本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 備份保存庫
<a name="vaults"></a>

在 中 AWS Backup，*備份文件庫*是存放和組織備份的容器。

建立備份文件庫時，您必須指定 AWS Key Management Service (AWS KMS) 加密金鑰，以加密放置在此文件庫中的部分備份。其他備份的加密由其來源 AWS 服務管理。如需有關加密的詳細資訊，請參閱[加密 AWS中的備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)中的圖表。

下列各節提供如何在 中管理備份保存庫的概觀 AWS Backup。

**Topics**
+ [備份保存庫建立和刪除](create-a-vault.md)
+ [邏輯氣隙隔離保存庫](logicallyairgappedvault.md)
+ [文件庫存取政策](create-a-vault-access-policy.md)
+ [AWS Backup 保存庫鎖定](vault-lock.md)

# 備份保存庫建立和刪除
<a name="create-a-vault"></a>

您必須先建立至少一個保存庫，再建立備份計畫或開始備份任務。

當您第一次在 **中使用 主控台的備份保存庫**頁面時 AWS 區域，主控台會自動為區域建立預設保存庫。 AWS Backup 

不過，如果您 AWS Backup 透過 AWS CLI、 AWS SDK 或 使用 CloudFormation，則不會建立預設保存庫。您必須建立自己專屬的保存庫。

## 所需的許可
<a name="creating-a-vault-permissions"></a>

您必須具有下列許可，才能使用 建立備份保存庫 AWS Backup。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowKMSOperations",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "AllowCreateBackupVault",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:444455556666:backup-vault:*"
    },
    {
      "Sid": "AllowMountCapsule",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## 建立備份文件庫 (主控台)
<a name="creating-a-vault-console"></a>

您可以不使用 AWS Backup 主控台為您自動建立的預設備份文件庫，而是建立特定的備份文件庫，在相同的文件庫中儲存和整理備份群組。

**建立備份保存庫**

1. 在 AWS Backup 主控台的導覽窗格中，選擇**備份保存庫**。
**注意**  
如果左側看不到導覽窗格，您可以選擇 AWS Backup 主控台左上角的選單圖示來開啟導覽窗格。

1. 選擇 **Create backup vault (建立備份文件庫)**。

1. 輸入備份文件庫的名稱。您可以為文件庫命名以反映所要儲存的內容，或是讓它更容易搜尋您所需要的備份。例如，您可以將它命名為 **FinancialBackups**。

1. 選取 AWS Key Management Service (AWS KMS) 金鑰。您可以使用已建立的金鑰，或選取預設 AWS Backup KMS 金鑰。
**注意**  
此處指定的 AWS KMS 金鑰僅適用於支援 AWS Backup 獨立加密的服務備份。若要查看支援 AWS Backup 獨立加密的資源類型清單，請參閱[各資源的功能可用性](backup-feature-availability.md#features-by-resource)資料表的「完整管理」一節。

1. 或者，您可以新增標籤以協助您搜尋和識別您的備份文件庫。例如，您可以新增 **BackupType:Financial** 標籤。

1. 選擇 **Create backup vault (建立備份文件庫)**。

1. 在導覽窗格中選擇 **Backup vaults (備份文件庫)**，然後確認您的備份文件庫是否已經新增。

**注意**  
您現在可以在其中一個備份計劃中編輯備份規則來存放備份，這些備份是由您剛建立的備份文件庫中的規則所建立的。

## 建立備份文件庫 (以程式設計方式)
<a name="creating-a-vault-cli"></a>

下列 AWS Command Line Interface 命令會建立備份保存庫：

```
aws backup create-backup-vault --backup-vault-name test-vault
```

您也可以為備份文件庫指定以下組態。

## 備份文件庫名稱
<a name="vault-name"></a>

備份文件庫名稱有區分大小寫，必須包含 2 到 50 個英數字元、連字號或底線。

## AWS KMS 加密金鑰
<a name="kms-key"></a>

 AWS KMS 加密金鑰可保護此備份文件庫中的備份。 AWS Backup 預設會為您建立別名為 `aws/backup` 的 KMS 金鑰。您可以選擇該金鑰或選擇帳戶中的任何其他金鑰 (您可透過 CLI 使用跨帳戶 KMS 金鑰)。

您可以按照*《AWS Key Management Service 開發人員指南》*中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)程序建立新的加密金鑰。

建立備份保存庫並設定 AWS KMS 加密金鑰後，您無法再編輯該備份保存庫的金鑰。

 AWS Backup 保存庫中指定的加密金鑰適用於特定資源類型的備份。如需備份加密的詳細資訊，請參閱安全性一節中的 [中的備份加密 AWS Backup](encryption.md)。系統會採用加密來源資源所用的金鑰來備份其他所有資源類型的備份。

