As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Cofres de backup
<a name="vaults"></a>

Em AWS Backup, um *cofre de backup* é um contêiner que armazena e organiza seus backups.

Ao criar um cofre de backup, você deve especificar a chave de criptografia AWS Key Management Service (AWS KMS) que criptografa alguns dos backups colocados nesse cofre. A criptografia para outros backups é gerenciada por seus AWS serviços de origem. Para obter mais informações sobre a criptografia, consulte [Criptografia de backups na AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).

As seções a seguir fornecem uma visão geral de como gerenciar os cofres de backup no AWS Backup.

**Topics**
+ [Criação e exclusão de um cofre de backup](create-a-vault.md)
+ [Cofre logicamente isolado](logicallyairgappedvault.md)
+ [Políticas de acesso a cofres](create-a-vault-access-policy.md)
+ [AWS Backup Fechadura do cofre](vault-lock.md)

# Criação e exclusão de um cofre de backup
<a name="create-a-vault"></a>

Você deve criar pelo menos um cofre antes de criar um plano de backup ou iniciar uma tarefa de backup.

Quando você usa pela primeira vez a página **Backup Vaults** do AWS Backup console em um Região da AWS, o console cria automaticamente um cofre padrão para a região.

No entanto, se você usar AWS Backup por meio do AWS CLI AWS SDK ou CloudFormation, um cofre padrão não será criado. Você deverá criar seu próprio cofre.

## Permissões obrigatórias
<a name="creating-a-vault-permissions"></a>

Você deve ter as seguintes permissões para criar um cofre de backup usando o AWS Backup:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowKMSOperations",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "AllowCreateBackupVault",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
    },
    {
      "Sid": "AllowMountCapsule",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Criar um cofre de backup (console)
<a name="creating-a-vault-console"></a>

Em vez de usar o cofre de backup padrão que é criado automaticamente para você no console do AWS Backup , crie cofres de backup específicos para salvar e organizar grupos de backups no mesmo cofre.

**Para criar um cofre de backup**

1. No AWS Backup console, no painel de navegação, escolha **Backup vaults**.
**nota**  
Se o painel de navegação não estiver visível no lado esquerdo, você poderá abri-lo escolhendo o ícone do menu no canto superior esquerdo do console. AWS Backup 

1. Escolha **Criar cofre de backup**.

1. Insira um nome para o cofre de backup. Você pode nomear o cofre para refletir o que será armazenado nele ou para facilitar a pesquisa de backups necessários. Por exemplo, você pode nomeá-lo como: **FinancialBackups**.

1. Selecione uma tecla AWS Key Management Service (AWS KMS). Você pode usar uma chave que você já criou ou selecionar a chave AWS Backup KMS padrão.
**nota**  
A AWS KMS chave especificada aqui se aplica somente aos backups de serviços que oferecem suporte à criptografia AWS Backup independente. Para ver a lista de tipos de recursos que oferecem suporte à criptografia AWS Backup independente, consulte a seção “Gerenciamento completo” da [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) tabela.

1. Opcionalmente, adicione tags que ajudarão você a procurar e identificar o cofre de backup. Por exemplo, você pode adicionar uma tag **BackupType:Financial**.

1. Escolha **Criar cofre de backup**.

1. No painel de navegação, escolha **Cofres de backup** e verifique se o cofre de backup foi adicionado.

**nota**  
Agora é possível editar uma regra de backup em um de seus planos de backup para armazenar backups criados por essa regra no cofre de backup que você acabou de criar.

## Criar um cofre de backup (programaticamente)
<a name="creating-a-vault-cli"></a>

O AWS Command Line Interface comando a seguir cria um cofre de backup:

```
aws backup create-backup-vault --backup-vault-name test-vault
```

Você também pode especificar as seguintes configurações para um cofre de backup.

## Nome do cofre de backup
<a name="vault-name"></a>

Os nomes dos cofres de backup fazem distinção de maiúsculas de minúsculas. Eles devem conter de 2 a 50 caracteres alfanuméricos, hífens ou sublinhados.

## AWS KMS chave de criptografia
<a name="kms-key"></a>

A chave de AWS KMS criptografia protege seus backups nesse cofre de backup. Por padrão, o AWS Backup cria uma chave do KMS com o alias `aws/backup` para você. Você pode escolher essa chave ou escolher qualquer outra chave em sua conta (é possível usar chaves do KMS entre contas via CLI).

Você pode criar uma chave de criptografia seguindo o procedimento de [criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.

Depois de criar um cofre de backup e definir a chave de AWS KMS criptografia, você não poderá mais editar a chave desse cofre de backup.

A chave de criptografia especificada em um AWS Backup cofre se aplica aos backups de determinados tipos de recursos. Para obter mais informações sobre a criptografia de backup, consulte [Criptografia para backups em AWS Backup](encryption.md) na seção Segurança. Os backups de todos os outros tipos de recurso são feitos com a chave usada para criptografar o recurso de origem.

## Tags do cofre de backup
<a name="vault-tags"></a>

Essas tags são associadas ao cofre de backup para ajudar você a organizar e acompanhar cofres de backup.

## Excluir um cofre
<a name="delete-a-vault"></a>

Para se proteger contra a exclusão em massa acidental ou maliciosa, você pode excluir um cofre de backup no AWS Backup somente depois de excluir (ou os ciclos de vida do seu plano de backup) todos os pontos de recuperação em seu cofre de backup. Para excluir seus pontos de recuperação manualmente, consulte [Excluindo backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

Ao excluir um cofre de backup, atualize seus planos de backup a serem direcionados a novos cofres de backup. Um plano de backup que é direcionado para um cofre de backup excluído fará com que a criação de backup falhe.

Não é possível excluir o cofre de backup padrão ou o cofre de backup automático do Amazon EFS usando o Console de gerenciamento da AWS. Você pode excluir um cofre de backup padrão usando o AWS CLI se ele estiver vazio. No entanto, se você abrir o AWS Backup console e selecionar essa região, o console recriará o cofre de backup padrão. Você pode excluir os snapshots não utilizados no cofre de backup automático do Amazon EFS.

**Para excluir um cofre de backup usando o console AWS Backup**

1. Faça login no Console de gerenciamento da AWS e abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Cofres de Backup**.

1. Escolha o nome do cofre de backup para abrir sua página de detalhes.

1. Escolha e exclua todos os backups associados ao cofre de backup.

1. Escolha **Excluir cofre**. Quando a confirmação for solicitada, insira o nome do cofre e escolha **Excluir cofre de backup**.

# Cofre logicamente isolado
<a name="logicallyairgappedvault"></a>

## Visão geral dos cofres logicamente isolados
<a name="lag-overview"></a>

AWS Backup oferece um tipo secundário de cofre que pode armazenar backups em um contêiner com recursos de segurança adicionais. Um cofre **logicamente isolado é um cofre** especializado que oferece maior segurança além de um cofre de backup padrão, bem como a capacidade de compartilhar o acesso ao cofre com outras contas para que os objetivos de tempo de recuperação (RTOs) possam ser mais rápidos e flexíveis no caso de um incidente que exija restauração rápida de recursos.

[Logicamente, os cofres isolados vêm equipados com recursos de proteção adicionais; cada cofre é criptografado com uma chave própria (padrão) ou, opcionalmente, com [AWS uma chave](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) KMS gerenciada pelo cliente, e cada cofre é equipado com o modo de conformidade do Vault Lock.AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) As informações do tipo de chave de criptografia são visíveis por meio AWS Backup APIs de um console para relatórios de transparência e conformidade.

Você pode integrar seus cofres logicamente isolados com [aprovação multipartidária](multipartyapproval.md) (MPA) para permitir a recuperação de backups nos cofres mesmo se a conta proprietária do cofre estiver inacessível, o que ajuda a manter a continuidade dos negócios. [Além disso, você pode optar pela integração com [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) para compartilhar um cofre logicamente isolado com outras AWS contas (incluindo contas em outras organizações) para que os backups armazenados no cofre possam ser restaurados a partir de uma conta com a qual o cofre está compartilhado, se necessário para recuperação de perda de dados ou testes de restauração.](restore-testing.md) Como parte dessa segurança adicional, um cofre logicamente isolado armazena seus backups em uma conta de propriedade do AWS Backup serviço (o que resulta em backups mostrados como compartilhados fora de sua organização em itens de atributos de modificação nos registros). AWS CloudTrail 

[No cenário em que sua conta proprietária de um cofre logicamente isolado é fechada (maliciosamente ou não), você ainda pode acessar os backups no cofre (restaurá-los ou copiá-los) via MPA até que o período pós-fechamento termine.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) Depois que o período pós-encerramento expirar, os backups não estarão mais acessíveis. Durante o período pós-encerramento, você pode consultar a [documentação de gerenciamento de AWS contas](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) para recuperar o controle de sua conta enquanto trabalha na recuperação.

Para maior resiliência, recomendamos criar cópias entre regiões em cofres logicamente isolados na mesma conta ou em contas separadas. No entanto, se quiser reduzir os custos de armazenamento mantendo apenas uma única cópia, você pode usar os [backups primários em cofres logicamente isolados, após a integração com o MPA.](lag-vault-primary-backup.md) AWS 

Você pode ver os preços de armazenamento para backups de serviços compatíveis em um cofre logicamente isolado na página de [preços do AWS Backup](https://aws.amazon.com/backup/pricing/).

Consulte [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) para obter os tipos de recursos que você pode copiar para um cofre logicamente isolado.

**Topics**
+ [Visão geral dos cofres logicamente isolados](#lag-overview)
+ [Caso de uso para cofres logicamente isolados](#lag-usecase)
+ [Comparar e contrastar com um cofre de backup padrão](#lag-compare-and-contrast)
+ [Criar um cofre logicamente isolado](#lag-create)
+ [Visualizar detalhes de um cofre logicamente isolado](#lag-view)
+ [Criação de backups em um cofre logicamente isolado](#lag-creation)
+ [Compartilhar um cofre logicamente isolado](#lag-share)
+ [Restaurar um backup de um cofre logicamente isolado](#lag-restore)
+ [Excluir um cofre logicamente isolado](#lag-delete)
+ [Opções de programação adicionais para cofres logicamente isolados](#lag-programmatic)
+ [Entendendo os tipos de chaves de criptografia para cofres logicamente isolados](#lag-encryption-key-types)
+ [Uso da chave de propriedade do serviço](#lag-service-owned-key)
+ [Considerações sobre a correção automática de segurança](#lag-security-auto-remediation)
+ [Solucionar um problema de cofre logicamente isolado](#lag-troubleshoot)
+ [Backups principais em cofres logicamente isolados](lag-vault-primary-backup.md)
+ [Aprovação multilateral para cofres logicamente isolados](multipartyapproval.md)

## Caso de uso para cofres logicamente isolados
<a name="lag-usecase"></a>

Um cofre logicamente isolado é um cofre secundário que serve como parte de uma estratégia de proteção de dados. Esse cofre pode ajudar a aprimorar sua retenção e recuperação organizacionais quando você quer um cofre para seus backups que
+ Seja configurado automaticamente com um bloqueio de cofre no [modo de conformidade](vault-lock.md)
+ Por padrão, oferece criptografia com uma AWS chave própria. Opcionalmente, você pode fornecer uma chave gerenciada pelo cliente
+ Contém backups que, por meio de AWS RAM ou MPA, podem ser compartilhados e restaurados a partir de uma conta diferente daquela que criou o backup

**Considerações e limitações**
+ Os clusters Amazon Aurora, Amazon DocumentDB e Amazon Neptune não criptografados não são compatíveis com cofres logicamente isolados, pois não oferecem suporte à criptografia de snapshots de clusters de banco de dados não criptografados.
+ [O Amazon EC2 oferece o EC2 Allowed. AMIs](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Se essa configuração estiver ativada em sua conta, adicione o alias `aws-backup-vault` à sua lista de permissões.

   Se esse alias não for incluído, ocorrerá uma falha nas operações de cópia de um cofre logicamente isolado para um cofre de backup e nas operações de restauração de instâncias do EC2 com base em um cofre logicamente isolado e será exibida uma mensagem de erro como “Não foi possível encontrar a AMI de origem ami-xxxxxx na região”.
+ O ARN (Amazon Resource Name) de um ponto de recuperação armazenado em um cofre logicamente isolado substituirá `backup` pelo tipo de recurso subjacente. Por exemplo, se o ARN original começar com `arn:aws:ec2:region::image/ami-*`, o ARN do ponto de recuperação no cofre logicamente isolado será `arn:aws:backup:region:account-id:recovery-point:*`.

  Você pode usar o comando [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html) da CLI para determinar a criptografia de SSL.

## Comparar e contrastar com um cofre de backup padrão
<a name="lag-compare-and-contrast"></a>

Um **cofre de backup** é o tipo principal e padrão de cofre usado no AWS Backup. Cada backup é armazenado em um cofre de backup quando o backup é criado. Você pode atribuir políticas baseadas em recursos para gerenciar backups armazenados no cofre, como o ciclo de vida dos backups armazenados no cofre.

Um **cofre logicamente isolado** é um cofre especializado com segurança adicional e compartilhamento flexível para um tempo de recuperação (RTO) mais rápido. Esse cofre armazena backups primários ou cópias de backups que foram inicialmente criados e armazenados em um cofre de backup padrão.

Os cofres de backup são criptografados com uma chave, um mecanismo de segurança que limita o acesso aos usuários pretendidos. Essas chaves podem ser gerenciadas ou AWS gerenciadas pelo cliente. Consulte [Criptografia de cópia](encryption.md#copy-encryption) para ver o comportamento de criptografia durante trabalhos de cópia, incluindo a cópia em um cofre logicamente isolado.

Além disso, um cofre de backup pode ser ainda mais protegido por um bloqueio de cofre. Os cofres logicamente isolados são equipados com um bloqueio de cofre no modo de conformidade.

