Teste de restauração - AWS Backup
Visão geralComparar com restauraçõesGerenciamento de planosCriar plano de testesAtualizar plano de testesVisualizar planos de testesVisualizar trabalhos de testesExcluir planoAuditar testesCotas e parâmetrosSolução de problemas

Teste de restauração

O recurso teste de restauração do AWS Backup oferece avaliação automatizada e periódica da viabilidade da restauração, bem como a capacidade de monitorar os tempos de duração do trabalho de restauração.

Conteúdo

Visão geral

Primeiro, crie um plano de teste de restauração, fornecendo um nome para o plano, a frequência dos testes de restauração e o horário de início previsto. Depois, atribua os recursos que deseja incluir no plano. Decida se deseja incluir pontos de recuperação específicos ou aleatórios no teste. O backup do AWS Backup infere de forma inteligente os metadados que serão necessários para que o trabalho de restauração seja bem-sucedido.

Quando chegar o horário programado no plano, o AWS Backup iniciará os trabalhos de restauração com base no plano e monitorará o tempo necessário para concluir a restauração.

Depois que o plano de teste de restauração for concluído, você poderá usar os resultados para mostrar a conformidade com os requisitos organizacionais ou de governança, como a conclusão bem-sucedida dos cenários de teste de restauração ou o tempo de conclusão do trabalho de restauração.

Opcionalmente, você pode usar Validação do teste de restauração para confirmar os resultados do teste de restauração.

Quando a validação opcional for concluída ou a janela de validação for fechada, o AWS Backup excluirá os recursos envolvidos no teste de restauração, de acordo com os SLAs de serviço.

Ao final do processo de teste, você poderá ver os resultados e o tempo de conclusão dos testes.

Comparação entre o teste de restauração e o processo de restauração

O recurso de teste de restauração executa trabalhos de restauração da mesma forma que as restaurações sob demanda e usa os mesmos pontos de recuperação (backups) de uma restauração sob demanda. Você verá chamadas para StartRestoreJob no CloudTrail (caso tenha optado por usar) para cada trabalho iniciado pelo teste de restauração

No entanto, há algumas diferenças entre a operação de um teste de restauração programado e uma operação de restauração sob demanda:

Teste de restauração Restaurar

Conta

Uma prática recomendada é designar uma conta para ser usada nos testes de restauração.

Você pode restaurar recursos de uma conta.

AWS Backup Audit Manager

É possível ativar um controle para confirmar se um teste de restauração atende aos objetivos de restauração especificados.

Cadência

Periodicamente, como parte de um plano programado.

Sob demanda

Recursos

Os tipos de recurso que você pode atribuir a um plano de testes incluem: Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, Amazon FSx (Lustre, ONTAP, OpenZFS, Windows), Amazon Neptune, Amazon RDS e Amazon S3.

Todos os recursos podem ser restaurados.

Resultados

Depois que o trabalho de teste de restauração for concluído, o recurso restaurado será excluído assim que a janela de Validação do teste de restauração terminar.

Depois que o trabalho de restauração for concluído, a versão restaurada do recurso permanecerá.

Tags

Para tipos de recurso que oferecem suporte a etiquetas na restauração, os testes aplicam etiquetas na restauração.

As etiquetas são opcionais para os recursos compatíveis.

Gerenciamento do teste de restauração

Você pode criar, visualizar, atualizar ou excluir um plano de teste de restauração no console do AWS Backup.

Você pode usar a AWS CLI para realizar operações de forma programática para restaurar planos de testes. Cada CLI é específica para o serviço da AWS em que se ela origina. Os comandos devem ser prefixados com aws backup.

Exclusão de dados

Quando um teste de restauração é concluído, o AWS Backup começa a excluir os recursos envolvidos no teste. Essa exclusão não é instantânea. Cada recurso tem uma configuração subjacente que determina como esses recursos são armazenados e gerenciados ao longo do ciclo de vida. Por exemplo, se os buckets do Amazon S3 fizerem parte do teste de restauração, serão adicionadas regras de ciclo de vida ao bucket. Pode levar vários dias para que as regras sejam executadas e para que o bucket e seus objetos sejam totalmente excluídos, mas as cobranças só ocorrerão para esses recursos até o dia em que a regra de ciclo de vida for iniciada (por padrão, isso é 1 dia). A velocidade de exclusão dependerá do tipo de recurso.