## 備份文件庫標籤
<a name="vault-tags"></a>

這些與備份文件庫相關聯的標籤能幫助您整理並追蹤備份文件庫。

## 刪除保存庫
<a name="delete-a-vault"></a>

為防止意外或惡意的大量刪除，您只能在刪除 (或備份計劃生命週期刪除) 備份文件庫中所有復原點之後，刪除 AWS Backup 中的備份文件庫。若要手動刪除復原點，請參閱[刪除備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)。

當您刪除備份文件庫時，請將備份計劃更新為指向新的備份文件庫。若備份計劃指向已刪除的備份文件庫，便會導致備份建立失敗。

您無法使用 刪除預設備份保存庫或 Amazon EFS 自動備份保存庫 AWS 管理主控台。如果預設備份保存庫是空的，您可以使用 AWS CLI 將其刪除。不過，如果您開啟 AWS Backup 主控台並選取該區域，主控台會重新建立預設備份文件庫。您可以在 Amazon EFS 自動備份文件庫中刪除未使用的快照。

**使用 AWS Backup 主控台刪除備份保存庫**

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇 **Backup vaults (備份文件庫)**。

1. 選擇備份文件庫的名稱以開啟其詳細資訊頁面。

1. 選擇並刪除與該備份文件庫相關聯的所有備份。

1. 選擇**刪除保存庫**。出現確認提示時，請輸入保存庫名稱，然後選擇**刪除備份保存庫**。

# 邏輯氣隙隔離保存庫
<a name="logicallyairgappedvault"></a>

## 邏輯氣隙隔離保存庫概觀
<a name="lag-overview"></a>

AWS Backup 提供次要類型的保存庫，可將備份存放在具有其他安全功能的容器中。**邏輯氣隙隔離保存庫**是一種專門的保存庫，可提供比標準備份保存庫更高的安全性，以及與其他 帳戶共用保存庫存取權的能力，以便在發生需要快速還原資源的事件時，復原時間目標 (RTOs) 可以更快、更靈活。

邏輯氣隙隔離保存庫隨附額外的保護功能；每個保存庫都會使用 [AWS 擁有的金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) （預設） 加密，或選擇性地使用客戶管理的 KMS 金鑰加密，而且每個保存庫都配備保存[AWS Backup 庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)的合規模式。加密金鑰類型資訊可透過 AWS Backup APIs和主控台顯示，以進行透明度和合規報告。

您可以將邏輯氣隙隔離保存庫與[多方核准](multipartyapproval.md) (MPA) 整合，以復原保存庫中的備份，即使保存庫擁有的帳戶無法存取，也有助於維持業務持續性。此外，您可以選擇與 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) 整合，以與其他 AWS 帳戶 （包括其他組織中的帳戶） 共用邏輯氣隙隔離保存庫，以便在資料遺失復原或[還原測試](restore-testing.md)需要時，可從共用保存庫的帳戶還原存放在保存庫中的備份。為提高安全性，邏輯氣隙隔離保存庫會將其備份存放在 AWS Backup 服務擁有的帳戶中 （這會導致在修改 AWS CloudTrail 日誌中的屬性項目中顯示為組織外部共用的備份）。

在邏輯氣隙隔離保存庫擁有帳戶已關閉 （惡意或其他方式） 的情況下，您仍然可以透過 MPA 存取保存庫中的備份 （還原或複製），直到[關閉後期間](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)結束為止。關閉後期間到期後，將無法再存取備份。在關閉後期間，您可以參考[AWS 帳戶管理文件](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)，在進行復原時重新控制您的帳戶。

為了提高彈性，我們建議您在相同或個別帳戶中邏輯氣隙隔離保存庫中建立跨區域副本。不過，如果您想要只維護單一複本來降低儲存成本，您可以在加入 AWS MPA 之後，使用[主要備份來邏輯氣隙隔離保存庫](lag-vault-primary-backup.md)。

您可以在 定價頁面上，檢視邏輯氣隙隔離保存庫中支援服務備份的儲存體[AWS Backup 定價](https://aws.amazon.com/backup/pricing/)。

[各資源的功能可用性](backup-feature-availability.md#features-by-resource) 如需可複製到邏輯氣隙隔離保存庫的資源類型，請參閱 。

