As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cofre logicamente isolado

Visão geral de cofres logicamente isolados

AWS Backup oferece um tipo secundário de cofre que pode armazenar cópias de backups em um contêiner com recursos de segurança adicionais. Um cofre logicamente isolado é um cofre especializado que oferece maior segurança além de um cofre de backup padrão, bem como a capacidade de compartilhar o acesso ao cofre com outras contas para que os objetivos de tempo de recuperação (RTOs) possam ser mais rápidos e flexíveis no caso de um incidente que exija restauração rápida de recursos.

Os cofres logicamente isolados são equipados com recursos de proteção adicionais: cada um desses cofres é criptografado com uma chave de propriedade da AWS e cada cofre tem um modo de conformidade de Bloqueio de Cofre do AWS Backup.

Você pode optar pela integração com AWS Resource Access Manager(RAM) para compartilhar um cofre logicamente isolado com outras AWS contas (incluindo contas em outras organizações) para que os backups armazenados no cofre possam ser restaurados a partir de uma conta com a qual o cofre está compartilhado, se necessário para recuperação de perda de dados ou testes de restauração.

Você pode ver os preços de armazenamento para backups de serviços compatíveis em um cofre logicamente isolado na página de preços do AWS Backup.

Consulte Disponibilidade de recursos por recurso para obter os tipos de recursos que você pode copiar para um cofre logicamente isolado.

Caso de uso para cofres logicamente isolados

Um cofre logicamente isolado é um cofre secundário que serve como parte de uma estratégia de proteção de dados. Esse cofre pode ajudar a aprimorar sua retenção e recuperação organizacionais quando você quer um cofre para seus backups que

Considerações e limitações

Comparar e contrastar com um cofre de backup padrão

Um cofre de backup é o tipo principal e padrão de cofre usado no AWS Backup. Cada backup é armazenado em um cofre de backup quando o backup é criado. Você pode atribuir políticas baseadas em recursos para gerenciar backups armazenados no cofre, como o ciclo de vida dos backups armazenados no cofre.

Um cofre logicamente isolado é um cofre especializado com segurança adicional e compartilhamento flexível para um tempo de recuperação (RTO) mais rápido. Esse cofre armazena cópias de backups que foram inicialmente criadas e armazenadas em um cofre de backup padrão.

Os cofres de backup podem ser criptografados com uma chave, um mecanismo de segurança que limita o acesso aos usuários pretendidos. Essas chaves podem ser gerenciadas ou AWS gerenciadas pelo cliente. Além disso, um cofre de backup pode ser ainda mais protegido por um bloqueio de cofre. Os cofres logicamente isolados são equipados com um bloqueio de cofre no modo de conformidade.

Para tipos de recursos totalmente gerenciados por AWS Backup, um backup não pode ser copiado em um cofre logicamente isolado se a AWS KMS chave não tiver sido alterada manualmente ou definida como uma chave KMS no momento em que o recurso inicial foi criado.

Criar um cofre logicamente isolado

Você pode criar um cofre logicamente isolado por meio do AWS Backup console ou por meio de uma combinação de comandos da CLI. AWS Backup AWS RAM

Cada cofre logicamente isolado vem equipado com um bloqueio de cofre no modo de conformidade. Consulte AWS Backup Fechadura do cofre para ajudar a determinar os valores do período de retenção mais apropriados para sua operação

Console

Criar um cofre logicamente isolado no console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação, selecione Configurações.

3. Os dois tipos de cofres serão exibidos. Selecione Criar cofre.

4. Insira um nome para o cofre de backup. Você pode nomear o cofre para refletir o que será armazenado nele ou para facilitar a pesquisa de backups necessários. Por exemplo, você pode nomeá-lo como: FinancialBackups.

5. Selecione o botão de opção para um cofre logicamente isolado.

6. Defina o período mínimo de retenção.

   Esse valor (em dias, meses ou anos) é o menor tempo em que um backup poderá ser retido nesse cofre. Backups com períodos de retenção menores que esse valor não poderão ser copiados nesse cofre.

   O valor mínimo permitido é 7 dias. Os valores para meses e anos atendem a esse mínimo.

7. Defina o período máximo de retenção.

   Esse valor (em dias, meses ou anos) é a maior quantidade de tempo que um backup poderá ser retido nesse cofre. Backups com períodos de retenção maiores que esse valor não poderão ser copiados nesse cofre.