Os recursos que fazem parte de um plano de teste de restauração contêm uma etiqueta chamada awsbackup-restore-test. Se um usuário remover essa etiqueta, o AWS Backup não conseguirá excluir o recurso no final do período de teste. Em vez disso, o usuário precisará excluí-lo manualmente.

Para verificar por que os recursos podem não ter sido excluídos conforme o esperado, você pode pesquisar os trabalhos com falha no console ou usar a interface de linha de comandos para chamar a solicitação de API DescribeRestoreJob a fim de recuperar as mensagens de status de exclusão.

Os planos de backup (planos de teste sem restauração) ignoram os recursos criados pelo teste de restauração (aqueles com tag awsbackup-restore-test ou nome começando comawsbackup-restore-test).

Controle de custos

O recurso de teste de restauração tem um custo por teste de restauração. Dependendo dos recursos incluídos no plano de teste de restauração, os trabalhos de restauração que fazem parte do plano também poderão ter um custo. Para obter detalhes, consulte Definição de preço do AWS Backup.

Ao configurar um plano de teste de restauração pela primeira vez, você pode achar vantajoso incluir um número mínimo de tipos de recurso e recursos protegidos para se familiarizar com a funcionalidade, o processo e os custos médios envolvidos. Você pode atualizar um plano após sua criação para adicionar mais tipos de recurso e recursos protegidos.

Criar um plano de teste de restauração

Um plano de teste de restauração tem duas partes: criação do plano e atribuição de recursos.

Quando você usa o console, essas partes são sequenciais. Na primeira parte, defina o nome, a frequência e os horários de início. Durante a segunda parte, atribua recursos ao plano de testes.

Ao usar a AWS CLI e a API, comece usando create-restore-testing-plan. Depois de receber uma resposta bem-sucedida e o plano ter sido criado, use create-restore-testing-selection para cada tipo de recurso que você deseja incluir no plano.

Ao criar um plano de teste de restauração, criamos um perfil vinculado ao serviço para você. Para ter mais informações, consulte Usar perfis para testes de restauração.

Console
Parte I: Criar um plano de teste de restauração usando o console

  1. Abra o console do AWS Backup em https://console.aws.amazon.com/backup.

  2. Na navegação à esquerda, localize e selecione Teste de restauração.

  3. Escolha Criar um plano de teste de restauração.

  4. Geral

    1. Nome: digite um nome para o novo plano de teste de restauração. O nome não poderá ser alterado após a criação. Ele só pode conter caracteres alfanuméricos e sublinhados.

    2. Frequência de teste: escolha a frequência com que os testes de restauração serão executados.

    3. Horário inicial: defina o horário (em horas e minutos) em que você prefere que o teste comece. Você também pode definir o fuso horário local no qual deseja que o plano de teste de restauração opere.

    4. Iniciar dentro de: esse valor (em horas) é o período em que o teste de restauração está designado para começar. O AWS Backup faz o possível para iniciar todos os trabalhos de restauração designados durante o período de início e randomiza os horários de início dentro desse período.

  5. Seleção do ponto de recuperação: aqui você define os cofres de origem, o intervalo de pontos de recuperação e os critérios de seleção para quais pontos de recuperação (backups) você deseja que façam parte do plano.

    1. Cofres de origem: escolha se deseja incluir todos os cofres disponíveis ou apenas cofres específicos para ajudar a filtrar quais pontos de recuperação podem estar no plano. Se você escolher a opção Cofres específicos, selecione no menu suspenso os cofres que deseja incluir.

    2. Pontos de recuperação qualificados: especifique o período do qual os pontos de recuperação serão selecionados. Você pode selecionar de 1 a 365 dias, de 1 a 52 semanas, de 1 a 12 meses ou 1 ano.

    3. Critérios de seleção: depois de especificar o intervalo de datas para os pontos de recuperação, você poderá escolher se deseja incluir o mais recente ou um aleatoriamente no plano. Talvez você queira escolher um aleatório para avaliar a integridade geral dos pontos de recuperação com mais frequência, caso a restauração de uma versão mais antiga seja necessária.