**Topics**
+ [邏輯氣隙隔離保存庫概觀](#lag-overview)
+ [邏輯氣隙隔離保存庫的使用案例](#lag-usecase)
+ [與標準備份文件庫之比較和對比](#lag-compare-and-contrast)
+ [建立邏輯氣隙隔離保存庫](#lag-create)
+ [檢視邏輯氣隙隔離保存庫詳細資訊](#lag-view)
+ [在邏輯氣隙隔離保存庫中建立備份](#lag-creation)
+ [共用邏輯氣隙隔離保存庫](#lag-share)
+ [從邏輯氣隙隔離保存庫還原備份](#lag-restore)
+ [刪除邏輯氣隙隔離保存庫](#lag-delete)
+ [邏輯氣隙隔離保存庫的其他程式設計選項](#lag-programmatic)
+ [了解邏輯氣隙隔離保存庫的加密金鑰類型](#lag-encryption-key-types)
+ [使用服務擁有的金鑰](#lag-service-owned-key)
+ [安全性自動修復的考量事項](#lag-security-auto-remediation)
+ [對邏輯氣隙隔離保存庫問題進行故障診斷](#lag-troubleshoot)
+ [邏輯氣隙隔離保存庫的主要備份](lag-vault-primary-backup.md)
+ [邏輯氣隙隔離保存庫的多方核准](multipartyapproval.md)

## 邏輯氣隙隔離保存庫的使用案例
<a name="lag-usecase"></a>

邏輯氣隙隔離保存庫是資料保護策略中的次要保存庫。當您需要備份的保存庫時，此保存庫有助於增強組織的保留策略和復原
+ 在[合規模式下](vault-lock.md)使用保存庫鎖定自動設定
+ 根據預設， 提供具有 AWS 擁有金鑰的加密。或者，您可以提供客戶受管金鑰
+ 包含可透過 AWS RAM 或 MPA 共用並從與建立備份之帳戶不同的帳戶還原的備份

**考量和限制**
+ 邏輯氣隙隔離保存庫不支援未加密的 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集，因為它們不支援未加密資料庫叢集快照的加密。
+ Amazon EC2 [提供 EC2 允許 AMIs](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html)。如果您的帳戶已啟用此設定，請將別名新增至`aws-backup-vault`允許清單。

   如果不包含此別名，請將操作從邏輯氣隙隔離保存庫複製到備份保存庫，並從邏輯氣隙隔離保存庫還原 EC2 執行個體的操作將會失敗，並顯示錯誤訊息，例如「在區域中找不到來源 AMI ami-xxxxxx」。
+ 存放在邏輯氣隙隔離保存庫中復原點的 ARN (Amazon Resource Name) 將`backup`取代基礎資源類型。例如，如果原始 ARN 以 `arn:aws:ec2:region::image/ami-*` 開頭，則邏輯氣隙隔離保存庫中復原點的 ARN 將為 `arn:aws:backup:region:account-id:recovery-point:*`。

  您可以使用 CLI 命令[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)來判斷 ARN。

## 與標準備份文件庫之比較和對比
<a name="lag-compare-and-contrast"></a>

**備份文件庫**是在 AWS Backup中使用的主要和標準保存庫類型。備份建立後，每個備份都會儲存在備份文件庫中。您可以指派資源型政策管理儲存在保存庫中的備份，例如儲存在保存庫中的備份生命週期。

**邏輯氣隙隔離保存庫**是特製的保存庫，具有額外的安全性並可彈性共用，能加快復原時間 (RTO)。此保存庫會存放最初建立並存放在標準備份保存庫中的主要備份或備份複本。

備份保存庫使用金鑰加密，此安全機制會限制對預期使用者的存取。這些金鑰可以由客戶管理或 AWS 受管。請參閱[複製加密](encryption.md#copy-encryption)，了解複製任務期間的加密行為，包括複製到邏輯氣隙隔離保存庫。

此外，備份保存庫可以透過保存庫鎖定提供額外的安全性；邏輯氣隙隔離保存庫由合規模式下的保存庫鎖定提供。

與備份保存庫類似，邏輯氣隙隔離保存庫也支援 Amazon EC2 備份[的限制標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。