8. (Opcional) Adicione tags que ajudarão você a pesquisar e identificar seu cofre logicamente isolado. Por exemplo, você pode adicionar uma tag BackupType:Financial.

9. Selecione Criar cofre.

10. Reveja as configurações. Se todas as configurações forem exibidas conforme pretendido, selecione Criar um cofre logicamente isolado.

11. O console levará você à página de detalhes do novo cofre. Verifique se os detalhes do cofre estão conforme o esperado.

12. Selecione Cofres para ver os cofres em sua conta. Seu cofre logicamente isolado será exibido. A chave do KMS estará disponível aproximadamente em 1 a 3 minutos após a criação do cofre. Atualize a página para ver a chave associada. Quando a chave estiver visível, o cofre estará em um estado disponível e poderá ser usado.

AWS CLI

Criar um cofre logicamente isolado da CLI

Você pode usar AWS CLI para realizar operações de forma programática em cofres logicamente isolados. Cada CLI é específica para o AWS serviço em que se origina. Os comandos relacionados ao compartilhamento são prefixados com aws ram. Todos os outros comandos devem ser prefixados com aws backup.

Use o comando create-logically-air-gapped-backup-vault da CLI para definir os parâmetros a seguir:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--creator-request-id 123456789012-34567-8901 // optional

Exemplo de comando da CLI para criar um cofre logicamente isolado:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

Consulte os elementos de resposta CreateLogicallyAirGappedBackupVault da API para obter informações após a operação de criação. Se a operação for bem-sucedida, o novo cofre logicamente isolado terá o de. VaultState CREATING

Quando a criação for concluída e a chave criptografada do KMS tiver sido atribuída, ela VaultState fará a transição para o. AVAILABLE Uma vez disponível, o cofre pode ser usado. O VaultState pode ser recuperado chamando DescribeBackupVault ou ListBackupVaults.

Visualizar detalhes de um cofre logicamente isolado

Você pode ver os detalhes do cofre, como resumo, pontos de recuperação, recursos protegidos, compartilhamento de contas, política de acesso e tags, por meio do AWS Backup console ou da AWS Backup CLI.

Console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, selecione Pilhas.

3. Abaixo das descrições dos cofres, haverá duas listas: Cofres de propriedade dessa conta e Cofres compartilhados com essa conta. Selecione a guia desejada para ver os cofres.

4. Em Nome do cofre, clique no nome do cofre para abrir a página de detalhes. Você poderá ver o resumo, os pontos de recuperação, os recursos protegidos, o compartilhamento da conta, a política de acesso e os detalhes da tag.

   Os detalhes são exibidos dependendo do tipo de conta: contas que possuem um cofre podem ver o compartilhamento da conta; contas que não possuem um cofre não poderão ver o compartilhamento da conta.

AWS CLI

Ver os detalhes de um cofre logicamente isolado por meio da CLI

O comando da CLI describe-backup-vault pode ser usado para obter os detalhes de um cofre. O parâmetro backup-vault-name é obrigatório, mas region é opcional.

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

Exemplo de resposta:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

Copiar para um cofre logicamente isolado

Os cofres logicamente isolados só podem ser um destino de trabalhos de cópia em um plano de backup ou um destino para um trabalho de cópia sob demanda.

Criptografia compatível

Um trabalho de cópia bem-sucedido de um cofre de backup para um cofre logicamente isolado requer uma chave de criptografia que é determinada pelo tipo de recurso que está sendo copiado.

Quando você copia um backup de um tipo de recurso totalmente gerenciado, o backup de origem no (cofre de backup padrão) pode ser criptografado por uma chave gerenciada pelo cliente ou por uma chave AWS gerenciada.

Quando você copia um backup de outros tipos de recursos (aqueles não totalmente gerenciados), tanto o backup quanto o recurso do qual ele fez backup devem ser criptografados com uma chave gerenciada pelo cliente. AWS as chaves gerenciadas para os tipos de recursos não são suportadas para cópias.