    4. Pontos de recuperação para um ponto no tempo: se o plano incluir recursos que tenham backup contínuo (pontos de recuperação para um ponto no tempo/PITR), você poderá marcar essa caixa para que o plano de testes inclua backups contínuos como pontos de recuperação elegíveis (consulte Disponibilidade de recursos por recurso para conferir quais tipos de recurso têm essa opção).

  6. (Opcional) Tags adicionadas ao plano de teste de restauração: você pode optar por adicionar até 50 etiquetas a um plano de teste de restauração. Cada etiqueta deve ser adicionada separadamente. Para adicionar uma etiqueta, selecione Adicionar nova tag.

Parte II: Atribuir recursos ao plano usando o console

Nesta seção, escolha os recursos dos quais fez backup para incluir no plano de testes de restauração. Você escolherá o nome da atribuição de recursos, escolherá o perfil que usará para o teste de restauração e definirá o período de retenção antes da limpeza. Depois, você selecionará o tipo de recurso, selecionará o escopo e, opcionalmente, refinará sua seleção com etiquetas.

dica

Para voltar ao plano de testes de restauração ao qual você deseja adicionar recursos, acesse o console do AWS Backup, selecione Teste de restauração, encontre seu plano de testes preferido e escolha-o.

  1. Geral

    1. Nome da atribuição de recursos: insira um nome para essa atribuição de recursos usando uma string de caracteres alfanuméricos e sublinhados, sem nenhum espaço em branco.

    2. Perfil do IAM para restauração: o teste deve usar um perfil do Identity and Access Management (IAM) designado por você. Você pode escolher o perfil padrão do AWS Backup ou um diferente. Se ainda não existir um padrão do AWS Backup quando você concluir esse processo, o AWS Backup criará um automaticamente com as permissões necessárias. O perfil do IAM escolhido para os testes de restauração deve conter as permissões encontradas em AWSBackupServicePolicyForRestores.

    3. Período de retenção antes da limpeza: durante um teste de restauração, os dados de backup são restaurados temporariamente. Por padrão, esses dados são excluídos após a conclusão do teste. Você tem a opção de atrasar a exclusão desses dados caso queira executar a validação da restauração.

      Se você planeja executar a validação, selecione a opção Reter por um número específico de horas e insira um valor de 1 a 168 horas (ambos incluídos). Observe que a validação pode ser executada de forma programática, mas não pelo console do AWS Backup.

  2. Recursos protegidos:

    1. Selecione o tipo de recurso: selecione quais tipos de recurso e o escopo de quais backups desses tipos deseja incluir no plano de testes de recursos. Cada plano pode conter vários tipos de recurso, mas cada tipo de recurso deve ser atribuído ao plano individualmente.

    2. Escopo da seleção de recursos: depois de escolher o tipo, selecione se você deseja incluir todos os recursos protegidos disponíveis desse tipo ou se deseja incluir somente recursos protegidos específicos.

    3. (Opcional) Refine a seleção de recursos usando tags: se os backups tiverem etiquetas, você poderá usá-las para filtrar a fim de selecionar recursos protegidos específicos. Insira a chave de etiqueta, a condição para que essa chave seja ou não incluída e o valor da chave. Depois, selecione o botão Adicionar etiquetas.

      As etiquetas nos recursos protegidos são avaliadas verificando as etiquetas no ponto de recuperação mais recente no cofre de backup que contém o recurso protegido.

  3. Parâmetros de restauração: determinados recursos exigem a especificação de parâmetros na preparação para um trabalho de restauração. Na maioria dos casos, o AWS Backup inferirá os valores com base no backup armazenado.

    Em geral, é recomendável manter esses parâmetros, mas você pode alterar os valores escolhendo uma seleção diferente no menu suspenso. Exemplos em que a alteração dos valores pode ser ideal incluem a substituição de chaves de criptografia, configurações do Amazon FSx em que os dados não podem ser inferidos e a criação de sub-redes.

    Por exemplo, se um banco de dados do RDS for um dos tipos de recurso que você atribui ao plano de testes de restauração, parâmetros que incluem zona de disponibilidade, nome do banco de dados, classe da instância de banco de dados e grupo de segurança da VPC aparecerão com valores inferidos que você poderá alterar, se aplicável.

