS la AWS Backup console su /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Nella barra di navigazione a sinistra sotto **Il mio account**, fare clic su Vault di backup, quindi su Vault Lock di AWS Backup.
1. Fare clic sul blocco del vault che si desidera rimuovere, quindi fare clic su **Gestisci blocco del vault**.
1. Fare clic su **Elimina vault**.
1. Apparirà una finestra di avviso che chiederà di confermare l'intenzione di eliminare il blocco del vault. Digitare `confirm` nella casella di testo, quindi fare clic su **conferma**.
Dopo che i passaggi sono stati tutti completati correttamente, nella parte superiore della schermata della console verrà visualizzato il banner "Operazione riuscita".
Per eliminare il blocco del vault durante il periodo di tolleranza utilizzando un comando CLI, utilizzare `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` come in questo esempio di CLI:
```
aws backup delete-backup-vault-lock-configuration \
--backup-vault-name my_vault_to_lock
```
## Account AWS chiusura con un caveau chiuso a chiave
Quando chiudi un archivio Account AWS che contiene un archivio di backup AWS e AWS Backup sospendi il tuo account per 90 giorni con i backup intatti. Se non riapri l'account durante questi 90 giorni, AWS elimina il contenuto del tuo archivio di backup, anche se Vault Lock era attivo. AWS Backup
## Ulteriori considerazioni sulla sicurezza
AWS Backup Vault Lock aggiunge un ulteriore livello di sicurezza alla difesa approfondita della protezione dei dati. Vault Lock può essere combinato con queste altre funzionalità di sicurezza:
+ [Crittografia per i punti di ripristino](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup politiche di accesso ai vault e ai punti di ripristino](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), che consentono di concedere o negare le autorizzazioni a livello di vault,
+ [AWS Backup le migliori pratiche di sicurezza](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), inclusa la libreria di [policy gestite dai clienti](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies) che consentono di concedere o negare le autorizzazioni di backup e ripristino tramite il servizio supportato, e AWS
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), che consente di automatizzare i controlli di conformità per i backup rispetto a [un elenco di controlli definito](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) dall'utente.
Consulta [Creazione di framework utilizzando l'API AWS Backup](creating-frameworks-api.md) per il controllo [Le risorse si trovano in un piano di backup con un AWS Backup Vault Lock](controls-and-remediation.md#backup-vault-lock-control) con AWS Backup Audit Manager per garantire che le risorse previste siano protette con un blocco del vault.
+ I meccanismi che rendono inattive le risorse possono influire sulla capacità di ripristinarle. Sebbene non possano ancora essere eliminate in un archivio chiuso, possono trovarsi in uno stato diverso da quello attivo. Ad esempio, l'impostazione Amazon Elastic Compute Cloud che consente di [disabilitare un'AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) può bloccare temporaneamente la possibilità di ripristinare i backup delle istanze EC2. Ciò influisce su tutti i punti di ripristino EC2, anche sui backup interessati dal blocco del vault o dalla conservazione a fini legali.
Se un backup EC2 è disabilitato, puoi [riattivare un'AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami) disabilitata. Una volta riattivato, può essere ripristinato. Per bloccare la funzionalità di disabilitazione dell'AMI, puoi utilizzare le politiche IAM per non consentire`ec2:DisableImage`.
**Nota**
AWS Backup Vault Lock non è la stessa funzionalità di [Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) Vault Lock, che è compatibile solo con Amazon Glacier.