[Semelhantes aos cofres de backup, os cofres com lacunas lógicas também oferecem suporte a tags restritas para backups do Amazon EC2.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)


| Recurso | Cofre de backup | Cofre logicamente isolado | 
| --- | --- | --- | 
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | Você pode usar o AWS Backup Audit Manager [Controles e remediação](controls-and-remediation.md) para monitorar seus cofres de backup. | Garanta que um backup de um recurso específico seja armazenado em [pelo menos um cofre logicamente isolado](controls-and-remediation.md#resources-in-lag-vault-control) de acordo com um cronograma determinado por você, além dos controles disponíveis nos cofres padrão. | 
| [Faturamento](https://aws.amazon.com/backup/pricing/) | As cobranças de armazenamento e transferência de dados para recursos totalmente gerenciados pelo AWS Backup ocorrem no "AWS Backup". Outras cobranças de transferência de dados e armazenamento de tipos de recursos ocorrerão em seus respectivos serviços. Por exemplo, os backups do Amazon EBS serão exibidos em "Amazon EBS"; os backups do Amazon S3 serão exibidos em "AWS Backup". | Todas as cobranças desses cofres (armazenamento ou transferência de dados) ocorrem no "AWS Backup". | 
|   [Regiões](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Disponível em todas as regiões em que AWS Backup opera | Disponível na maioria das regiões suportadas pelo AWS Backup. Atualmente, não está disponível na Ásia-Pacífico (Malásia), Oeste do Canadá (Calgary), México (Central), Ásia-Pacífico (Tailândia), Ásia-Pacífico (Taipei), Ásia-Pacífico (Nova Zelândia), China (Pequim), China (Ningxia), (Leste dos EUA) ou (Oeste dos EUA) AWS GovCloud . AWS GovCloud  | 
|   [Recursos](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Pode armazenar cópias de backups para a maioria dos tipos de recursos que oferecem suporte à cópia entre contas. | Consulte a coluna do cofre logicamente isolado em [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) para saber quais recursos podem ser copiados para esse cofre. | 
|  [ Restaurar](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | Os backups podem ser restaurados pela mesma conta proprietária do cofre. | Os backups podem ser restaurados por uma conta diferente daquela que é proprietária do backup, se o cofre for compartilhado com essa conta separada. | 
| [Segurança](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) |  Opcionalmente, pode ser criptografado com uma chave (gerenciada pelo cliente ou gerenciada pela AWS ) Opcionalmente, pode usar um bloqueio de cofre no modo de conformidade ou governança |  Pode ser criptografado com uma [AWS chave própria](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) ou uma chave gerenciada pelo cliente Está sempre bloqueado com um [bloqueio de cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) no modo de conformidade As informações do tipo de chave de criptografia são preservadas e visíveis quando os cofres são compartilhados por meio AWS RAM de ou MPA  | 
| [Compartilhamento](#lag-share) |  O acesso pode ser gerenciado por meio de políticas e pelo [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) Não compatível com AWS RAM  | Opcionalmente, pode ser compartilhado entre contas usando o [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) | 

## Criar um cofre logicamente isolado
<a name="lag-create"></a>

Você pode criar um cofre logicamente isolado por meio do AWS Backup console ou por meio de uma combinação de comandos da CLI. AWS Backup AWS RAM 

Cada cofre logicamente isolado vem equipado com um bloqueio de cofre no modo de conformidade. Consulte [AWS Backup Fechadura do cofre](vault-lock.md) para ajudar a determinar os valores do período de retenção mais apropriados para sua operação

------
#### [ Console ]

**Criar um cofre logicamente isolado no console**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Configurações**.

1. Os dois tipos de cofres serão exibidos. Selecione **Criar cofre**.

1. Insira um nome para o cofre de backup. Você pode nomear o cofre para refletir o que será armazenado nele ou para facilitar a pesquisa de backups necessários. Por exemplo, você pode nomeá-lo como: `FinancialBackups`.

1. Selecione o botão de opção para um **cofre logicamente isolado**. 

1. *(Opcional)* Escolha uma chave de criptografia. Você pode selecionar uma chave KMS gerenciada pelo cliente para obter controle adicional sobre a criptografia ou usar a chave AWS de propriedade padrão (recomendada).

1. Defina o **período mínimo de retenção**.

   Esse valor (em dias, meses ou anos) é o menor tempo em que um backup poderá ser retido nesse cofre. Backups com períodos de retenção menores que esse valor não poderão ser copiados nesse cofre.

   O valor mínimo permitido é `7` dias. Os valores para meses e anos atendem a esse mínimo.

1. Defina o **período máximo de retenção**.

   Esse valor (em dias, meses ou anos) é a maior quantidade de tempo que um backup poderá ser retido nesse cofre. Backups com períodos de retenção maiores que esse valor não poderão ser copiados nesse cofre.

1. *(Opcional)* Defina a **chave de criptografia**.

   Especifique a chave a ser usada com seu cofre. Você pode escolher uma **chave AWS própria (gerenciada por AWS Backup)** ou inserir o ARN de uma **chave gerenciada pelo cliente** que, de preferência, pertença a uma conta diferente à qual você tenha acesso. AWS Backup recomenda o uso de AWS uma chave própria.

1. *(Opcional)* Adicione tags que ajudarão você a pesquisar e identificar seu cofre logicamente isolado. Por exemplo, você pode adicionar uma tag `BackupType:Financial`.

1. Selecione **Criar cofre**.

1. Reveja as configurações. Se todas as configurações forem exibidas conforme pretendido, selecione **Criar um cofre logicamente isolado**.

1. O console levará você à página de detalhes do novo cofre. Verifique se os detalhes do cofre estão conforme o esperado.

1. Selecione **Cofres** para ver os cofres em sua conta. Seu cofre logicamente isolado será exibido. A chave do KMS estará disponível aproximadamente em 1 a 3 minutos após a criação do cofre. Atualize a página para ver a chave associada. Quando a chave estiver visível, o cofre estará em um estado disponível e poderá ser usado.

------
#### [ AWS CLI ]

Criar um cofre logicamente isolado da CLI

Você pode usar AWS CLI para realizar operações de forma programática em cofres logicamente isolados. Cada CLI é específica para o AWS serviço em que se origina. Os comandos relacionados ao compartilhamento são prefixados com `aws ram`. Todos os outros comandos devem ser prefixados com `aws backup`.

Use o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html) da CLI para definir os parâmetros a seguir:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```

O `--encryption-key-arn` parâmetro opcional permite que você especifique uma chave KMS gerenciada pelo cliente para criptografia do cofre. Se não for fornecido, o cofre usará uma chave AWS própria.

Exemplo de comando da CLI para criar um cofre logicamente isolado:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```

Exemplo de comando CLI para criar um cofre logicamente isolado com criptografia gerenciada pelo cliente:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```

Consulte os [elementos de resposta CreateLogicallyAirGappedBackupVault da API](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html) para obter informações após a operação de criação. Se a operação for bem-sucedida, o novo cofre logicamente isolado terá o de. VaultState `CREATING`

Quando a criação for concluída e a chave criptografada do KMS tiver sido atribuída, ela VaultState fará a transição para o. `AVAILABLE` Uma vez disponível, o cofre pode ser usado. O `VaultState` pode ser recuperado chamando [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html) ou [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html).

------

## Visualizar detalhes de um cofre logicamente isolado
<a name="lag-view"></a>

Você pode ver os detalhes do cofre, como resumo, pontos de recuperação, recursos protegidos, compartilhamento de contas, política de acesso e tags, por meio do AWS Backup console ou da AWS Backup CLI.

------
#### [ Console ]

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação esquerdo, selecione **Pilhas**.

1. **Abaixo das descrições dos cofres, haverá três listas: cofres **criados por essa conta, cofres compartilhados por** **meio de RAM e cofres acessíveis por meio** de aprovação de várias partes.** Selecione a guia desejada para ver os cofres.

1. Em **Nome do cofre**, clique no nome do cofre para abrir a página de detalhes. Você poderá ver o resumo, os pontos de recuperação, os recursos protegidos, o compartilhamento da conta, a política de acesso e os detalhes da tag.

   Os detalhes são exibidos dependendo do tipo de conta: contas que possuem um cofre podem ver o compartilhamento da conta; contas que não possuem um cofre não poderão ver o compartilhamento da conta. Para cofres compartilhados, o tipo de chave de criptografia (chave KMS AWS de propriedade ou gerenciada pelo cliente) é exibido no resumo do cofre.

------
#### [ AWS CLI ]

Ver os detalhes de um cofre logicamente isolado por meio da CLI

O comando da CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html) pode ser usado para obter os detalhes de um cofre. O parâmetro `backup-vault-name` é obrigatório, mas `region` é opcional.

```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```

Exemplo de resposta:

```
{
            "BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
            "BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 8,
            "MaxRetentionDays": 30,
            "LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```

**nota**  
O `VaultType` campo não está incluído na resposta da API em regiões onde cofres logicamente isolados não estão disponíveis.

------

## Criação de backups em um cofre logicamente isolado
<a name="lag-creation"></a>

Logicamente, cofres isolados podem ser um destino de trabalho de cópia em um plano de backup ou um alvo para um trabalho de cópia sob demanda. Ele também pode ser usado como destino principal de backup. Consulte [Backups primários em cofres logicamente isolados](lag-vault-primary-backup.md).

**Criptografia compatível**

Um trabalho de cópia bem-sucedido de um cofre de backup para um cofre logicamente isolado requer uma chave de criptografia que é determinada pelo tipo de recurso que está sendo copiado.

Quando você cria ou copia um backup de um [tipo de recurso totalmente gerenciado](backup-feature-availability.md#features-by-resource), o recurso de origem pode ser criptografado por uma chave gerenciada pelo cliente ou por uma chave AWS gerenciada.

Quando você cria ou copia um backup de outros tipos de recursos (aqueles [não totalmente gerenciados](backup-feature-availability.md#features-by-resource)), a fonte deve ser criptografada com uma chave gerenciada pelo cliente. AWS chaves gerenciadas para recursos não totalmente gerenciados não são suportadas.

**Crie ou copie backups para um cofre logicamente isolado por meio de um plano de backup**

Você pode copiar um backup (ponto de recuperação) de um cofre de backup padrão para um cofre logicamente isolado [criando um novo plano de backup ou atualizando um](creating-a-backup-plan.md) [existente no AWS Backup console ou por meio dos](updating-a-backup-plan.md) comandos e. AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) Você também pode criar backups diretamente em um cofre logicamente isolado, usando-o como alvo principal. Consulte [Backups primários em cofres logicamente isolados para obter](lag-vault-primary-backup.md) mais detalhes.

Você pode copiar um backup de um cofre logicamente isolado para outro cofre logicamente isolado sob demanda (esse tipo de backup não pode ser programado em um plano de backup). Você pode copiar um backup de um cofre logicamente isolado para um cofre de backup padrão, desde que a cópia seja criptografada com uma chave gerenciada pelo cliente.

**Cópia de backup sob demanda para um cofre logicamente isolado**

Para criar uma cópia única [sob demanda](recov-point-create-on-demand-backup.md) de um backup em um cofre logicamente isolado, você pode copiar de um cofre de backup padrão. Cópias entre regiões ou entre contas estarão disponíveis se o tipo de recurso for compatível com o tipo de cópia.

**Disponibilidade de cópias**

Uma cópia de um backup pode ser criada a partir da conta à qual o cofre pertence. As contas com as quais o cofre foi compartilhado têm a capacidade de visualizar ou restaurar um backup, mas não de criar uma cópia.

Somente [tipos de recursos que oferecem suporte à cópia entre regiões ou entre contas](backup-feature-availability.md#features-by-resource) podem ser incluídos.

------
#### [ Console ]

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação esquerdo, selecione **Pilhas**.

1. Na página de detalhes do cofre, todos os pontos de recuperação dentro desse cofre serão exibidos. Coloque uma marca de seleção ao lado do ponto de recuperação que você deseja copiar.

1. Em seguida, escolha **Ações** e selecione **Editar** no menu suspenso.

1. Na próxima tela, insira os detalhes do destino.

   1. Especifique a região de destino.

   1. O menu suspenso do cofre de backup de destino exibirá os cofres de destino elegíveis. Selecione um com o tipo `logically air-gapped vault`

1. Selecione **Copiar** quando todos os detalhes estiverem definidos de acordo com suas preferências. 

Na página **Trabalhos** no console, você poderá selecionar trabalhos de **Cópia** para ver os trabalhos de cópia atuais.

------
#### [ AWS CLI ]

Use [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html) para copiar um backup existente em um cofre de backup para um cofre logicamente isolado.

Exemplo de entrada da CLI:

```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```

------

Para obter mais informações, consulte [Copiar um backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [Backup entre regiões](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) e [Backup entre contas](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html).

## Compartilhar um cofre logicamente isolado
<a name="lag-share"></a>

Você pode usar AWS Resource Access Manager (RAM) para compartilhar um cofre logicamente isolado com outras contas que você designar. Ao compartilhar cofres, as informações do tipo de chave de criptografia (chave KMS AWS de propriedade ou gerenciada pelo cliente) são preservadas e visíveis para as contas com as quais o cofre é compartilhado.

Um cofre pode ser compartilhado com uma conta em sua organização ou com uma conta em outra organização. O cofre não pode ser compartilhado com uma organização inteira, somente com contas dentro da organização.

Somente as contas com privilégios do IAM específicos podem compartilhar e gerenciar o compartilhamento de cofres.

Para compartilhar usando AWS RAM, verifique se você tem o seguinte:
+ Duas ou mais contas que podem acessar AWS Backup
+ O cofre pertencente à conta que pretende compartilhar tem as permissões da RAM necessárias. A permissão `ram:CreateResourceShare` é necessária para esse procedimento. A política `AWSResourceAccessManagerFullAccess` contém todas as permissões necessárias relacionadas à RAM:
  + `backup:DescribeBackupVault`
  + `backup:DescribeRecoveryPoint`
  + `backup:GetRecoveryPointRestoreMetadata`
  + `backup:ListProtectedResourcesByBackupVault`
  + `backup:ListRecoveryPointsByBackupVault`
  + `backup:ListTags`
  + `backup:StartRestoreJob`
+ Pelo menos um cofre logicamente isolado

------
#### [ Console ]

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação esquerdo, selecione **Pilhas**.

1. Abaixo das descrições dos cofres, haverá duas listas: **Cofres de propriedade dessa conta** e **Cofres compartilhados com essa conta**. Os cofres pertencentes à conta podem ser compartilhados.

1. Em **Nome do cofre**, selecione o nome do cofre logicamente isolado para abrir a página de detalhes.

1. O painel de **Compartilhamento de contas** mostra com quais contas o cofre está sendo compartilhado.

1. Para começar a compartilhar com outra conta ou editar as contas que já estão sendo compartilhadas, selecione **Gerenciar compartilhamento**.

1. O AWS RAM console é aberto quando a opção **Gerenciar compartilhamento** é selecionada. Para ver as etapas para compartilhar um recurso usando AWS RAM, consulte [Como criar um compartilhamento de recursos na AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *Guia do usuário da AWS RAM*.

1. A conta convidada a aceitar um convite para receber um compartilhamento tem 12 horas para aceitar o convite. Consulte [Aceitar e rejeitar convites de compartilhamento de recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) no *Guia do usuário do AWS RAM*.

1. Se as etapas de compartilhamento forem concluídas e aceitas, a página de resumo do cofre será exibida em **Compartilhamento de conta = “Compartilhado - veja a tabela de compartilhamento de conta abaixo**”.

------
#### [ AWS CLI ]

AWS RAM usa o comando CLI. `create-resource-share` O acesso a esse comando só está disponível para contas com permissões suficientes. Consulte [Criar um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) para ver as etapas da CLI.

As etapas de 1 a 4 são conduzidas com a conta proprietária do cofre logicamente isolado. As etapas 5 a 8 são conduzidas com a conta com a qual o cofre logicamente isolado será compartilhado.

1. Faça login na conta proprietária OU solicite que um usuário em sua organização com credenciais suficientes para acessar a conta de origem conclua essas etapas. 

   1. Se um compartilhamento de recursos foi criado anteriormente e você deseja adicionar um recurso adicional a ele, use `associate-resource-share` da CLI em vez disso com o ARN do novo cofre.

1. Obtenha as credenciais de uma função com permissões suficientes para compartilhar via RAM. [Insira-as na CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new). 

   1. A permissão `ram:CreateResourceShare` é necessária para esse procedimento. A política [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)contém todas as permissões relacionadas à RAM. 

1. Use [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).

   1. Inclua o ARN do cofre logicamente isolado.

   1. Exemplo de entrada:

      ```
      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1
      ```

   1. Resultado do exemplo:

      ```
      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }
      ```

1. Copie o ARN do compartilhamento de recursos no resultado (que é necessário para as etapas subsequentes). Forneça o ARN ao operador da conta que você está convidando para receber o compartilhamento.

1. Obter o ARN do compartilhamento de recursos

   1. Se você não executou as etapas de 1 a 4, obtenha-as resourceShareArn de quem as executou.

   1. Exemplo: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`

1. Na CLI, assuma as credenciais da conta destinatária.

1. Receba um convite para compartilhar recursos com [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html). Para obter mais informações, consulte [Aceitar e rejeitar convites](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) no *Guia do usuário do AWS RAM *.

1. Aceite o convite na conta de destino (recuperação).

   1. Use [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (também é possível usar [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)).

Você pode usar os comandos da AWS RAM CLI para visualizar itens compartilhados:
+ Recursos que você compartilhou:

  `aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Mostrar a entidade principal:

  `aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Recursos compartilhados por outras contas:

  `aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`

------

## Restaurar um backup de um cofre logicamente isolado
<a name="lag-restore"></a>

Você pode restaurar um backup armazenado em um cofre logicamente isolado de uma conta proprietária do cofre ou de qualquer conta com a qual o cofre seja compartilhado.

Consulte [Restaurar um backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) para obter informações sobre como restaurar um ponto de recuperação por meio do console do AWS Backup .

Depois que um backup for compartilhado de um cofre logicamente isolado na sua conta, você poderá usar [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html) para restaurar o backup.

Um exemplo de entrada da CLI pode incluir os seguintes parâmetros e comando:

```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```

## Excluir um cofre logicamente isolado
<a name="lag-delete"></a>

Consulte [excluir um cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault). Os cofres não poderão ser excluídos se ainda contiverem backups (pontos de recuperação). Certifique-se de que o cofre não tenha nenhum backup antes de iniciar uma operação de exclusão.

A exclusão de um cofre também exclui a chave associada ao cofre sete dias após a exclusão do cofre, de acordo com a política de exclusão de chaves.

O exemplo de comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) da CLI pode ser usado para excluir um cofre.

```
aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname
```

## Opções de programação adicionais para cofres logicamente isolados
<a name="lag-programmatic"></a>

O comando [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) da CLI pode ser modificado para listar todos os cofres de propriedade e presentes na conta:

```
aws backup list-backup-vaults
--region us-east-1
```

Para listar apenas os cofres logicamente isolados, adicione o parâmetro

```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```

Inclua o parâmetro `by-shared` para filtrar a lista retornada de cofres para mostrar somente cofres logicamente isolados compartilhados. A resposta incluirá informações do tipo de chave de criptografia para cada cofre compartilhado.

```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```

Exemplo de resposta mostrando informações sobre o tipo de chave de criptografia:

```
{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}
```

**nota**  
O `VaultType` campo não está incluído na resposta da API em regiões onde cofres logicamente isolados não estão disponíveis.

## Entendendo os tipos de chaves de criptografia para cofres logicamente isolados
<a name="lag-encryption-key-types"></a>

Os cofres logicamente isolados suportam diferentes tipos de chaves de criptografia, e essas informações são visíveis por meio de um console. AWS Backup APIs Quando os cofres são compartilhados por meio do AWS RAM ou MPA, as informações do tipo de chave de criptografia são preservadas e tornadas visíveis para as contas com as quais o cofre é compartilhado. Essa transparência ajuda você a entender a configuração de criptografia dos cofres e a tomar decisões informadas sobre as operações de backup e restauração.

### Valores do tipo de chave de criptografia
<a name="encryption-key-type-values"></a>

O `EncryptionKeyType` campo pode ter os seguintes valores:
+ `AWS_OWNED_KMS_KEY`- O cofre é criptografado com uma chave AWS própria. Esse é o método de criptografia padrão para cofres logicamente isolados quando nenhuma chave gerenciada pelo cliente é especificada.
+ `CUSTOMER_MANAGED_KMS_KEY`- O cofre é criptografado com uma chave KMS gerenciada pelo cliente que você controla. Essa opção fornece controle adicional sobre chaves de criptografia e políticas de acesso.

**nota**  
AWS O Backup recomenda o uso AWS de chaves próprias com cofres logicamente fechados.
Se a política da sua organização exigir o uso de uma chave gerenciada pelo cliente, AWS não é recomendável usar chaves da mesma conta, exceto para testes. Para cargas de trabalho de produção, use uma chave gerenciada pelo cliente de outra conta em uma organização secundária dedicada à recuperação como prática recomendada. Você pode consultar o blog [Encrypt AWS Backup: cofres logicamente isolados com chaves gerenciadas pelo cliente para obter mais informações sobre como configurar cofres](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) logicamente isolados baseados em CMK.
 Você só pode selecionar uma chave de criptografia AWS KMS durante a criação do cofre. Depois de criados, todos os backups contidos no cofre serão criptografados com essa chave. Você não pode alterar ou migrar seus cofres para usar uma chave de criptografia diferente.

### Política-chave para a criação de cofres logicamente isolados criptografados pela CMK
<a name="key-policy-lag-vault-creation"></a>

Ao criar um cofre logicamente isolado com uma chave gerenciada pelo cliente, você deve aplicar a política gerenciada à função da sua AWS conta. `AWSBackupFullAccess` Essa política inclui `Allow` ações que permitem interagir com AWS Backup a criação AWS KMS de concessões em chaves KMS durante operações de backup, cópia e armazenamento. Além disso, você deve garantir que sua política de chave gerenciada pelo cliente (se usada) inclua as permissões específicas necessárias.
+ A CMK deve ser compartilhada com a conta em que o cofre logicamente isolado reside

```
{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}
```

**Política chave para cópia/restauração**

Para evitar falhas no trabalho, revise sua política de AWS KMS chaves para garantir que ela inclua todas as permissões necessárias e não contenha nenhuma declaração de negação que possa bloquear as operações. As seguintes condições se aplicam:
+ Para todos os cenários de cópia, o CMKs deve ser compartilhado com a função de cópia de origem

```
{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}
```
+ Ao copiar de um cofre logicamente isolado criptografado pela CMK para um cofre de backup, a CMK também deve ser compartilhada com a SLR da conta de destino

```
{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```
+ Ao copiar ou restaurar a partir de uma conta de recuperação usando um cofre RAM/MPA compartilhado logicamente isolado

```
{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```

**IAM Role**

Ao realizar operações logicamente isoladas de cópia em cofre, os clientes podem utilizar o `AWSBackupDefaultServiceRole` que inclui a política gerenciada. AWS`AWSBackupServiceRolePolicyForBackup` No entanto, se os clientes preferirem implementar uma abordagem de política de privilégios mínimos, sua política de IAM deve incluir um requisito específico:
+ A função de cópia da conta de origem deve ter permissões de acesso à origem e ao destino CMKs.

```
{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}
```

Consequentemente, um dos erros mais comuns do cliente ocorre durante a cópia, quando os clientes não fornecem permissões suficientes em suas funções CMKs e nas funções de cópia.

### Visualizando tipos de chaves de criptografia
<a name="viewing-encryption-key-types"></a>

Você pode visualizar as informações do tipo de chave de criptografia por meio do AWS Backup console e programaticamente usando o AWS CLI ou. SDKs

**Console:** ao visualizar cofres com lacunas de ar logicamente no AWS Backup console, o tipo de chave de criptografia é exibido na página de detalhes do cofre, na seção de informações de segurança.

**AWS CLI/API:** o tipo de chave de criptografia é retornado na resposta das seguintes operações ao consultar cofres logicamente isolados:
+ `list-backup-vaults`(inclusive `--by-shared` para cofres compartilhados)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`

### Considerações sobre criptografia de cofre
<a name="encryption-key-type-considerations"></a>

Ao trabalhar com cofres logicamente isolados e tipos de chaves de criptografia, considere o seguinte:
+ **Seleção de chaves durante a criação:** opcionalmente, você pode especificar uma chave KMS gerenciada pelo cliente ao criar um cofre logicamente isolado. Se não for especificada, uma chave AWS de propriedade será usada.
+ **Visibilidade do cofre compartilhado:** as contas com as quais um cofre é compartilhado podem visualizar o tipo de chave de criptografia, mas não podem modificar a configuração de criptografia.
+ **Informações do ponto de recuperação:** o tipo de chave de criptografia também está disponível ao visualizar pontos de recuperação em cofres logicamente fechados.
+ **Operações de restauração:** compreender o tipo de chave de criptografia ajuda você a planejar as operações de restauração e entender quaisquer possíveis requisitos de acesso.
+ **Conformidade:** as informações do tipo de chave de criptografia dão suporte aos requisitos de auditoria e emissão de relatórios de conformidade, fornecendo transparência aos métodos de criptografia usados para dados de backup.

## Uso da chave de propriedade do serviço
<a name="lag-service-owned-key"></a>

AWS Backup cria e gerencia chaves de criptografia que são usadas para criptografar todos os dados de backup armazenados em cofres logicamente isolados, para proteger e evitar a perda de acesso à chave de criptografia durante um evento de perda de dados.
+ Essas chaves são gratuitas e não contam para as AWS KMS cotas da sua conta.
+ Uma única chave é usada somente para um cofre específico e não é compartilhada com nenhuma outra conta ou outra finalidade.
+ Essas chaves são excluídas quando o cofre atribuído (vazio) também é excluído.
+ Essas chaves são criadas usando a especificação de chave [SYMMETRIC\$1DEFAULT](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).
+ A política de rotação padrão é de 90 dias. Você pode solicitar a rotação (uma vez a cada 6 meses) das chaves de criptografia de propriedade do serviço para seus cofres logicamente isolados por meio de um ticket de suporte.

Acesse a [AWS KMS documentação](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) para saber mais.

## Considerações sobre a correção automática de segurança
<a name="lag-security-auto-remediation"></a>

Quando AWS Backup copia um backup do EC2 (AMI) em um cofre logicamente isolado, ele concede temporariamente (na AMI) e `createVolumePermission` (`launchPermission`em snapshots do EBS associados) a uma conta de propriedade do serviço. Essas permissões são revogadas automaticamente após a conclusão da cópia.

Essas operações `ModifyImageAttribute` geram `ModifySnapshotAttribute` eventos em seus AWS CloudTrail registros, com `userIdentity.invokedBy` definido como`backup.amazonaws.com`.

Se você tem uma lógica de remediação automática de segurança (por exemplo, EventBridge as regras da Amazon com AWS Lambda) que monitora esses eventos e revoga o compartilhamento entre contas, você deve excluir os eventos onde estão. `userIdentity.invokedBy` `backup.amazonaws.com` Caso contrário, os trabalhos de cópia para cofres logicamente fechados falharão com: “Você não tem permissão para acessar o armazenamento desta ami”.

Essa exclusão é segura porque a cópia é autorizada por suas políticas de acesso ao cofre (`backup:CopyFromBackupVault`no cofre de origem e `backup:CopyIntoBackupVault` no cofre de destino), que são avaliadas antes que qualquer modificação de atributo do EC2 ocorra. As permissões temporárias são concedidas somente a uma conta fixa AWS de propriedade do serviço e são automaticamente revogadas após a conclusão da cópia.

Exemplo de padrão de evento de EventBridge regra que exclui AWS Backup operações:

```
{
  "source": ["aws.ec2"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["ec2.amazonaws.com"],
    "eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
    "userIdentity": {
      "invokedBy": [{"anything-but": "backup.amazonaws.com"}]
    }
  }
}
```

## Solucionar um problema de cofre logicamente isolado
<a name="lag-troubleshoot"></a>

Se você encontrar erros durante o fluxo de trabalho, consulte os seguintes exemplos de erros e resoluções sugeridas:

### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
<a name="w2aac15c13c31b5"></a>

Erro:

**Possível causa:** durante um trabalho de cópia da AMI do EC2 em um cofre logicamente isolado, AWS Backup concede temporariamente a permissão de lançamento (AMI) e a permissão de criação de volume (instantâneo do EBS) a uma conta de propriedade do serviço, gerando eventos em seus registros. `ModifyImageAttribute` `ModifySnapshotAttribute` AWS CloudTrail Se você tiver uma lógica de correção automática de segurança (como EventBridge regras com o Lambda) que monitora esses eventos e revoga automaticamente as permissões de compartilhamento entre contas, ela pode remover o acesso temporário antes que a cópia seja concluída.

**nota**  
Isso pode acontecer da mesma forma para trabalhos de cópia de outros recursos, como a Amazon FSx.

**Resolução:** atualize seu padrão de eventos de EventBridge regra para excluir operações realizadas por AWS Backup. Especificamente, exclua eventos onde `userIdentity.invokedBy` estiver `backup.amazonaws.com` para garantir que sua lógica de correção automática não revogue as permissões temporárias entre contas AWS Backup concedidas durante o processo de cópia.

### `AccessDeniedException`
<a name="w2aac15c13c31b7"></a>

Erro:

**Possível causa:** o parâmetro `--backup-vault-account-id` não foi incluído quando uma das seguintes solicitações foi executada em um cofre compartilhado pela RAM:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`

**Resolução:** repita o comando que retornou o erro, mas inclua o parâmetro `--backup-vault-account-id` que especifica a conta proprietária do cofre.

### `OperationNotPermittedException`
<a name="w2aac15c13c31b9"></a>

**Erro:** `OperationNotPermittedException` é retornado após uma chamada `CreateResourceShare`.

**Possível causa:** se você tentou compartilhar um recurso, como um cofre logicamente isolado, com outra organização, você pode obter essa exceção. Um cofre pode ser compartilhado com uma conta em outra organização, mas não pode ser compartilhado com a própria organização.

**Resolução:** repita a operação, mas especifique uma conta como valor para `principals`, em vez de uma organização ou UO.

### Tipo de chave de criptografia não exibido
<a name="w2aac15c13c31c11"></a>

**Problema:** o tipo de chave de criptografia não é visível ao visualizar um cofre logicamente isolado ou seus pontos de recuperação.