AWS CLI

O comando CreateRestoreTestingPlan da CLI é usado para criar um plano de testes de restauração.

O plano de testes deve conter:

  • RestoreTestingPlan, que deve conter um único RestoreTestingPlanName

  • Expressão cron ScheduleExpression

  • RecoveryPointSelection

    Embora tenha um nome semelhante, NÃO é o mesmo que RestoreTestingSelection.

    A RecoveryPointSelection tem cinco parâmetros (três obrigatórios e dois opcionais). Os valores que você especifica determinam qual ponto de recuperação está incluído no teste de restauração. Você deve indicar com Algorithm se deseja o ponto de recuperação mais recente dentro de SelectionWindowDays ou se deseja um ponto de recuperação aleatório e deve indicar por meio de IncludeVaults quais cofres os pontos de recuperação podem ser escolhidos.

Uma seleção pode ter um ou mais ARNs de recursos protegidos ou ter uma ou mais condições, mas não pode ter ambos.

Você também pode incluir:

Use o comando create-restore-testing-plan da CLI.

Depois que o plano for criado com sucesso, você precisará atribuir recursos a ele usando create-restore-testing-selection.

Isso consiste em RestoreTestingSelectionName, ProtectedResourceType e um dos seguintes:

  • ProtectedResourceArns

  • ProtectedResourceConditions

Cada tipo de recurso protegido pode ter um único valor. Uma seleção de testes de restauração pode incluir um valor curinga (“*”) para ProtectedResourceArns com ProtectedResourceConditions. Como alternativa, você pode incluir até 30 ARNs de recursos protegidos específicos em ProtectedResourceArns.

Determinação do ponto de recuperação

Cada vez que um plano de teste é executado (de acordo com a frequência e o horário de início especificados), um ponto de recuperação qualificado por recurso protegido selecionado é restaurado pelo teste de restauração. Se nenhum ponto de recuperação de um recurso atender aos critérios de seleção do ponto de recuperação, esse recurso não será incluído no teste.

Um ponto de recuperação para um recurso protegido em uma seleção de teste é elegível se atender aos critérios do período de tempo especificado e incluir cofres no plano de teste de restauração.

Um recurso protegido será selecionado se a seleção de teste do recurso incluir o tipo de recurso e se uma das seguintes condições for verdadeira:

  • O ARN do recurso é especificado nessa seleção; ou,

  • As condições da tag nessa seleção correspondem às tags no ponto de recuperação mais recente do recurso

Atualizar um plano de testes de restauração

Você pode atualizar partes de um plano de testes de restauração e as seleções de recursos nele contidas pelo console ou pela AWS CLI.

Console
Atualizar planos e seleções de testes de restauração no console

Ao visualizar a página de detalhes do plano de testes de restauração no console, você pode editar (atualizar) muitas das configurações do plano. Para fazer isso:

  1. Abra o console do AWS Backup em https://console.aws.amazon.com/backup.

  2. Na navegação à esquerda, localize e selecione Teste de restauração.

  3. Selecione o botão Edit.

  4. Ajuste a frequência, o horário de início e o tempo que o teste terá para começar após o horário de início escolhido.

  5. Salve as alterações.

AWS CLI
Atualizar planos e seleções de testes de restauração pela AWS CLI

As solicitações UpdateRestoreTestingPlan e UpdateRestoreTestingSelection podem ser usadas para enviar atualizações parciais para um plano ou uma seleção. Os nomes não podem ser alterados, mas você pode atualizar outros parâmetros. Inclua somente os parâmetros que você deseja alterar em cada solicitação.

Antes de enviar uma solicitação de atualização, use GetRestoreTestingPlan e GetRestoreTestingSelection para determinar se RestoreTestingSelection contém ARNs específicos ou se usa o caractere curinga e as condições.

Se a seleção de testes de restauração tiver ARNs especificados (em vez de curinga) e você quiser alterá-la para um caractere curinga com condições, a solicitação de atualização deverá incluir o caractere curinga de ARN e as condições. Uma seleção pode ter ARNs de recursos protegidos ou usar o caractere curinga com condições, mas não pode ter ambos.