| 功能 | 備份文件庫 | 邏輯氣隙隔離保存庫 | 
| --- | --- | --- | 
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | 您可以使用 AWS Backup Audit Manager [控制與補救](controls-and-remediation.md)來監控備份保存庫。 | 除了標準[保存庫可用的控制項之外，請確定特定資源的備份會根據您決定的排程存放在至少一個邏輯氣隙隔離](controls-and-remediation.md#resources-in-lag-vault-control)保存庫中。 | 
| [帳單](https://aws.amazon.com/backup/pricing/) | 完全由 AWS Backup 管理之資源的儲存和資料傳輸費用會在「AWS Backup」下發生。其他資源類型儲存和資料傳輸費用將在其各自的服務下產生。 例如，Amazon EBS 備份會顯示在「Amazon EBS」下；Amazon S3 備份會顯示在「AWS Backup」下。 | 這些保存庫 （儲存或資料傳輸） 的所有帳單費用都發生在 "AWS Backup" 以下。 | 
|   [區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | 可用於 AWS Backup 操作的所有 區域 | 適用於 支援的大多數 區域 AWS Backup。目前不適用於亞太區域 （馬來西亞）、加拿大西部 （卡加利）、墨西哥 （中部）、亞太區域 （泰國）、亞太區域 （台北）、亞太區域 （紐西蘭）、中國 （北京）、中國 （寧夏）、 AWS GovCloud （美國東部） 或 AWS GovCloud （美國西部）。 | 
|   [資源](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | 可以存放支援跨帳戶複製的大多數資源類型的備份副本。 | 如需可複製到此保存庫[各資源的功能可用性](backup-feature-availability.md#features-by-resource)的資源，請參閱 中的邏輯氣隙隔離保存庫欄。 | 
|  [ 還原](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | 備份可由保存庫所屬的相同帳戶還原。 | 如果保存庫是與該個別帳戶共用，則備份可由與保存庫所屬帳戶不同的帳戶還原。 | 
| [安全性](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) |  可選擇是否使用金鑰加密 (客戶自管或 AWS 受管金鑰) 可以選擇性地在合規或控管模式中使用保存庫鎖定 |  可以使用 [AWS 擁有的金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)或客戶受管金鑰加密 在合規模式下一律使用[保存庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)功能進行鎖定 透過 AWS RAM 或 MPA 共用保存庫時，會保留並顯示加密金鑰類型資訊  | 
| [共用](#lag-share) |  存取可以透過政策和 [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) 管理 與 不相容 AWS RAM  | 可以選擇是否使用 [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 跨帳戶共用 | 

## 建立邏輯氣隙隔離保存庫
<a name="lag-create"></a>

您可以透過 AWS Backup 主控台或透過 AWS Backup 和 AWS RAM CLI 命令的組合來建立邏輯氣隙隔離保存庫。

每個邏輯氣隙隔離都配備合規模式下的保存庫鎖定。請參閱 [AWS Backup 保存庫鎖定](vault-lock.md) 以協助判斷最適合您操作的保留期間值

------
#### [ Console ]

**從主控台建立邏輯氣隙隔離保存庫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選取 **保存庫**。

1. 隨即顯示這兩種類型的保存庫。選取 **建立新保存庫**。

1. 輸入備份文件庫的名稱。您可以為文件庫命名以反映所要儲存的內容，或是讓它更容易搜尋您所需要的備份。例如，您可以將它命名為 `FinancialBackups`。

1. 選取**邏輯氣隙隔離保存庫**的選項按鈕。

1. *（選用）* 選擇加密金鑰。您可以選取客戶管理的 KMS 金鑰，以額外控制加密，或使用預設擁有的金鑰 AWS（建議）。

1. 設定 **最短保留期限**。

   此值 (天數、月數或年數) 是備份可保留在此保存庫中的最短時間。保留期限短於此值的備份無法複製到此保存庫。

   允許的最小值為 `7` 天。月和年的值符合此最小值。

1. 設定 **最長保留期限**。

   此值 (天數、月數或年數) 是備份可保留在此保存庫中的最長時間。保留期限長於此值的備份無法複製到此保存庫。

1. *（選用）* 設定**加密金鑰**。

   指定要與保存庫搭配使用的金鑰。您可以選擇 **AWS 擁有的金鑰 （由 管理 AWS Backup)**，或輸入**客戶受管金鑰**的 ARN，該金鑰最好屬於您有權存取的不同帳戶。 AWS Backup 建議使用 AWS 擁有的金鑰。

1. *(選用)* 新增有助於搜尋及識別邏輯氣隙隔離保存庫的標籤。例如，您可以新增 `BackupType:Financial` 標籤。

1. 選取 **建立保存庫**。

1. 檢閱設定。如果所有的設定都如預期顯示，請選取 **建立邏輯氣隙隔離保存庫**。

1. 主控台會帶您前往新保存庫的詳細資訊頁面。確認保存庫詳細資料是否一如預期。

1. 選取**保存庫**以檢視您帳戶中的保存庫。將會顯示邏輯氣隙隔離保存庫。KMS 金鑰將在保存庫建立後約 1 到 3 分鐘可用。重新整理頁面以查看相關聯的金鑰。顯示金鑰後，保存庫會處於可用狀態，並且可以使用。