**Causas possíveis:**
+ Você está vendo um cofre antigo que foi criado antes da adição do suporte ao tipo de chave de criptografia
+ Você está usando uma versão mais antiga do AWS CLI ou SDK
+ A resposta da API não inclui o campo do tipo de chave de criptografia

**Resolução:**
+ Atualize seu AWS CLI para a versão mais recente
+ Para cofres mais antigos, o tipo de chave de criptografia será preenchido automaticamente e deverá aparecer nas chamadas de API subsequentes
+ Verifique se você está usando as operações de API corretas que retornam informações do tipo de chave de criptografia
+ Para cofres compartilhados, verifique se o cofre está compartilhado corretamente por meio de AWS Resource Access Manager

### “FALHOU” VaultState com AccessDeniedException CloudTrail registros
<a name="w2aac15c13c31c13"></a>

**Erro em CloudTrail:** `"User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`

**Causas possíveis:**
+ O cofre foi criado usando uma chave gerenciada pelo cliente, mas a função assumida não tem CreateGrant permissão sobre a política de chaves necessária para usar a chave na criação do cofre

**Resolução:**
+ Conceda as permissões especificadas na [Política-chave para a criação de cofres logicamente isolados criptografados pela CMK](#key-policy-lag-vault-creation) seção e tente novamente o fluxo de trabalho de criação do cofre.

# Backups principais em cofres logicamente isolados
<a name="lag-vault-primary-backup"></a>

## Visão geral do
<a name="lag-primary-backup-overview"></a>

O recurso de backup primário com compartimento aéreo lógico oferece a opção de especificar um cofre com lacuna lógica como destino principal de backup na mesma conta, tanto para tarefas de backup programadas quanto sob demanda. Isso elimina a necessidade de manter cópias separadas em um cofre de backup padrão e em um cofre logicamente isolado, reduzindo custos e simplificando os fluxos de trabalho, preservando os benefícios de segurança da lacuna lógica.

Você pode atribuir um cofre logicamente isolado como alvo principal em planos de backup, políticas de toda a organização ou backups sob demanda. Anteriormente, para fazer backup em um cofre logicamente isolado, primeiro era necessário criar um backup em um cofre de backup e depois copiá-lo para um cofre logicamente isolado. Com esse recurso, dependendo do tipo de recurso, AWS Backup você pode criar backups diretamente em seu cofre logicamente isolado ou gerenciar automaticamente backups temporários que são copiados para seu cofre logicamente isolado e depois excluídos.

O comportamento depende de dois fatores:
+ Se o tipo de recurso é suportado por um cofre logicamente isolado.
+ Se o tipo de recurso oferece suporte ao [AWS Backup gerenciamento completo](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management).

**Atenção**  
Recomendamos integrar seus cofres logicamente isolados com [aprovação multipartidária](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA) se você adotar esse recurso. Isso permite a recuperação de backups no cofre mesmo se a conta proprietária do cofre estiver inacessível.

Não há novos preços para esse recurso. Você só é cobrado pelos backups armazenados em cofres logicamente isolados e por instantâneos temporários (durante o período de retenção no sistema) dos recursos aplicáveis de acordo com as taxas vigentes. Consulte [AWS Backup Preços](https://aws.amazon.com/backup/pricing/) para obter detalhes.

**Topics**
+ [Visão geral do](#lag-primary-backup-overview)
+ [Como funciona](#lag-primary-backup-how-it-works)
+ [Considerações sobre custos](#lag-primary-backup-cost)
+ [Configure o backup primário de um cofre isolado de forma lógica](#lag-primary-backup-configure)
+ [Monitore logicamente o backup primário de um cofre isolado](#lag-primary-backup-monitor)
+ [Integração e migração](#lag-primary-backup-onboarding)
+ [Solução de problemas](#lag-primary-backup-troubleshooting)

## Como funciona
<a name="lag-primary-backup-how-it-works"></a>

Você pode integrar esse recurso atualizando seu plano de backup existente ou criando um novo e adicionando um ARN de cofre logicamente isolado (nome `TargetLogicallyAirGappedBackupVaultArn` do campo:) como destino principal de backup. Você pode executar essa operação por meio do AWS Backup console ou por meio de comandos da AWS Backup CLI.

```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```

Quando você especifica um cofre de backup e um cofre logicamente isolado como destinos para suas tarefas de backup, AWS Backup determina o fluxo de trabalho apropriado com base no tipo de recurso e na configuração de criptografia.

![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)


**Recursos compatíveis para backup primário em cofres logicamente isolados**  
[Para ver a lista completa de recursos compatíveis com cofres logicamente isolados, consulte a disponibilidade de recursos. AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources) Todos os recursos que suportam cofres logicamente isolados seguem o princípio de manter apenas uma cópia do backup, em vez de armazenar duas cópias separadas, quando esse recurso é usado.

**Atenção**  
Recursos atualmente não compatíveis com esse recurso podem ter seu suporte ativado no futuro. Quando isso ocorrer, seu recurso recém-suportado iniciará automaticamente o backup no cofre logicamente isolado usando o fluxo de trabalho mostrado acima.

**Considerações e limitações:**  

+ **Somente na mesma conta e região** — Seu cofre logicamente isolado deve estar na mesma AWS conta e região dos seus recursos para usar esse recurso. Você não pode criar backups diretamente entre contas ou regiões. Recomendamos fazer backup em um cofre logicamente isolado na mesma região para permitir uma recuperação mais rápida sem precisar de uma cópia. Se você precisar de uma cópia de seus dados em uma segunda região para recuperação de desastres (DR), recomendamos a replicação entre regiões de seus recursos primários para um failover rápido ou cópias de pontos de recuperação entre regiões em um cofre de backup bloqueado.
+ **Restrições no uso de chaves AWS gerenciadas** — recursos que não suportam AWS Backup gerenciamento completo e são criptografados com chaves AWS gerenciadas (por exemplo,`aws/ebs`,`aws/rds`) não podem ser copiados para cofres logicamente isolados. Esses recursos devem ser criptografados com uma chave KMS gerenciada pelo cliente ou não criptografados. Os recursos que **apoiam o AWS Backup gerenciamento completo não têm essa restrição**.
+ **Frequência de backup e cópias simultâneas** — para recursos que não oferecem suporte ao AWS Backup gerenciamento total, certifique-se de que sua frequência de backup permita tempo suficiente para que as cópias sejam concluídas. Se os backups forem agendados com mais frequência do que as cópias podem ser concluídas, os trabalhos de cópia entrarão em fila e poderão, eventualmente, falhar. Para obter orientação sobre limites de cópias simultâneas, [consulte cotas](aws-backup-limits.md#lag-vault-quotas-table).
+ **Compatibilidade do ciclo** de vida — O período de retenção especificado em seu plano de backup deve ser compatível com os períodos mínimo e máximo de retenção configurados para seu cofre logicamente isolado.
+ **Cofres de backup bloqueados** — Se o cofre de backup de destino tiver um bloqueio de cofre ativado, os pontos de recuperação temporários não poderão ser excluídos manualmente e serão retidos até que a cópia seja concluída ou o período de retenção expire.
+ **Teste de restauração, indexação e verificação** — Os testes de restauração, a indexação de pontos de recuperação e a verificação de malware ignorarão os pontos de recuperação temporários com um `DELETE_AFTER_COPY` ciclo de vida. A indexação de pontos de recuperação não oferece suporte a pontos de recuperação em um cofre logicamente isolado. O escaneamento de malware não suporta escaneamentos programados de pontos de recuperação copiados, o que inclui cópias automáticas feitas como parte dos backups primários em um cofre logicamente isolado.

### Recursos que apoiam o AWS Backup gerenciamento completo
<a name="lag-primary-backup-full-management"></a>

Alguns tipos de recursos, como Amazon EFS, Amazon S3, Amazon DynamoDB [AWS Backup com recursos avançados](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html), etc., que oferecem suporte ao gerenciamento AWS Backup completo, podem fazer backup diretamente em seu cofre logicamente isolado. Nenhum ponto de recuperação é criado em seu cofre de backup e nenhuma operação de cópia é necessária. Qualquer ação de cópia programada em seu plano de backup usa o ponto de recuperação em seu cofre logicamente isolado como fonte.

Recursos que oferecem suporte ao backup contínuo, como o Amazon S3, também podem realizar backup contínuo diretamente em um cofre logicamente isolado.

Para obter uma lista dos tipos de recursos que oferecem suporte ao AWS Backup gerenciamento completo e aos cofres com lacunas lógicas, consulte [Disponibilidade de recursos por recurso](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) nas colunas “Gerenciamento completo” e “Cofre com lacuna lógica”.

### Recurso que não oferece suporte ao AWS Backup gerenciamento completo
<a name="lag-primary-backup-not-full-management"></a>

Recursos como Amazon EBS/EC2, Amazon Aurora e FSx Amazon não podem fazer backup direto em cofres logicamente isolados. Para esses tipos de recursos, AWS Backup cria um ponto de recuperação temporário em seu cofre de backup e, em seguida, o copia automaticamente para seu cofre logicamente isolado.

O ponto de recuperação temporário tem uma configuração de ciclo de vida especial chamada. `DELETE_AFTER_COPY` Depois que a cópia para seu cofre logicamente isolado for concluída com êxito, AWS Backup excluirá automaticamente o ponto de recuperação temporário. Todas as outras ações de cópia programadas em seu plano de backup começam paralelamente à cópia para seu cofre logicamente isolado e não afetam sua experiência atual de cópia.

Se a cópia para seu cofre logicamente isolado falhar, o ponto de recuperação temporário será retido em seu cofre de backup de acordo com o período de retenção especificado. Isso ajuda a garantir que você sempre tenha um ponto de recuperação utilizável após a conclusão da tarefa de backup. Se o ponto de recuperação for posteriormente copiado manualmente para o cofre logicamente isolado, ele será limpo automaticamente de acordo com a regra. `DELETE_AFTER_COPY`

**Atenção**  
Recursos criptografados com chaves AWS gerenciadas (por exemplo,`aws/ebs`) não têm suporte para cópia em cofres logicamente isolados. Esses recursos devem ser criptografados com uma chave gerenciada pelo AWS Key Management Service cliente ou não criptografados. Os recursos que apoiam o AWS Backup gerenciamento completo não têm essa restrição.

#### Excluir após o ciclo de vida da cópia
<a name="lag-primary-backup-delete-after-copy"></a>

Os pontos de recuperação temporários têm um novo atributo de ciclo de vida chamado `DeleteAfterEvent` com um valor de. `DELETE_AFTER_COPY` Esse atributo indica que o ponto de recuperação será excluído automaticamente após a conclusão de todos os trabalhos de cópia ou após o período de retenção especificado, o que ocorrer primeiro.

Um ponto de recuperação temporário é excluído quando todas as condições a seguir forem verdadeiras:
+ Todos os trabalhos de cópia automáticos e programados foram concluídos.
+ Há um trabalho de cópia concluído em seu cofre de destino logicamente isolado, com um período de retenção pelo menos tão longo quanto o ponto de recuperação de origem.

Se você precisar evitar a exclusão manual do ponto de recuperação temporário enquanto as cópias estão em andamento, considere usar um cofre de backup bloqueado como seu cofre de backup de destino.

#### Backup contínuo para recursos que não oferecem suporte ao AWS Backup gerenciamento completo
<a name="lag-primary-backup-continuous-backup"></a>

Para recursos como o Amazon Aurora, se você habilitar o backup contínuo, AWS Backup cria um ponto de recuperação contínuo em seu cofre de backup e tira um instantâneo temporário que é copiado para seu cofre logicamente isolado. O instantâneo temporário deve ser excluído automaticamente após a conclusão da cópia, independentemente de a cópia ser bem-sucedida ou falhar, pois você mantém um ponto de recuperação contínuo em seu cofre de backup.

Se você não quiser criar um ponto de recuperação contínuo para o Amazon Aurora em seu cofre de backup, mas quiser um ponto de recuperação contínuo para o Amazon S3 em seu cofre logicamente isolado, você pode desativar a configuração de backup contínuo (`EnableContinuousBackup`) no plano atual e ativar o S3 contínuo a partir de um plano diferente.

Você pode aprender mais sobre o armazenamento de backup do Aurora em [Entendendo o uso do armazenamento de backup do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated).

### Recursos não compatíveis
<a name="lag-primary-backup-unsupported"></a>

Se um tipo de recurso não for suportado por cofres logicamente isolados ou se um recurso não totalmente gerenciado for criptografado com uma chave AWS gerenciada, AWS Backup crie o backup somente no seu cofre de backup. Nenhuma cópia para seu cofre logicamente isolado foi tentada. A tarefa de backup é concluída com êxito com uma mensagem indicando por que o backup não foi para seu cofre logicamente isolado.

## Considerações sobre custos
<a name="lag-primary-backup-cost"></a>
+ Esse recurso não gera novas cobranças. Você paga apenas pelo armazenamento em seus cofres.
+ Para recursos que suportam o AWS Backup gerenciamento completo, manter backups somente em seu cofre logicamente isolado pode resultar em uma economia significativa de custos em comparação com a manutenção de duas cópias de backup em um cofre de backup e em um cofre logicamente isolado.
+ Para recursos que não suportam o AWS Backup gerenciamento total, você é cobrado tanto pelo ponto de recuperação temporário em seu cofre de backup quanto pelos pontos de recuperação em seu cofre logicamente isolado.
  + Você ainda pode obter economias significativas com a retenção de apenas uma única cópia de backup, mas essas economias podem variar com base na frequência do backup e na taxa de alteração.
  + Frequências de backup mais baixas geralmente geram maiores economias porque os pontos de recuperação temporários ocupam o armazenamento por uma porcentagem menor do período de cobrança.
  + Alguns recursos têm durações mínimas de cobrança, o que aumenta os custos dos pontos de recuperação temporários.
+ Desative a recuperação de tags ou ACLs metadados em sua configuração de backup se você não usar esses recursos do S3. Isso reduz as chamadas de API e as cobranças associadas às verificações de metadados durante as operações de cópia.

## Configure o backup primário de um cofre isolado de forma lógica
<a name="lag-primary-backup-configure"></a>

Você pode configurar o backup primário de um cofre isolado de forma lógica por meio do AWS Backup console, do, ou das AWS CLI políticas de backup. AWS CloudFormation AWS Organizations 

### Configurar um plano de Backup
<a name="lag-primary-backup-configure-plan"></a>

------
#### [ Console ]

**Para configurar o backup primário de um cofre logicamente isolado para um plano de backup**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com//backup)

1. No painel de navegação, escolha **Planos de backup** e, em seguida, escolha **Criar plano de backup** ou selecione um plano de backup existente para edição.

1. Na seção **Configuração da regra de backup**, especifique as configurações da regra de backup.

1. Para o **Backup Vault**, escolha o cofre de backup onde os pontos de recuperação temporários serão armazenados (para recursos não totalmente gerenciados) ou onde os backups serão armazenados se não puderem ser colocados em seu cofre logicamente isolado.

1. Para cofre com **lacuna lógica (opcional), escolha o cofre** com lacuna lógica em que você deseja que seus backups sejam armazenados.
**nota**  
O cofre logicamente isolado deve estar na mesma conta e região do seu cofre de backup.

1. Defina as configurações restantes da regra de backup, incluindo opções de ciclo de vida e cópia.

1. Escolha **Criar plano** ou **Salvar alterações**.

------
#### [ AWS CLI ]

Use o comando CLI [https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)para criar um novo plano ou [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)atualizar um plano existente e incluir o `TargetLogicallyAirGappedBackupVaultArn` parâmetro em sua regra de backup.

Exemplo de comando CLI para criar um plano de backup usando um documento JSON:

```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```

Exemplo de comando CLI para criar um plano de backup diretamente na CLI:

```
aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'
```

------

### Configurar o backup sob demanda
<a name="lag-primary-backup-configure-ondemand"></a>

------
#### [ Console ]

**Para configurar o backup primário de um cofre isolado de forma lógica para um backup sob demanda**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com//backup)

1. No painel de navegação, escolha **Recursos protegidos**.

1. Na página **Recursos protegidos**, escolha **Criar backup sob demanda**.

1. Selecione o tipo de recurso e o ARN do recurso do qual você deseja fazer backup.

1. Para **Cofre de backup**, escolha o cofre de backup.

1. Para Cofre **com lacuna lógica (opcional), escolha o cofre** com lacuna lógica em que você deseja que o backup seja armazenado.