Copiar para um cofre logicamente isolado por meio de um plano de backup

Você pode copiar um backup (ponto de recuperação) de um cofre de backup padrão para um cofre logicamente isolado criando um novo plano de backup ou atualizando um existente no AWS Backup console ou por meio dos comandos e. AWS CLI create-backup-planupdate-backup-plan

Você pode copiar um backup de um cofre logicamente isolado para outro cofre logicamente isolado sob demanda (esse tipo de backup não pode ser programado em um plano de backup). Você pode copiar um backup de um cofre logicamente isolado para um cofre de backup padrão, desde que a cópia seja criptografada com uma chave gerenciada pelo cliente.

Cópia de backup sob demanda para um cofre logicamente isolado

Para criar uma cópia única sob demanda de um backup em um cofre logicamente isolado, você pode copiar de um cofre de backup padrão. Cópias entre regiões ou entre contas estarão disponíveis se o tipo de recurso for compatível com o tipo de cópia.

Disponibilidade de cópias

Uma cópia de um backup pode ser criada a partir da conta à qual o cofre pertence. As contas com as quais o cofre foi compartilhado têm a capacidade de visualizar ou restaurar um backup, mas não de criar uma cópia.

Somente tipos de recursos que oferecem suporte à cópia entre regiões ou entre contas podem ser incluídos.

Console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, selecione Pilhas.

3. Na página de detalhes do cofre, todos os pontos de recuperação dentro desse cofre serão exibidos. Coloque uma marca de seleção ao lado do ponto de recuperação que você deseja copiar.

4. Em seguida, escolha Ações e selecione Editar no menu suspenso.

5. Na próxima tela, insira os detalhes do destino.

   1. Especifique a região de destino.

   2. O menu suspenso do cofre de backup de destino exibirá os cofres de destino elegíveis. Selecione um com o tipo logically air-gapped vault

6. Selecione Copiar quando todos os detalhes estiverem definidos de acordo com suas preferências.

Na página Trabalhos no console, você poderá selecionar trabalhos de Cópia para ver os trabalhos de cópia atuais.

AWS CLI

Use start-copy-job para copiar um backup existente em um cofre de backup para um cofre logicamente isolado.

Exemplo de entrada da CLI:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

Para obter mais informações, consulte Copiar um backup, Backup entre regiões e Backup entre contas.

Compartilhar um cofre logicamente isolado

Você pode usar AWS Resource Access Manager (RAM) para compartilhar um cofre logicamente isolado com outras contas que você designar.

Um cofre pode ser compartilhado com uma conta em sua organização ou com uma conta em outra organização. O cofre não pode ser compartilhado com uma organização inteira, somente com contas dentro da organização.

Somente contas com privilégios específicos do IAM podem compartilhar e gerenciar o compartilhamento de cofres.

Para compartilhar usando AWS RAM, verifique se você tem o seguinte:

Console

1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

2. No painel de navegação esquerdo, selecione Pilhas.

3. Abaixo das descrições dos cofres, haverá duas listas: Cofres de propriedade dessa conta e Cofres compartilhados com essa conta. Os cofres pertencentes à conta podem ser compartilhados.

4. Em Nome do cofre, selecione o nome do cofre logicamente isolado para abrir a página de detalhes.

5. O painel de Compartilhamento de contas mostra com quais contas o cofre está sendo compartilhado.

6. Para começar a compartilhar com outra conta ou editar as contas que já estão sendo compartilhadas, selecione Gerenciar compartilhamento.

7. O AWS RAM console é aberto quando a opção Gerenciar compartilhamento é selecionada. Para ver as etapas para compartilhar um recurso usando AWS RAM, consulte Como criar um compartilhamento de recursos na AWS RAM no Guia do usuário da AWS RAM.

8. A conta convidada a aceitar um convite para receber um compartilhamento tem 12 horas para aceitar o convite. Consulte Aceitar e rejeitar convites de compartilhamento de recursos no Guia do usuário do AWS RAM.

9. Se as etapas de compartilhamento forem concluídas e aceitas, a página de resumo do cofre será exibida em Compartilhamento de conta = “Compartilhado - veja a tabela de compartilhamento de conta abaixo”.

AWS CLI

AWS RAM usa o comando CLI. create-resource-share O acesso a esse comando só está disponível para contas com permissões suficientes. Consulte Criar um compartilhamento de recursos no AWS RAM para ver as etapas da CLI.

As etapas de 1 a 4 são conduzidas com a conta proprietária do cofre logicamente isolado. As etapas 5 a 8 são conduzidas com a conta com a qual o cofre logicamente isolado será compartilhado.