Visualizar os planos de testes de restauração existentes

Console
Visualizar detalhes sobre um plano de testes de restauração existente e os recursos atribuídos no console

  1. Abra o console do AWS Backup em https://console.aws.amazon.com/backup.

  2. Na navegação à esquerda, selecione Teste de restauração. A tela mostra os planos de testes de restauração. Por padrão, os planos são exibidos em ordem de última execução.

  3. Selecione o link de um plano para ver os detalhes, incluindo um resumo do plano, o nome, a frequência, o horário de início e o tempo para início.

Você também pode visualizar os recursos protegidos nesse plano, os trabalhos de testes de restauração dos últimos 30 dias incluídos nesse plano e todas as etiquetas que você possa ter criado para fazer parte desse plano de testes.

AWS CLI

Obter detalhes sobre um plano de testes de restauração existente e uma seleção de testes usando a linha de comando

Visualizar trabalhos de testes de restauração

Console
Veja os trabalhos de testes de restauração existentes no console

Os trabalhos de testes de restauração estão incluídos na página de trabalhos de restauração.

  1. Abra o console do AWS Backup em https://console.aws.amazon.com/backup.

  2. Navegue até a página Trabalhos.

    Você também pode selecionar Teste de restauração, depois escolher um plano de testes de restauração para ver os detalhes e os trabalhos associados a ele.

  3. Selecione a guia Tarefas de restauração.

    Nessa página, você pode ver o status, o tempo de restauração, o tipo de restauração, o ID do recurso, o tipo de recurso, o plano de testes de restauração ao qual o trabalho pertence, o horário de criação e o ID do ponto de recuperação do trabalho de restauração.

    Os trabalhos incluídos em um plano de testes de restauração têm o tipo de restauração Teste.

Os trabalhos de testes de restauração têm várias categorias de status:

  • Um tipo de Status que requer atenção fica sublinhado. Passe o mouse sobre o status para ver detalhes adicionais, caso estejam disponíveis.

  • Um status da validação será exibido se Validação do teste de restauração tiverem sido iniciados no teste (não disponível no console).

  • O status da exclusão indica o status dos dados gerados por um teste de restauração. Há três status de exclusão possíveis: Bem-sucedida, Excluindo e Com falha.

    Se a exclusão de um trabalho de testes de restauração falhar, você precisará remover o recurso manualmente, pois o fluxo de testes de restauração não pôde concluí-lo automaticamente. Muitas vezes, uma falha na exclusão será acionada se a etiqueta awsbackup-restore-test for removida do recurso.

AWS CLI
Visualizar os trabalhos de testes de restauração existentes pela linha de comandos

Excluir um plano de testes de restauração

Console
Excluir plano de testes de restauração no console

  1. Acesse Visualizar os planos de testes de restauração existentes para ver seus planos de testes de restauração atuais.

  2. Na página de detalhes do plano de testes de restauração, exclua um plano selecionando Excluir.

  3. Depois de selecionar a opção para excluir, uma tela pop-up de confirmação aparecerá para confirmar que você deseja excluir o plano. Nessa tela, o nome do plano de testes de restauração específico será exibido em negrito. Para continuar, digite o nome exato do plano de testes com distinção entre maiúsculas e minúsculas, incluindo sublinhados, traços e pontos.

    Se a opção Excluir plano de teste de restauração não puder ser selecionada, insira novamente o nome até que ele corresponda ao nome exibido. Quando estabelecer correspondência exata, a opção de excluir o plano de testes de restauração poderá ser selecionada.

AWS CLI
Excluir plano de testes de restauração pela linha de comandos

O comando DeleteRestoreTestingSelection da CLI pode ser usado para excluir uma seleção de testes de restauração. Inclua RestoreTestingPlanName e RestoreTestingSelectionName na solicitação.

Todas as seleções de testes associadas a um plano de testes devem ser excluídas antes de excluir o plano de testes. Depois que todas as seleções de testes forem excluídas, você poderá usar a solicitação de API DeleteRestoreTestingPlan para excluir um plano de testes de restauração. Você precisa incluir RestoreTestingPlanName.