1. Defina as configurações restantes e escolha **Criar backup sob demanda**.

------
#### [ AWS CLI ]

Use o start-backup-job comando com o novo `--logically-air-gapped-backup-vault-arn` parâmetro:

```
aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35
```

------

## Monitore logicamente o backup primário de um cofre isolado
<a name="lag-primary-backup-monitor"></a>

Você pode monitorar o status dos seus backups e trabalhos de cópia usando o AWS Backup console ou AWS CLI os EventBridge eventos da Amazon.

### Monitore as tarefas de backup
<a name="lag-primary-backup-monitor-backup-jobs"></a>

Monitore o status da tarefa de backup ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)) para garantir que seus recursos permaneçam protegidos. Uma falha na tarefa de backup indica que nenhum ponto de recuperação foi criado.
+ **Verifique o local de criação do ponto de recuperação** - Quando uma tarefa de backup é concluída com êxito, você tem um ponto de recuperação no cofre de backup de destino ou no cofre de destino logicamente isolado. Verifique o `BackupVaultArn` campo para determinar onde o ponto de recuperação foi criado.
+ **Verifique o status do trabalho** - Se um recurso não for suportado por cofres logicamente separados, o trabalho de backup será concluído com um de `LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED` e uma mensagem `MessageCategory` de status explicando por que o backup foi criado em seu cofre de backup.
+ **Verifique o tipo de ponto de recuperação temporário** - Para verificar se um ponto de recuperação é temporário, procure o `RecoveryPointLifecycle.DeleteAfterEvent` campo com um valor de`DELETE_AFTER_COPY`.

### Monitor para trabalhos de cópia
<a name="lag-primary-backup-monitor-copy-jobs"></a>

Monitore as tarefas de cópia ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) em seu cofre logicamente isolado em busca de falhas. Uma falha na tarefa de cópia significa que seu ponto de recuperação permanece em seu cofre de backup padrão sem a proteção lógica do cofre isolado.
+ **Verificar o status do trabalho** de cópia - Você pode monitorar o status do trabalho de cópia usando o `Copy Job State Change` EventBridge evento existente. Opcionalmente, filtre no cofre de destino (`destinationBackupVaultArn`) para se concentrar em cópias logicamente isoladas do cofre.
+ **Verifique as cópias de um ponto de recuperação de origem** - Use a [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)API com o novo `BySourceRecoveryPointArn` filtro para encontrar todas as tarefas de cópia associadas a um ponto de recuperação específico, incluindo cópias automáticas para seu cofre logicamente isolado e cópias programadas para outros destinos.
+ **Verificar a exclusão do ponto de recuperação temporário** - Acompanhe a conclusão da exclusão temporária do ponto de recuperação. Se o estado da tarefa de cópia for`RUNNING`, o ponto de recuperação ainda não foi excluído. Se a cópia para seu cofre logicamente isolado tiver`FAILED`, o ponto de recuperação será retido de acordo com o período de retenção especificado.

**nota**  
Os registros do trabalho de cópia expiram e são removidos 30 dias após o término. Após esse período, você não pode usar `ListCopyJobs` para determinar o status histórico da cópia.

### Monitor do ponto de recuperação
<a name="lag-primary-backup-monitor-recovery-points"></a>

Monitore os pontos de `EXPIRED` recuperação ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)), o que AWS Backup pode indicar que não foi possível excluí-los (possivelmente devido à falta de permissões). `EXPIRED`os pontos de recuperação podem ter implicações de custo.
+ **Verifique o estado do ponto de recuperação** - Use o EventBridge evento de alteração do estado do ponto de recuperação existente para monitorar as expirações.
+ **Verifique a exclusão do ponto de recuperação temporário** - Se um ponto de recuperação com não `DeleteAfterEvent: DELETE_AFTER_COPY` tiver sido excluído, use a `ListCopyJobs` API para determinar o motivo, conforme mencionado acima.

## Integração e migração
<a name="lag-primary-backup-onboarding"></a>

Se você atualmente usa ações de cópia para copiar backups para um cofre com lacuna lógica, você pode migrar para o backup primário com compartimento aéreo lógico para reduzir custos. Você também pode migrar seus backups contínuos existentes do Amazon S3 de um cofre de backup para um cofre logicamente isolado. Este guia explica os pré-requisitos e as etapas necessárias para migrar para o recurso de backup primário logicamente isolado do vault.

### Pré-requisitos e melhores práticas
<a name="lag-primary-backup-prerequisites"></a>

Antes que você possa usar com eficácia o recurso de backup primário do vault logicamente isolado, existem pré-requisitos e práticas recomendadas.

**Pré-requisitos**  


Atualmente, um cofre logicamente isolado como destino principal de backup oferece suporte somente a backups na mesma AWS conta e AWS região de seus recursos de backup. Os backups de cofres isolados logicamente são armazenados inerentemente em contas de serviço separadas, fornecendo isolamento entre contas e organizações sem exigir cópias em contas separadas. Se você precisar de backups entre regiões, continue usando o cofre logicamente isolado como destino de cópia. Antes de migrar para esse recurso, certifique-se de atender aos seguintes requisitos:
+ **Requisitos de região e conta**
  + Seu cofre logicamente isolado deve estar na mesma AWS conta e região que seus recursos
+ **Compatibilidade de recursos**
  + [Verifique se seus recursos são suportados por cofres logicamente separados em Disponibilidade de recursos por recurso.](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)
  + Verifique se seus recursos oferecem suporte ao [AWS Backup gerenciamento completo](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) ou não. A experiência de criar backups isolados difere entre esses dois tipos de recursos, embora o resultado seja semelhante para ambos.
+ **Requisitos de criptografia**
  + Os recursos que não oferecem suporte ao AWS Backup gerenciamento total devem ser não criptografados ou criptografados com chaves gerenciadas pelo cliente (CMKs). AWS Os recursos criptografados de chave gerenciada (AMK) não são suportados por um cofre logicamente isolado.

**Práticas recomendadas**  

+ Comece com uma migração piloto de recursos não essenciais.
+ Revise e ajuste as frequências de backup com base no desempenho do trabalho de cópia.
+ Implemente um monitoramento abrangente antes da migração completa.
+ Verifique regularmente a criação do ponto de recuperação nos cofres pretendidos.

### Planejando sua migração
<a name="lag-primary-backup-planning"></a>
+ Analise os planos e políticas de backup existentes.
+ Identifique quais recursos suportam o AWS Backup gerenciamento completo e quais não.
  + Recursos que suportam o AWS Backup gerenciamento completo (por exemplo, EFS, S3) - podem fazer backup diretamente em um cofre logicamente isolado
  + Recursos que não suportam o AWS Backup gerenciamento completo (por exemplo, EC2, EBS FSx) - exigem backup temporário no cofre de backup antes de serem copiados para um cofre logicamente isolado
+ Analise o volume e a frequência de backup atuais e garanta que sua configuração esteja alinhada aos limites de cópias simultâneas para todos os recursos que não oferecem suporte ao gerenciamento total AWS Backup .
  + Ignore esta etapa Se você já copia para um cofre logicamente isolado com a mesma frequência dos backups padrão do seu cofre.
  + Considere ajustar a frequência de backup, se necessário, para evitar filas de trabalhos de cópia.
  + Se o enfileiramento de trabalhos de cópia ocorrer, você ainda terá um ponto de recuperação utilizável em seu cofre de backup padrão enquanto aguarda a conclusão da cópia em seu cofre logicamente isolado. No entanto, esse ponto de recuperação não fornecerá o nível de proteção que o Logically AirGaped Vault oferece.

### Recursos que dão suporte ao caminho AWS Backup de migração de gerenciamento completo
<a name="lag-primary-backup-full-management-migration"></a>

Para recursos totalmente gerenciados, você pode fazer backup diretamente em seu cofre logicamente isolado sem precisar de operações de cópia.

#### Para backups baseados em instantâneos
<a name="lag-primary-backup-snapshot-migration"></a>

Esse processo se aplica a todos os cenários de snapshot, independentemente de seu cofre de backup estar bloqueado. Ao migrar um plano de backup existente ou usar um cofre de backup existente (primário) e um cofre logicamente isolado (cópia) em um novo plano de backup:

1. Mantenha seu cofre de backup existente ou adicione-o como destino de backup (`TargetBackupVaultName`). Esse cofre não armazenará nenhum backup, mas deve ser fornecido para fins de compatibilidade com versões anteriores.

1. Atualize seu plano de backup para incluir o cofre (`TargetLogicallyAirGappedBackupVaultArn`) logicamente isolado, existente na mesma conta, como alvo principal.

1. Analise qualquer ação de cópia existente para outro cofre logicamente isolado para determinar se ela ainda é necessária. Você também pode mover esse cofre como alvo principal na Etapa 2 se ele estiver na mesma conta.

#### Para backups contínuos do Amazon S3
<a name="lag-primary-backup-s3-continuous-migration"></a>

O cofre logicamente isolado como destino principal de backup oferece suporte ao backup contínuo para o Amazon S3. No entanto, você pode manter somente um ponto de recuperação contínua ativo por recurso em um único cofre. Se você já tem um ponto de recuperação contínua ativo do Amazon S3, você deve desassociá-lo ou excluí-lo antes de criar um novo em um cofre diferente. Adicionar um destino de cofre logicamente isolado (da mesma conta) ao seu plano de backup, com um ponto de recuperação contínua ativo do Amazon S3 existente, fará com que a tarefa de backup contínuo falhe.

**Para migrar seu ponto de recuperação contínua do Amazon S3 para seu cofre logicamente isolado a partir de um cofre de backup desbloqueado:**

1. Atualize seu plano de backup para adicionar uma ação de cópia ao seu cofre logicamente isolado. Isso reduzirá o custo de gerar o backup inicial em seu cofre logicamente isolado. Ignore esta etapa se você já estiver copiando para o seu cofre local logicamente isolado.

1. Verifique se pelo menos uma cópia instantânea foi concluída com êxito em seu cofre logicamente isolado antes de continuar.

1. Desassocie o ponto de recuperação contínua existente do Amazon S3. Chame a [DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html)API para alterar o status do ponto de recuperação de DISPONÍVEL para PARADO. Essa ação preserva seus dados de backup existentes e impede que novos dados sejam adicionados.

1. Atualize o plano de backup para adicionar um cofre (`TargetLogicallyAirGappedBackupVaultArn`) logicamente isolado como alvo de backup.

1. Remova todas as ações de cópia anteriores no plano.

1. Na próxima execução do plano de backup, um novo ponto de recuperação contínua será criado em seu cofre logicamente isolado. Esse ponto de recuperação será incremental, com base no instantâneo copiado da Etapa 1.

**Para migrar seu ponto de recuperação contínua do Amazon S3 para seu cofre logicamente isolado a partir de um cofre de backup bloqueado:**

1. Atualize seu plano de backup para adicionar uma ação de cópia ao seu cofre logicamente isolado. Isso reduzirá o custo de gerar o backup inicial em seu cofre logicamente isolado. Ignore esta etapa se você já estiver copiando para o seu cofre local logicamente isolado.

1. Verifique se pelo menos uma cópia instantânea foi concluída com êxito em seu cofre logicamente isolado antes de continuar. Certifique-se de que o snapshot copiado tenha um período de retenção longo o suficiente para permanecer disponível até que você conclua todas as etapas.

1. Adicione o cofre logicamente isolado como alvo principal e remova qualquer ação de cópia.

   1. Essa etapa é necessária porque os cofres bloqueados não suportam a dissociação de pontos de recuperação contínuos.

   1. Seu ponto de recuperação contínua existente no cofre de backup bloqueado continuará acumulando dados até expirar de acordo com seu ciclo de vida.

   1. Novas tarefas de backup contínuo falharão porque somente um ponto de recuperação contínua ativo pode existir por recurso. Como esses trabalhos estão falhando, nenhuma ação de cópia será executada.

1. Aguarde até que o ponto de recuperação contínua existente expire. Após a expiração, um novo ponto de recuperação contínua será criado no cofre logicamente isolado. Esse ponto de recuperação será incremental com base no instantâneo copiado da etapa 1, desde que o instantâneo ainda exista em seu cofre logicamente isolado.

1. Todos os dados acumulados em seu cofre padrão serão perdidos após a expiração. Somente os dados copiados após a criação do novo ponto de recuperação no cofre logicamente isolado serão retidos.

### Recursos que não oferecem suporte ao caminho AWS Backup de migração de gerenciamento completo
<a name="lag-primary-backup-not-full-management-migration"></a>

Recursos não totalmente gerenciados exigem uma operação de cópia para o cofre logicamente isolado. O processo cria um ponto de recuperação temporário (faturável) em seu cofre de backup padrão, que é automaticamente copiado para seu cofre logicamente isolado e, em seguida, excluído após a conclusão da cópia. Quando você atualiza seu plano de backup para incluir um alvo de cofre logicamente isolado:
+ As tarefas de backup criarão um ponto de recuperação em seu cofre de backup. Isso tem um ciclo de vida determinado pelo evento. `DELETE_AFTER_COPY`
+ Um trabalho de cópia inicia automaticamente a transferência do ponto de recuperação para seu cofre logicamente isolado.
+ Depois que a cópia for concluída com sucesso, o ponto de recuperação temporário no seu cofre será excluído.
+ Se a cópia falhar, o ponto de recuperação temporário será retido por um período máximo de acordo com o período de retenção especificado, garantindo que você tenha um ponto de recuperação utilizável.

## Solução de problemas
<a name="lag-primary-backup-troubleshooting"></a>

### Falha na tarefa de backup ou cópia com erro de incompatibilidade do ciclo de vida
<a name="lag-primary-backup-troubleshoot-lifecycle"></a>

**Erro nas tarefas de backup:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`

**Erro nos trabalhos de cópia:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`

**Possível causa:** as tarefas de backup ou cópia falham porque o período de retenção é incompatível com as configurações de retenção mínima ou máxima do compartimento logicamente isolado.