1. Faça login na conta proprietária OU solicite que um usuário em sua organização com credenciais suficientes para acessar a conta de origem conclua essas etapas.

   1. Se um compartilhamento de recursos foi criado anteriormente e você deseja adicionar um recurso adicional a ele, use associate-resource-share da CLI em vez disso com o ARN do novo cofre.

2. Obtenha as credenciais de uma função com permissões suficientes para compartilhar via RAM. Insira-as na CLI.

   1. A permissão ram:CreateResourceShare é necessária para esse procedimento. A política AWSResourceAccessManagerFullAccesscontém todas as permissões relacionadas à RAM.

3. Use create-resource-share.

   1. Inclua o ARN do cofre logicamente isolado.

   2. Exemplo de entrada:

      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1

   3. Resultado do exemplo:

      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }

4. Copie o ARN do compartilhamento de recursos no resultado (que é necessário para as etapas subsequentes). Forneça o ARN ao operador da conta que você está convidando para receber o compartilhamento.

5. Obter o ARN do compartilhamento de recursos

   1. Se você não executou as etapas de 1 a 4, obtenha-as resourceShareArn de quem as executou.

   2. Example: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

6. Na CLI, assuma as credenciais da conta destinatária.

7. Receba um convite para compartilhar recursos com get-resource-share-invitations. Para obter mais informações, consulte Aceitar e rejeitar convites no Guia do usuário do AWS RAM .

8. Aceite o convite na conta de destino (recuperação).

   1. Use accept-resource-share-invitation (também é possível usar reject-resource-share-invitation).

Você pode usar comandos da AWS RAM CLI para visualizar itens compartilhados:

• Recursos que você compartilhou:

  aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

• Mostrar a entidade principal:

  aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

• Recursos compartilhados por outras contas:

  aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

Restaurar um backup de um cofre logicamente isolado

Você pode restaurar um backup armazenado em um cofre logicamente isolado de uma conta proprietária do cofre ou de qualquer conta com a qual o cofre seja compartilhado.

Consulte Restaurar um backup para obter informações sobre como restaurar um ponto de recuperação por meio do console do AWS Backup .

Depois que um backup for compartilhado de um cofre logicamente isolado na sua conta, você poderá usar start-restore-job para restaurar o backup.

Um exemplo de entrada da CLI pode incluir os seguintes parâmetros e comando:

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

Excluir um cofre logicamente isolado

Consulte excluir um cofre. Os cofres não poderão ser excluídos se ainda contiverem backups (pontos de recuperação). Certifique-se de que o cofre não tenha nenhum backup antes de iniciar uma operação de exclusão.

A exclusão de um cofre também exclui a chave associada ao cofre sete dias após a exclusão do cofre, de acordo com a política de exclusão de chaves.

O exemplo de comando delete-backup-vault da CLI pode ser usado para excluir um cofre.

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

Opções de programação adicionais para cofres logicamente isolados

O comando list-backup-vaults da CLI pode ser modificado para listar todos os cofres de propriedade e presentes na conta:

aws backup list-backup-vaults
--region us-east-1

Para listar apenas os cofres logicamente isolados, adicione o parâmetro

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

Inclua o parâmetro by-shared para filtrar a lista retornada de cofres para mostrar somente cofres logicamente isolados compartilhados.

aws backup list-backup-vaults
--region us-east-1
--by-shared

Solucionar um problema de cofre logicamente isolado

Se você encontrar erros durante o fluxo de trabalho, consulte os seguintes exemplos de erros e resoluções sugeridas:

AccessDeniedException

Erro:

Possível causa: o parâmetro --backup-vault-account-id não foi incluído quando uma das seguintes solicitações foi executada em um cofre compartilhado pela RAM:

Resolução: repita o comando que retornou o erro, mas inclua o parâmetro --backup-vault-account-id que especifica a conta proprietária do cofre.

OperationNotPermittedException

Erro: OperationNotPermittedException é retornado após uma chamada CreateResourceShare.

Possível causa: se você tentou compartilhar um recurso, como um cofre logicamente isolado, com outra organização, você pode obter essa exceção. Um cofre pode ser compartilhado com uma conta em outra organização, mas não pode ser compartilhado com a própria organização.

Resolução: repita a operação, mas especifique uma conta como valor para principals, em vez de uma organização ou UO.