Auditar testes de restauração

Integrações dos testes de restauração com o AWS Backup Audit Manager para ajudar você a avaliar se um recurso restaurado foi concluído dentro do tempo de restauração desejado.

Para obter mais informações, consulte o controle Tempo de restauração para recursos cumpre a meta em AWS Backup Audit Manager controls and remediation.

Cotas e parâmetros de testes de restauração

  • 100 planos de testes de restauração

  • 50 etiquetas podem ser adicionadas a cada plano de testes de restauração

  • 30 seleções por plano

  • 30 ARNs de recursos protegidos por seleção

  • 30 condições de recursos protegidos por seleção (incluindo aquelas dentro de StringEquals e StringNotEquals)

  • 30 seletores de cofre por seleção

  • Máximo de dias da janela de seleção: 365 dias

  • Horas da janela de início: mín. de 1 hora, máx. de 168 horas (7 dias)

  • Comprimento máximo do nome do plano: 50 caracteres

  • Comprimento máximo do nome da seleção: 50 caracteres

Informações adicionais sobre os limites podem ser conferidas em Cotas do AWS Backup.

Solução de falhas do teste de restauração

Se você tiver trabalhos de teste de restauração com um status de restauração de Failed, os motivos a seguir podem ajudá-lo a determinar a causa e a solução.

As mensagens de erro podem ser visualizadas no console do AWS Backup na página de detalhes do status do trabalho ou usando os comandos list-restore-jobs-by-protected-resource ou list-restore-jobs da CLI.

  1. Erro:

    Solução 1: atualize sua seleção de teste de restauração e substitua o parâmetro SubnetId. O console do AWS Backup exibe esse parâmetro como “Sub-rede”.

    Solução 2: recrie a VPC padrão.

    Tipos de recursos afetados: Amazon EC2

  2. Erro:

    Solução 1: atualize sua seleção de teste de restauração e substitua o parâmetro de restauração SubnetId. O console do AWS Backup exibe esse parâmetro como “Sub-rede”.

    Solução 2: crie uma sub-rede padrão na VPC padrão.

    Tipos de recursos afetados: Amazon EC2

  3. Erro:

    Solução 1: atualize sua seleção de teste de restauração e substitua o parâmetro de restauração DBSubnetGroupName. O console do AWS Backup exibe esse parâmetro como Grupo de sub-rede.

    Solução 2: crie uma sub-rede padrão na VPC padrão.

    Tipos de recursos afetados: Amazon Aurora, Amazon DocumentDB, Amazon RDS, Neptune

  4. Erro: IAM Role cannot be assumed by AWS Backup.

    Solução: a função de restauração deve ser assumida pelo AWS Backup. Atualize a política de confiança da função no IAM para permitir que ela seja assumida por "backup.amazonaws.com" ou atualize sua seleção de teste de restauração para usar uma função que seja assumida pelo AWS Backup.

    Tipos de recursos afetados: todos

  5. Erro: Access denied to KMS key. ou The specified AWS KMS key ARN does not exist, is not enabled or you do not have permissions to access it.

    Solução: verifique o seguinte:

    1. A função de restauração tem acesso à chave do AWS KMS usada para criptografar seus backups e, se aplicável, à chave do KMS usada para criptografar o recurso restaurado.

    2. As políticas de recursos nas chaves do KMS acima permitem que a função de restauração as acesse.

    Se as condições acima ainda não forem atendidas, configure a função de restauração e as políticas de recursos para acesso adequado. Em seguida, execute o trabalho de teste de restauração novamente.

    Tipos de recursos afetados: todos

  6. Erros: User ARN is not authorized to perform action on resource because no identity based policy allows the action. ou Access denied performing s3:CreateBucket on awsbackup-restore-test-xxxxxx.

    Solução: a função de restauração não tem permissões adequadas. Atualize as permissões no IAM para a função de restauração.

    Tipos de recursos afetados: todos

  7. Erros: User ARN is not authorized to perform action on resource because no resource-based policy allows the action. ou User ARN is not authorized to perform action on resource with an explicit deny in a resource based policy.

    Solução: a função de restauração não tem acesso adequado ao recurso especificado na mensagem. Atualize a política de recursos no recurso mencionado.

    Tipos de recursos afetados: todos