**Resolução:** atualize seu plano de backup para especificar um período de retenção que esteja dentro dos períodos mínimo e máximo de retenção configurados para seu cofre logicamente isolado.

### As tarefas de backup contínuo falham com “o backup contínuo já está ativado”
<a name="lag-primary-backup-troubleshoot-continuous"></a>

Erro:

**Possível causa:** as tarefas de backup contínuo falham porque já existe um ponto de recuperação contínuo para o recurso em outro cofre.

**Resolução:** cada recurso pode ter somente um ponto de recuperação contínuo. Se o seu cofre de backup estiver desbloqueado, desassocie o ponto de recuperação contínua existente usando o comando. [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) Se seu cofre de backup estiver bloqueado, espere até que o ponto de recuperação contínua existente expire de acordo com seu ciclo de vida.

### O trabalho de backup é concluído com “Concluído com problemas” - Tipo de recurso não suportado
<a name="lag-primary-backup-troubleshoot-unsupported-resource"></a>

**Mensagem**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`

**Possível causa:** As tarefas de backup de recursos não gerenciados totalmente não suportados mostram “Concluído com problemas” com uma mensagem indicando que o recurso não é suportado.

**Resolução:** os tipos de recursos que não são suportados só farão backup no cofre de backup. Se você quiser manter esses backups em seu cofre de backup, nenhuma ação é necessária. Se você preferir não misturar recursos não suportados com seu cofre logicamente isolado, você pode:
+ Remova o recurso ou o destino logicamente isolado do seu plano de backup para esses recursos e continue fazendo backup somente no seu cofre de backup. Posteriormente, você pode adicionar o recurso como parte de um plano diferente.

### O trabalho de backup é concluído com “Concluído com problemas” - Chave de criptografia não suportada
<a name="lag-primary-backup-troubleshoot-encryption-key"></a>

**Mensagem**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`

**Possível causa:** as tarefas de backup de recursos não gerenciados totalmente não suportados mostram “Concluído com problemas” com uma mensagem indicando que o recurso está criptografado com uma chave AWS gerenciada.

**Resolução:** recursos não totalmente gerenciados criptografados com chaves AWS gerenciadas não podem ser copiados para cofres logicamente isolados. Se você quiser manter esses backups em seu cofre de backup, nenhuma ação é necessária. Se você preferir não misturar recursos não suportados com seu cofre logicamente isolado, você pode:
+ Criptografe novamente seus recursos com uma chave KMS gerenciada pelo cliente ou
+ Remova o recurso ou o destino logicamente isolado do seu plano de backup para esses recursos e continue fazendo backup somente no seu cofre de backup. Posteriormente, você pode adicionar o recurso como parte de um plano diferente.

### Os pontos de recuperação permanecem no `EXPIRED` estado
<a name="lag-primary-backup-troubleshoot-expired-recovery-points"></a>

**Possível causa:** os pontos de recuperação temporários passam para o `EXPIRED` estado, mas não são excluídos.

**Resolução:** AWS Backup pode não ter permissões para excluir os pontos de recuperação. Verifique se sua função de backup tem as permissões necessárias do IAM. Talvez seja necessário excluir manualmente os pontos `expired` de recuperação.

### Os trabalhos de cópia estão em fila ou falham devido à alta frequência de backup
<a name="lag-primary-backup-troubleshoot-queued-jobs"></a>

**Possível causa:** as tarefas de cópia para cofres logicamente isolados estão na fila ou falham porque os backups são programados com mais frequência do que as cópias podem ser concluídas.

**Resolução:** reduza sua frequência de backup ou ajuste sua programação de backup para permitir mais tempo entre os backups. Consulte a [documentação de AWS Backup cotas](aws-backup-limits.md#lag-vault-quotas-table) para obter informações sobre limites de cópias simultâneas.

# Aprovação multilateral para cofres logicamente isolados
<a name="multipartyapproval"></a>



## Visão geral da aprovação multilateral em um cofre logicamente isolado
<a name="multipartyapproval-overview"></a>

AWS Backup oferece a opção de adicionar [aprovação multipartidária](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), uma capacidade de AWS Organizations, aos seus cofres logicamente fechados. A aprovação multilateral fornece uma opção adicional para ajudar a proteger operações críticas por meio de um processo de aprovação distribuído. 

A aprovação multilateral foi projetada para ajudar a proteger recursos essenciais e minimizar o tempo de retorno à operação total, como no caso de uma interrupção causada por agentes maliciosos ou eventos de malware. Essa configuração pode ajudar a restaurar o conteúdo de um cofre logicamente isolado que pode ter sido comprometido.

Não há custo adicional para integrar e usar equipes de aprovação multilateral com os cofres logicamente isolados do AWS Backup (há taxas de armazenamento e transferências entre regiões, conforme indicado na página de [preços](https://aws.amazon.com/backup/pricing)).

Como AWS Backup cliente, você pode usar a aprovação de várias partes para conceder recursos de aprovação de algumas operações a um grupo de pessoas confiáveis que podem aprovar de forma colaborativa o acesso a um cofre logicamente isolado a partir de uma conta de recuperação criada separadamente no caso de suspeita de atividade maliciosa que possa comprometer o uso da conta principal.

As etapas a seguir descrevem o fluxo recomendado para configurar uma organização da AWS de recuperação, configurar a aprovação multilateral e, depois, usar a aprovação multilateral com cofres logicamente isolados:

1. Um administrador [cria uma organização por meio do Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) para ser usada em operações de recuperação.

1. Na conta gerencial dessa nova organização, o administrador cria e configura uma instância do Centro de Identidade do IAM (IDC). Para saber como ativar uma instância da organização, consulte [Ativar o Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) no *Guia do usuário do Centro de Identidade do IAM*. Consulte também a sequência para [Criar uma fonte de identidades de aprovação multilateral](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) no *Guia do usuário da aprovação multilateral*.

1. O administrador então vai [criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), o grupo principal de indivíduos confiáveis que serão os usuários principais da aprovação multilateral.

1. O administrador costuma AWS RAM [compartilhar uma equipe de aprovação](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) com cada conta que possui um cofre logicamente isolado e com a conta de recuperação que precisa solicitar acesso a esse cofre.

1. Um administrador da conta proprietária do cofre, logicamente isolado, [associa](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) o cofre a uma equipe de aprovação.

1. Uma conta de recuperação [solicita acesso](multipartyapproval-tasks-requester.md#create-restore-access-vault) a uma conta que tem um cofre logicamente isolado para uma equipe de aprovação multilateral associada (“equipe”). A equipe associada à conta [aprova ou nega a solicitação](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. O administrador da conta que possui o cofre logicamente isolado pode solicitar que a [equipe de aprovação seja desassociada do cofre](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). A solicitação exige a aprovação da equipe atual.

1. Um administrador pode [atualizar a associação à equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) conforme necessário, de acordo com as práticas de segurança ou quando pessoas entram ou saem da organização.

## Pré-requisitos e práticas recomendadas para usar a aprovação multilateral com um cofre logicamente isolado
<a name="multipartyapproval-prerequisites"></a>

Antes que você possa usar de forma segura e eficaz a aprovação multilateral com seus cofres logicamente isolados, é importante estar ciente dos pré-requisitos e das práticas recomendadas.

**Práticas recomendadas:**
+ Duas (ou mais) AWS organizações por meio de Organizations. Uma delas deve ser sua organização principal, na qual você tem uma ou mais contas que possuam pelo menos um cofre logicamente isolado. A organização secundária deve ser a organização de recuperação. É nessa organização que a equipe de aprovação multilateral será gerenciada.

**Pré-requisitos**

1. [Configurar a aprovação multilateral](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) e ter pelo menos uma equipe de aprovação.

1. Pelo menos uma conta na organização principal deve ter um cofre logicamente isolado (e o cofre de backup original).

1. A conta gerencial na organização principal deve ter aceitado a aprovação multilateral.
**dica**  
AWS Backup recomenda que você aplique uma Política de Controle de Serviços (SCP) à sua organização principal e a configure com as permissões apropriadas para a organização e para cada equipe de aprovação. Consulte um exemplo de política na seção de [Termos da aprovação multilateral](#multipartyapproval-terms).

1. A equipe de aprovação multilateral da organização secundária (de recuperação) é [compartilhada por meio do AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) com as contas que possuem os cofres logicamente isolados e com as contas de recuperação.

## Considerações e dependências entre regiões ao usar a aprovação multilateral
<a name="multipartyapproval-cross-region"></a>

Quando você ativa a aprovação multilateral e a instância do Centro de Identidade do IAM em diferentes regiões, a aprovação multilateral faz chamadas entre regiões para o Centro de Identidade do IAM. Isso significa que as informações do usuário e do grupo se movem entre as regiões. Os recursos da equipe de aprovação multipartidária só podem ser criados e armazenados no Leste Região da AWS dos EUA (Norte da Virgínia).

Além Regiões da AWS disso, os recursos da equipe de aprovação multipartidária dependerão do Leste Região da AWS dos EUA (Norte da Virgínia). Consequentemente, a aprovação de várias partes fará chamadas entre regiões se o cofre and/or logicamente isolado de sua instância do Identity Center não estiver no Leste dos EUA (Norte da Virgínia).

## Termos, conceitos e personas de usuário da aprovação multilateral
<a name="multipartyapproval-terms"></a>

A aprovação multipartidária em seu cofre logicamente isolado é uma integração de AWS Organizations, e AWS Gerenciamento de contas AWS Backup, junto com os recursos AWS Identity and Access Management (IAM) e (RAM). AWS RAM Por meio da CLI, é possível interagir com cada serviço para enviar os comandos apropriados. Você também pode usar o console, mas precisará acessar o console do serviço apropriado para concluir tarefas específicas.

A forma como você interage com a aprovação multipartidária depende de suas funções e responsabilidades em suas organizações, bem como das permissões que você tem em suas AWS Backup contas. 

Conforme mostrado no [Guia do usuário da aprovação multilateral](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), os membros da sua organização que usam essa aprovação serão ***solicitantes***, ***administradores*** ou ***aprovadores***. Permissões específicas se aplicam a cada [função de trabalho](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). De acordo com as práticas recomendadas de segurança, um usuário deve realizar apenas uma função de trabalho.

 **Consoles, portais e sessões** 

AWS Backup contas com um ou mais cofres logicamente isolados podem usar a aprovação de várias partes.

Antes do processo de aprovação de várias partes, um administrador pode criar AWS Organizations uma organização secundária para fins de recuperação (uma **organização de recuperação**), caso não tenha sido configurada anteriormente.

Em seguida, o administrador utiliza AWS Resource Access Manager (RAM) para configurar o compartilhamento entre organizações entre a organização principal e a organização de recuperação.

A **organização principal** abrange as contas que possuem e usam um cofre logicamente isolado, que armazena os dados protegidos.

A organização de recuperação contém pelo menos uma **conta de recuperação**. Essa conta possui um ponto de acesso que pode servir como um acesso alternativo fundamental para o cofre logicamente isolado compartilhado. Esse ponto de acesso é chamado de **cofre de backup de acesso para restauração**. Esse cofre de acesso não armazena dados; em vez disso, ele serve como um ponto de acesso ou de montagem que espelha o conteúdo do cofre logicamente isolado de origem, mas não contém dados que possam ser alterados ou excluídos. Por exemplo, se um cliente passa pelo processo de restauração de um ponto de recuperação em um cofre de backup de acesso para restauração, é o ponto de recuperação no cofre logicamente isolado que é restaurado por meio da restauração entre contas usando a conta de recuperação.

Para garantir mais segurança, os clientes usam essa conta de recuperação para realizar operações protegidas na conta principal, mas somente após essas operações terem sido aprovadas pela [equipe de aprovação associada em uma sessão de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Uma sessão é criada AWS quando uma solicitação de aprovação é enviada, e essa sessão termina quando um limite de membros da equipe de aprovação aprova ou nega a solicitação ou quando o tempo permitido para a sessão tiver passado. 

Uma equipe consiste em **aprovadores** (basicamente, as *partes* envolvidas na aprovação multilateral) que recebem notificações por e-mail sobre solicitações de operação protegidas. Esses e-mails confirmam que uma sessão de aprovação foi iniciada em resposta à solicitação. A aprovação é concedida quando o limite mínimo exigido para aprovação é atingido. Esse limite pode ser definido ao criar a **equipe de aprovação multilateral** (“Equipe”).

As equipes de aprovação multipartidárias são gerenciadas por meio do **portal de aprovação multipartidário** (“portal”) da Organizations, um aplicativo AWS gerenciado que fornece identidades em um local centralizado onde os membros da equipe de aprovação podem receber e responder aos convites da equipe de aprovação e às solicitações de operação.

# Tarefas do administrador
<a name="multipartyapproval-tasks-administrator"></a>

Várias tarefas envolvendo AWS Backup uma visão geral de várias partes exigiam um usuário com permissões de administrador e acesso à conta de gerenciamento.

## Criar uma regra de aprovação
<a name="create-multipartyapproval-team"></a>

Um usuário da sua organização com permissões de administrador para uma AWS conta precisa [configurar a aprovação multipartidária](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (etapa 3 na [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio do AWS Organizations (etapa 1) da [Visão geral](multipartyapproval.md#multipartyapproval-overview).

Consulte [Criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) no *Guia do usuário da aprovação multilateral* para criar sua equipe.

Durante a operação [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html), um dos parâmetros é `policies`. Esta é uma lista de ARNs (Amazon Resource Names) para políticas de recursos de aprovação multipartidária que definem permissões que protegem a equipe.

A política mostrada no exemplo do *Guia do usuário da aprovação multilateral* no procedimento [Criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contém a política `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` com várias permissões necessárias. 

Siga estas etapas para exibir uma lista das políticas disponíveis usando `mpa list-policies`:

1. Listar políticas: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Listar todas as versões da política: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Consultar detalhes sobre uma política: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Expanda o conteúdo abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

### Restaurar a política do cofre de acesso
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Compartilhe uma equipe de aprovação multipartidária usando AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Você pode compartilhar uma equipe de aprovação multipartidária com outras AWS contas usando [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), etapa 4 na [visão geral](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Compartilhe uma equipe de aprovação multipartidária usando AWS RAM**

1. Faça login no [console do AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. No painel de navegação, escolha **Compartilhamentos de recursos**.

1. Escolha **Criar compartilhamento de recursos**.

1. No campo **Nome**, insira um nome descritivo para o compartilhamento de recursos.

1. Em **Tipo de recurso**, selecione **Equipe de aprovação multilateral** no menu suspenso.

1. Em **Recursos**, selecione a equipe de aprovação que você deseja compartilhar.

1. Em **Diretores**, especifique as AWS contas com as quais você deseja compartilhar a equipe de aprovação.

1. Para compartilhar com AWS contas específicas, selecione **AWS contas** e insira a conta de 12 dígitos. IDs

1. Para compartilhar com uma organização ou unidade organizacional, selecione **Organização** ou **Unidade organizacional** e insira o ID apropriado.

1. (*Opcional*) Em **Tags**, adicione as tags que você deseja associar a esse compartilhamento de recursos.

1. Escolha **Criar compartilhamento de recursos**.

O status do compartilhamento de recursos será exibido inicialmente como `PENDING`. Depois que as contas dos destinatários aceitarem o convite, o status mudará para `ACTIVE`.

------
#### [ CLI ]

Para compartilhar uma equipe de aprovação multipartidária AWS RAM usando a CLI, use os seguintes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

```
aws mpa list-approval-teams --region us-east-1
```

Crie um compartilhamento de recursos usando o create-resource-share comando:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Para compartilhar com uma organização em vez de contas específicas:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Verifique o status do compartilhamento de recursos:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

As contas dos destinatários precisarão aceitar o convite para o compartilhamento de recursos:

```
aws ram get-resource-share-invitations --region us-east-1
```

Execute na conta do destinatário para aceitar um convite:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Depois que o convite é aceito, a equipe de aprovação multilateral fica disponível para uso na conta do destinatário.

------

AWS oferece ferramentas para compartilhar o acesso à conta, incluindo [acesso direto [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)e multipartidário](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:


| Recurso | AWS RAM compartilhamento baseado | Acesso com base na aprovação multilateral | 
| --- | --- | --- | 
| Acesso a cofres logicamente isolados | Quando o compartilhamento do RAM é concluído, os cofres podem ser acessados. | Qualquer tentativa de acesso por parte de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de aprovação multilateral. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação. | 
| Remoção de acesso | A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado no RAM a qualquer momento. | O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de aprovação multilateral. | 
| Copiar entre contas e and/or regiões | Sem suporte no momento. | Os backups podem ser copiados na mesma conta ou em outras contas na mesma organização da conta de recuperação. | 
| Faturamento por transferência entre regiões |  | As transferências entre regiões são cobradas na mesma conta proprietária do cofre de backup de acesso à restauração. | 
| Uso recomendado | O uso principal é para recuperação de perda de dados e testes de restauração. | O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta tenham sido comprometidos. | 
| Regiões | Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. | Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. | 
| Restaura | Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. | Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. | 
| Configuração | O compartilhamento pode ocorrer assim que a AWS Backup conta configurar o compartilhamento de RAM e a conta receptora aceitar o compartilhamento. | O compartilhamento exige que a conta gerencial primeiro crie uma equipe e, depois, configure o compartilhamento do RAM. Em seguida, a conta gerencial opta pela aprovação multilateral e atribui essa equipe a um cofre logicamente isolado. | 
| Compartilhamento |  O compartilhamento é feito por meio da RAM dentro AWS da mesma organização ou entre AWS organizações. O acesso é concedido de acordo com o modelo “push”, no qual a conta proprietária do cofre logicamente isolado concede acesso. Depois, a outra conta aceita o acesso.  |  O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação apoiadas pela Organizations dentro da AWS mesma organização ou entre organizações. O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, depois, a equipe de aprovação concede ou nega a solicitação.  | 

# Tarefas do solicitante
<a name="multipartyapproval-tasks-requester"></a>

## Associe uma equipe de aprovação multipartidária a um cofre logicamente isolado
<a name="associate-multipartyapproval-team"></a>

Solicitante: **usuário com acesso à conta proprietária do cofre logicamente isolado**.

É possível associar uma equipe de aprovação multilateral a um cofre logicamente isolado a fim de permitir a aprovação colaborativa para acesso ao cofre (etapa 5 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Associe uma equipe de aprovação multipartidária a um cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado que você deseja associar a uma equipe de MPA.

1. Na página de **detalhes do cofre**, selecione **Atribuir equipe de aprovação**.

1. No menu suspenso, selecione a equipe de aprovação que você deseja associar ao cofre

1. *Opcional* Insira um comentário explicando o motivo da associação.

1. Selecione **Enviar solicitação** para enviar a solicitação de associação.

Se essa for a primeira equipe de aprovação a ser associada ao cofre, a associação será feita. Se o cofre já tiver uma equipe associada, consulte as etapas a serem seguidas em [Atualizar equipe de aprovação multilateral](#update-multpartyapproval-team).

------
#### [ CLI ]

Use o comando `associate-backup-vault-mpa-approval-team` da CLI para definir os parâmetros a seguir:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Se essa for a primeira equipe de aprovação a ser associada ao cofre, a associação será feita. Se o cofre já tiver uma equipe associada, consulte as etapas a serem seguidas em [Atualizar equipe de aprovação multilateral](#update-multpartyapproval-team).

------

## Solicitar acesso a um cofre logicamente isolado
<a name="create-restore-access-vault"></a>

Solicitante: **usuário com acesso à conta de recuperação**.

É possível solicitar acesso a um cofre logicamente isolado em outra conta (etapa 6 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

Depois que uma equipe de aprovação conceder a solicitação, AWS Backup cria um cofre de backup de acesso à restauração em sua conta de recuperação designada para que a conta tenha acesso aos pontos de recuperação no cofre conectado logicamente isolado.

------
#### [ Console ]

**Solicitar acesso a um cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**

1. Selecione a guia **Cofres acessíveis por MPA**

1. Selecione **Solicitar acesso ao cofre**.

1. Insira o ARN do cofre de backup de origem do cofre logicamente isolado que você deseja acessar.

1. Insira um nome opcional para o cofre de backup de acesso para restauração. Se você não inserir um nome, AWS Backup atribuirá um nome com base no nome do cofre logicamente isolado.

1. Se desejar, insira um comentário do solicitante explicando o motivo da solicitação de acesso.

1. Selecione **Enviar solicitação** para enviar a solicitação de acesso.

Os membros da equipe de aprovação associados ao cofre de origem receberão uma notificação por e-mail para aprovar a solicitação.

Depois que a solicitação for aprovada pelo número exigido (“limite”) de membros da equipe, o cofre de backup de acesso para restauração será criado na conta de recuperação.

------
#### [ CLI ]

Use o comando de CLI de `create-restore-access-backup-vault`:

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação de MPA associados ao cofre de origem receberão uma notificação para aprovar a solicitação. Depois que a solicitação for aprovada pelo número exigido (“limite”) de membros da equipe, o cofre de backup de acesso para restauração será criado na conta de recuperação.

É possível verificar o status do cofre usando:

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Desassociar a equipe de aprovação multilateral do cofre logicamente isolado
<a name="disassociate-multipartyapproval-team"></a>

Solicitante: **administrador da conta proprietária do cofre logicamente isolado**.

É possível desassociar uma equipe de aprovação multilateral de um cofre logicamente isolado (etapa 7 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Desassocie a equipe de aprovação do cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado do qual você deseja desassociar a equipe de aprovação.

1. Na página de **Detalhes do cofre**, selecione **Desassociar equipe de aprovação**.

1. Se desejar, insira um comentário do solicitante explicando o motivo da desassociação.

1. Selecione **Enviar solicitação** para enviar a solicitação de desassociação.

Os membros da equipe de aprovação atual receberão uma notificação para aprovar a solicitação.

Depois de aprovada pelo número exigido de membros, a equipe será desassociada do cofre.

------
#### [ CLI ]

Use o comando de CLI de `disassociate-backup-vault-mpa-approval-team`:

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação MPA atual receberão uma notificação para aprovar a solicitação. Depois de aprovada pelo número exigido de membros, a equipe será desassociada do cofre.

------

## Revogar cofre de backup de acesso para restauração
<a name="revoke-restore-access-vault"></a>

Solicitante: **administrador da conta proprietária do cofre logicamente isolado**.

É possível revogar o acesso a um cofre de backup de acesso para restauração pela conta do cofre de origem.

------
#### [ Console ]

**Revogar cofre de backup de acesso para restauração**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado do qual você deseja revogar o acesso.

1. Na página de **Detalhes do cofre**, role para baixo até a seção **Acesso por meio de aprovação multilateral**.

1. Encontre o cofre de backup de acesso para restauração que você deseja revogar e selecione **Solicitar a remoção de acesso ao cofre**.

1. Se desejar, insira um comentário do solicitante explicando o motivo da revogação.

1. Selecione **Enviar solicitação** para enviar a solicitação de revogação.

Os membros da equipe de aprovação receberão uma notificação para aprovar a solicitação.

Depois da aprovação do número exigido de membros da equipe, o cofre de backup de acesso para restauração será excluído da conta de recuperação

------
#### [ CLI ]

Primeiro, liste os cofres de backup de acesso para restauração associados ao cofre de origem:

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

Depois, use o comando da CLI `revoke-restore-access-backup-vault`:

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação receberão uma notificação para aprovar a solicitação. Depois da aprovação do número exigido de membros da equipe, o cofre de backup de acesso para restauração será excluído da conta de recuperação.

------

## Atualize a equipe de aprovação multipartidária associada a um cofre logicamente isolado
<a name="update-multpartyapproval-team"></a>

Solicitante: **administrador da conta proprietária do cofre logicamente isolado**.

É possível atualizara equipe de aprovação multilateral associada a um cofre logicamente isolado (etapa 8 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Atualizar a equipe de aprovação associada a um cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado para o qual você deseja atualizar a equipe de aprovação.

1. Na página de detalhes do cofre, selecione **Solicitar alteração da equipe de aprovação**.

1. No menu suspenso, selecione a nova equipe de aprovação que você deseja associar ao cofre.

1. Se desejar, insira um comentário do solicitante explicando o motivo da alteração.

1. Selecione **Enviar solicitação** para enviar a solicitação de alteração.

Os membros da equipe de aprovação atual receberão uma notificação por e-mail para aprovar a solicitação.

Depois de aprovada pelo número necessário de membros da equipe (limite) da equipe de MPA atual, a nova equipe será associada ao cofre.

------
#### [ CLI ]

Use o comando da CLI `associate-backup-vault-mpa-approval-team` com o ARN da nova equipe:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação atual receberão uma notificação para aprovar a solicitação. Depois de aprovada pelo número necessário de membros da equipe (limite) da equipe atual, a nova equipe de MPA será associada ao cofre.

------

# Tarefas do aprovador
<a name="multipartyapproval-tasks-approver"></a>

Um usuário que é membro de uma equipe de aprovação multilateral pode [aprovar ou negar solicitações](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) que fazem parte de uma sessão. Outras tarefas incluem:
+ [Responder às operações solicitadas](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Visualizar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Visualizar o histórico de operações](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)

# Políticas de acesso a cofres
<a name="create-a-vault-access-policy"></a>

Com AWS Backup, você pode atribuir políticas aos cofres de backup e aos recursos que eles contêm. A atribuição de políticas permite que você faça várias coisas, como conceder acesso aos usuários para criar planos de backup e backups sob demanda, mas limite a capacidade delas de excluir pontos de recuperação depois que eles tiverem sido criados.

Para obter informações sobre como usar políticas para conceder ou restringir o acesso a recursos, consulte [Políticas baseadas em identidade e políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) no *Guia do usuário do IAM*. Também é possível controlar o acesso usando tags.

Você pode usar os exemplos de políticas a seguir como guia para limitar o acesso aos recursos ao trabalhar com AWS Backup cofres. Ao contrário de outras políticas baseadas em IAM, as políticas de AWS Backup acesso não oferecem suporte a um curinga na chave. `Action`

Para obter uma lista de nomes de recursos da Amazon (ARNs) que você pode usar para identificar pontos de recuperação para diferentes tipos de recursos, consulte [AWS Backup recurso ARNs](access-control.md#resource-arns-table) o ponto de recuperação específico do recurso. ARNs

As políticas de acesso ao Vault controlam apenas o acesso AWS Backup APIs do usuário a. Alguns tipos de backup, como os snapshots do Amazon Elastic Block Store (Amazon EBS) e do Amazon Relational Database Service (Amazon RDS), também podem ser acessados usando esses serviços. APIs Você pode criar políticas de acesso separadas no IAM que controlam o acesso a elas APIs para controlar totalmente o acesso a esses tipos de backup.

Independentemente da política de acesso do AWS Backup cofre, o acesso entre contas para qualquer ação que não seja `backup:CopyIntoBackupVault` será rejeitado, ou seja, AWS Backup rejeitará qualquer outra solicitação de uma conta diferente da conta do recurso que está sendo referenciado.

**Topics**
+ [Negar acesso a um tipo de recurso em um cofre de backup](#deny-access-to-ebs-snapshots)
+ [Negar acesso a um cofre de backup](#deny-access-to-a-backup-vault)
+ [Negar acesso para excluir pontos de recuperação em um cofre de backup](#deny-access-to-delete-recovery-points)

## Negar acesso a um tipo de recurso em um cofre de backup
<a name="deny-access-to-ebs-snapshots"></a>

Esta política nega acesso às operações de API especificadas para todos os snapshots do EBS em um cofre de backup.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}
```

------

## Negar acesso a um cofre de backup
<a name="deny-access-to-a-backup-vault"></a>

Esta política nega acesso às operações de API especificadas que visam um cofre de backup.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}
```

------

## Negar acesso para excluir pontos de recuperação em um cofre de backup
<a name="deny-access-to-delete-recovery-points"></a>

O acesso aos cofres e a capacidade de excluir pontos de recuperação armazenados neles são determinados pelo acesso que você conceder aos seus usuários.

Siga estas etapas para criar uma política de acesso baseada em recursos em um cofre de backup que impede a exclusão de todos os backups no cofre.

**Como criar uma política de acesso baseada em recursos em um cofre de backup**

1. Faça login no Console de gerenciamento da AWS e abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação no lado esquerdo, selecione **Cofres de backup**.

1. Selecione um cofre de backup na lista.

1. Na seção de **Política de acesso**, cole o seguinte exemplo de JSON. Esta política impede que qualquer pessoa que não seja a principal exclua um ponto de recuperação no cofre de backup de destino.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AIDA1234567890EXAMPLE",
                          "AROA1234567890EXAMPLE:my-role-session",
                          "AROA1234567890EXAMPLE:*",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

   Para permitir listar identidades do IAM usando seu ARN, use a chave de condição global `aws:PrincipalArn` no exemplo a seguir.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "DenyDeleteRecoveryPoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "backup:DeleteRecoveryPoint",
         "Resource": "*",
         "Condition": {
           "ArnNotEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::112233445566:role/mys3role",
               "arn:aws:iam::112233445566:user/shaheer",
               "arn:aws:iam::112233445566:root"
             ]
           }
         }
       }
     ]
   }
   ```

------

   Para obter informações sobre como obter um ID exclusivo para uma entidade do IAM, consulte [Obter o identificador exclusivo](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id) no *Guia do usuário do IAM*.

   Se quiser que isso seja limitado a tipos de recursos específicos, em vez de `"Resource": "*"`, você poderá incluir explicitamente os tipos de ponto de recuperação a serem negados. Por exemplo, para snapshots do Amazon EBS, altere o tipo de recurso para o seguinte:

   ```
   "Resource": ["arn:aws:ec2::Region::snapshot/*"]
   ```

1. Escolha **Anexar política**.

# AWS Backup Fechadura do cofre
<a name="vault-lock"></a>

**nota**  
AWS Backup O Vault Lock foi avaliado pela Cohasset Associates para uso em ambientes sujeitos às regulamentações SEC 17a-4, CFTC e FINRA. Para obter mais informações sobre como o AWS Backup Vault Lock se relaciona com esses regulamentos, consulte a Avaliação de conformidade da [Cohasset Associates](samples/cohassetreport.zip).

AWS Backup O Vault Lock é um recurso opcional de um cofre de backup, que pode ser útil para oferecer segurança e controle adicionais sobre seus cofres de backup. Quando um bloqueio está ativo no modo de conformidade e o tempo de carência termina, a configuração do cofre não pode ser alterada ou excluída por um cliente, account/data proprietário ou AWS desde que contenha pontos de recuperação. Cada cofre pode ter um bloqueio de cofre em vigor.

AWS Backup garante que seus backups estejam disponíveis para você até que atinjam a expiração dos períodos de retenção. Se algum usuário (incluindo o usuário raiz) tentar excluir um backup ou alterar as propriedades do ciclo de vida em um cofre bloqueado, AWS Backup negará a operação.
+ Os cofres bloqueados no **modo de governança** podem ter o bloqueio removido por usuários com permissões suficientes do IAM.
+ Os cofres bloqueados no **modo de conformidade** *não podem ser excluídos* depois que o período de reflexão ("**período de carência**"), caso haja pontos de recuperação no cofre. Durante o período de carência, você ainda pode remover o bloqueio do cofre e alterar a configuração do bloqueio.

**Atenção**  
Depois que o tempo de carência expira, o cofre e sua fechadura são imutáveis e não podem ser alterados ou excluídos por nenhum usuário ou por. AWS Os backups em um cofre bloqueado não podem ser excluídos até que seu ciclo de vida seja concluído, resultando em custos persistentes se você não tomar cuidado. Por exemplo, certifique-se de que não haja pontos de recuperação com um período de retenção definido como “Sempre”. Quando o tempo de carência expirar, esses pontos de recuperação serão retidos para sempre e não poderão ser alterados ou excluídos.

## Modos de bloqueio do cofre
<a name="backup-vault-lock-modes"></a>

Ao criar um bloqueio de cofre, você pode escolher entre dois modos: modo de **governança** ou **modo de conformidade**. O modo de governança tem como objetivo permitir que um cofre seja gerenciado somente por usuários com privilégios suficientes do IAM. O modo de governança ajuda a organização a atender aos requisitos de governança, garantindo que somente a equipe designada possa fazer alterações em um cofre de backup. O modo de conformidade é destinado a cofres de backup nos quais se espera que o cofre (e, por extensão, seu conteúdo) nunca seja excluído ou alterado até que o período de retenção de dados seja concluído. Quando um cofre no modo de conformidade é bloqueado, ele fica **imutável**, o que significa que o bloqueio *não pode ser removido* (o cofre em si pode ser excluído se estiver vazio e não contiver pontos de recuperação).

Um cofre bloqueado no modo de governança pode ser gerenciado ou excluído por usuários que tenham as permissões apropriadas do IAM.

Um bloqueio de cofre no modo de conformidade não pode ser alterado ou excluído por nenhum usuário ou pela AWS. Um bloqueio de cofre no modo de conformidade tem um período de carência que você define antes de ele ser bloqueado e se tornar imutável.

## Benefícios do Vault Lock
<a name="backup-vault-lock-benefits"></a>

AWS Backup O Vault Lock oferece vários benefícios, incluindo:
+ Configuração WORM (*write once, read-many*) para todos os backups que você armazena e cria em um cofre de backup.
+ Uma camada adicional de defesa que protege os backups (pontos de recuperação) em seus cofres de backup contra exclusões inadvertidas ou mal-intencionadas.
+ Aplicação de períodos de retenção, que evitam exclusões antecipadas por usuários privilegiados (incluindo o usuário Conta da AWS raiz) e atendem às políticas e procedimentos de proteção de dados da sua organização.

## Bloquear um cofre de backup usando o console
<a name="lock-backup-vault-console"></a>

Você pode adicionar uma trava de cofre ao seu AWS Backup cofre usando o console de Backup.

Como adicionar um bloqueio de cofre ao seu cofre de backup:

1. Faça login no Console de gerenciamento da AWS e abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Cofres de backup**. Clique no link aninhado em Cofres de backup chamado **Bloqueios de cofre**.

1. Em **Como funcionam os bloqueios do cofre** ou **Bloqueios de cofre**, clique em **\$1 Criar bloqueio de cofre**.

1. No painel **Detalhes do bloqueio de cofre**, escolha em qual cofre você deseja aplicar o bloqueio.

1. Em **Modo de bloqueio de cofre**, escolha em qual modo você deseja que seu cofre seja bloqueado. Para obter mais informações sobre como escolher seus modos, consulte [Modos de bloqueio de cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes) anteriormente nesta página.

1. Para o **período de retenção**, escolha os períodos mínimo e máximo de retenção (os períodos de retenção são *opcionais*). Haverá falha nos novos trabalhos de backup e cópia criados no cofre se não estiverem em conformidade com os períodos de retenção que você definiu. Esses períodos não se aplicarão aos pontos de recuperação que já estiverem no cofre. Os pontos de recuperação que estavam presentes no cofre antes da ativação do bloqueio do cofre seguirão suas configurações de ciclo de vida anteriores.

1. Se você escolher o modo de conformidade, uma seção chamada **Data de início do bloqueio de cofre** será exibida. Se você escolher o modo de governança, isso não será exibido e essa etapa poderá ser ignorada.

   No modo de conformidade, um bloqueio de cofre tem um período de reflexão desde a criação do bloqueio até que o cofre e seu bloqueio se tornem imutáveis e inalteráveis. Você escolhe a duração desse período (chamado de **período de carência**), embora deva ser de *pelo menos* três dias (72 horas).
**Importante**  
Depois que o tempo de carência expira, o cofre e sua fechadura são imutáveis e não podem ser alterados ou excluídos por nenhum usuário ou por. AWS

1. Quando estiver satisfeito com as opções de configuração, clique em **Criar bloqueio de cofre**.

1. Para confirmar que você deseja criar esse bloqueio no modo escolhido, digite `confirm` na caixa de texto e marque a caixa confirmando que a configuração está conforme pretendido.

Se as etapas tiverem sido concluídas com êxito, um banner “Êxito” será exibido na parte superior do console.

## Bloquear um cofre de backup de forma programática
<a name="lock-backup-vault-cli"></a>

Para configurar o AWS Backup Vault Lock, use a API`[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`. Os parâmetros a serem incluídos dependerão do modo de bloqueio do cofre que você pretende usar. Se você deseja criar um bloqueio de cofre no modo de governança, **não inclua** `ChangeableForDays`. Se esse parâmetro for incluído, o bloqueio do cofre será criado no modo de conformidade.

Aqui está um exemplo de CLI da criação de um bloqueio de cofre no modo de conformidade:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30
```

Aqui está um exemplo de CLI da criação de um bloqueio de cofre no modo de governança:

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30
```

É possível configurar quatro opções. 

1. `BackupVaultName`

   O nome do cofre a ser bloqueado.

1. `ChangeableForDays` (inclua *somente* para o modo de conformidade)

   Esse parâmetro instrui AWS Backup a criar o bloqueio do cofre no modo de **conformidade**. Omita esse parâmetro se você pretende criar o bloqueio no **modo de governança.**

   Esse valor é expresso em dias. Deve ser um número não menor que 3 e não maior que 36.500. Caso contrário, será retornado um erro.

   Desde a criação desse bloqueio de cofre até a expiração da data especificada, o bloqueio do cofre poderá ser removido do cofre usando `DeleteBackupVaultLockConfiguration`. Como alternativa, durante esse período, você poderá alterar a configuração usando `PutBackupVaultLockConfiguration`.

   Na data especificada e determinada por esse parâmetro, o cofre de backup será imutável e não poderá ser alterado ou excluído.

1. `MaxRetentionDays` *(opcional)*

   Esse é um valor numérico expresso em dias. Esse é o período máximo de retenção que o cofre retém seus pontos de recuperação.

   O período máximo de retenção que você escolher deve estar alinhado com as políticas de retenção de dados da sua organização. Se a sua organização instruir que os dados sejam retidos por um período, esse valor poderá ser definido para esse período (em dias). Por exemplo, pode ser necessário manter dados financeiros ou bancários por sete anos (aproximadamente 2.557 dias, dependendo dos anos bissextos).

   Se não for especificado, o AWS Backup Vault Lock não aplicará um período máximo de retenção. Se especificado, haverá falha nos trabalhos de backup e cópia para esse cofre com períodos de retenção do ciclo de vida superiores ao período máximo de retenção. Os pontos de recuperação já salvos no cofre antes da criação do bloqueio de cofre não serão afetados. O período máximo de retenção mais longo que você pode especificar é de 36.500 dias (aproximadamente 100 anos).

1. `MinRetentionDays`(*opcional*; obrigatório para CloudFormation)

   Esse é um valor numérico expresso em dias. Esse é o período mínimo de retenção que o cofre retém seus pontos de recuperação. Essa configuração deve ser definida de acordo com a quantidade de tempo que sua organização *deve* manter os dados. Por exemplo, se os regulamentos ou leis exigirem que os dados sejam retidos por pelo menos sete anos, o valor em dias seria de aproximadamente 2.557, dependendo dos anos bissextos.

   Se não for especificado, o AWS Backup Vault Lock não aplicará um período mínimo de retenção. Se especificado, haverá falha nos trabalhos de backup e cópia para esse cofre com períodos de retenção do ciclo de vida inferiores ao período mínimo de retenção. Os pontos de recuperação já salvos no cofre antes do AWS Backup Vault Lock não são afetados. O período mínimo de retenção mais curto que você pode especificar é de um dia.

## Revise a configuração do Vault Lock em um AWS Backup cofre de backup
<a name="review-vault-lock-config"></a>

Você pode revisar os detalhes do AWS Backup Vault Lock em um cofre a qualquer momento ligando ou. `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)` `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs

Para determinar se você aplicou um bloqueio de cofre a um cofre de backup, chame `DescribeBackupVault` e verifique a propriedade `Locked`. Se`"Locked": true`, como no exemplo a seguir, você aplicou o AWS Backup Vault Lock ao seu cofre de backup.

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```

A saída anterior confirma as seguintes opções:

1. `Locked`é um booleano que indica se você aplicou o AWS Backup Vault Lock a esse cofre de backup. `True`significa que o AWS Backup Vault Lock faz com que as operações de exclusão ou atualização dos pontos de recuperação armazenados no cofre falhem (independentemente de você ainda estar no período de carência de reflexão).

1. `LockDate` é a data e a hora em UTC em que seu período de carência de reflexão termina. Após esse período, você não poderá excluir ou alterar seu bloqueio neste cofre. Use qualquer conversor de horário disponível publicamente para converter essa string em sua hora local.

Se `"Locked":false`, como no exemplo a seguir, você não tiver aplicado um bloqueio de cofre (ou se um anterior tiver sido excluído).

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}
```

## Remoção do bloqueio do cofre durante o período de carência (modo de conformidade)
<a name="delete-vault-lock"></a>

Para excluir o bloqueio do cofre durante o período de carência (o tempo após o bloqueio do cofre, mas antes do seu`LockDate`) usando o console, AWS Backup 

1. Faça login no Console de gerenciamento da AWS e abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação esquerdo, em **Minha conta**, clique em Cofres de backup e, em seguida, clique em Backup Vault Lock.

1. Clique no bloqueio do cofre que você deseja remover e, em seguida, clique em **Gerenciar bloqueio de cofre**.

1. Clique em **Excluir cofre**.

1. Uma caixa de aviso será exibida solicitando que você confirme sua intenção de excluir o bloqueio do cofre. Digite `confirm` na caixa de texto e clique em **confirmar**.

Depois que todas as etapas forem concluídas com êxito, um banner de Êxito será exibido na parte superior da tela do console.

Para excluir o bloqueio do cofre durante o período de carência usando um comando da CLI, use `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)` como este exemplo de CLI:

```
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock
```

## Conta da AWS fechamento com um cofre trancado
<a name="close-account-with-locked-vault"></a>

Quando você fecha um Conta da AWS que contém um cofre de backup AWS e AWS Backup suspende sua conta por 90 dias com seus backups intactos. Se você não reabrir sua conta durante esses 90 dias, AWS excluirá o conteúdo do seu cofre de backup, mesmo se o AWS Backup Vault Lock estiver em vigor.

## Considerações adicionais sobre segurança
<a name="using-vault-lock-with-backup"></a>

AWS Backup O Vault Lock adiciona uma camada adicional de segurança à sua defesa de proteção de dados em profundidade. É possível combinar o bloqueio do cofre com esses outros recursos de segurança:
+ [Criptografia para seus pontos de recuperação](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup políticas de acesso ao cofre e ao ponto de recuperação](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html), que permitem conceder ou negar permissões no nível do cofre,
+ [AWS Backup melhores práticas de segurança](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html), incluindo sua biblioteca de [políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies) que permitem que você conceda ou negue permissões de backup e restauração por meio de um serviço AWS compatível, e
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html), que permite automatizar as verificações de conformidade de seus backups em relação a [uma lista de controles](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html) definidos por você.

  Você pode realizar [Criação de estruturas usando a API AWS Backup](creating-frameworks-api.md) para o controle [Os recursos estão em um plano de backup com um AWS Backup Vault Lock](controls-and-remediation.md#backup-vault-lock-control) com o AWS Backup Audit Manager para ajudar a garantir que os recursos pretendidos sejam protegidos com um bloqueio de cofre.
+ Mecanismos que tornam os recursos inativos podem afetar a capacidade de restaurá-los. Embora ainda não possam ser excluídos em um cofre bloqueado, eles podem estar em um estado diferente de ativo. Por exemplo, a configuração do Amazon Elastic Compute Cloud, que permite [desativar uma AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html), pode bloquear temporariamente a capacidade de restaurar backups de instâncias do EC2. Isso afeta todos os pontos de recuperação do EC2, até mesmo os backups afetados por um bloqueio de cofre ou por uma retenção legal. 

  Se um backup do EC2 estiver desativado, você poderá [reativar uma AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami) desativada. Depois de reativado, ele está qualificado para ser restaurado. Para bloquear o recurso de desativação da AMI, você pode usar políticas do IAM para não permitir `ec2:DisableImage`.

**nota**  
AWS Backup O Vault Lock não é o mesmo recurso do [Amazon Glacier Vault](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) Lock, que é compatível somente com o Amazon Glacier.