------
#### [ AWS CLI ]

從 CLI 建立邏輯氣隙隔離保存庫

您可以使用 AWS CLI 以程式設計方式執行邏輯氣隙隔離保存庫的操作。每個 CLI 都專屬於其產生的 AWS 服務。與共用相關的命令會在開頭加上 `aws ram`，而所有其他命令則應在前面加上 `aws backup`。

使用以下列參數[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html)修改的 CLI 命令 ：

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```

選用`--encryption-key-arn`參數可讓您為保存庫加密指定客戶管理的 KMS 金鑰。如果未提供，保存庫將使用 AWS擁有的金鑰。

建立邏輯氣隙隔離保存庫的 CLI 命令範例：

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```

使用客戶受管加密建立邏輯氣隙隔離保存庫的 CLI 命令範例：

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```

如需建立操作之後的資訊，請參閱 [CreateLogicallyAirGappedBackupVault API 回應元素](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html)。如果操作成功，新的邏輯氣隙隔離保存庫將具有 的 VaultState`CREATING`。

建立完成並指派 KMS 加密金鑰後，VaultState 會轉換為 `AVAILABLE`。一旦可用，就可以使用保存庫。 `VaultState` 可以透過呼叫 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)或 來擷取[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)。

------

## 檢視邏輯氣隙隔離保存庫詳細資訊
<a name="lag-view"></a>

您可以透過 AWS Backup 主控台或 AWS Backup CLI 來查看保存庫詳細資訊，例如摘要、復原點、受保護的資源、帳戶共用、存取政策和標籤。

------
#### [ Console ]

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在左側導覽窗格中選取 **保存庫**。

1. 保存庫的描述下方將列出三個清單：**此帳戶建立的保存庫**、**透過 RAM 共用的保存庫**，以及**可透過多方核准存取的保存庫**。選取檢視保存庫所需的索引標籤。

1. 在 **保存庫名稱** 下，按一下保存庫的名稱即可開啟詳細資訊頁面。您可以查看摘要、復原點、受保護的資源、帳號共用、存取政策和標籤詳細資訊。

   詳細資訊會根據帳戶類型顯示：擁有保存庫的帳戶可以檢視帳戶共用；沒有保存庫的帳戶將無法檢視帳戶共用。對於共用保存庫，加密金鑰類型 (AWS擁有或客戶管理的 KMS 金鑰） 會顯示在保存庫摘要中。

------
#### [ AWS CLI ]

透過 CLI 檢視邏輯氣隙隔離保存庫的詳細資訊

CLI 命令[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html)可用來取得保存庫的詳細資訊。參數`backup-vault-name`為必要；`region`選用。

```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```

回應範例：

```
{
            "BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
            "BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 8,
            "MaxRetentionDays": 30,
            "LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```

**注意**  
在邏輯氣隙隔離保存庫無法使用的區域中， `VaultType` 欄位不包含在 API 回應中。

------

## 在邏輯氣隙隔離保存庫中建立備份
<a name="lag-creation"></a>

邏輯氣隙隔離保存庫可以是備份計畫中的複製任務目的地目標，也可以是隨需複製任務的目標。它也可以用作主要備份目標。請參閱[邏輯氣隙隔離保存庫的主要備份](lag-vault-primary-backup.md)。

**相容加密**

從備份保存庫到邏輯氣隙隔離保存庫的成功複製任務需要由要複製的資源類型決定的加密金鑰。

當您建立或複製[完全受管資源類型的](backup-feature-availability.md#features-by-resource)備份時，來源資源可以由客戶受管金鑰或 AWS 受管金鑰加密。

當您建立或複製其他資源類型的備份 ([未完全受](backup-feature-availability.md#features-by-resource)管） 時，來源必須使用客戶受管金鑰加密。不支援未完全受管資源的受 AWS 管金鑰。

**透過備份計畫，建立或複製備份至邏輯氣隙隔離保存庫**

您可以透過在主控台中 AWS Backup [建立新的備份計畫](creating-a-backup-plan.md)或[更新現有的](updating-a-backup-plan.md)備份計畫，或透過 AWS CLI 命令[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)和 ，將備份 （復原點） 從標準備份保存庫複製到邏輯氣隙隔離保存庫[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。您也可以使用備份做為主要目標，直接在邏輯氣隙隔離保存庫中建立備份。如需詳細資訊[，請參閱邏輯氣隙隔離保存庫的主要備份](lag-vault-primary-backup.md)。

您可以將備份從一個邏輯氣隙隔離保存庫複製到另一個邏輯氣隙隔離保存庫隨需 （此類備份無法在備份計畫中排程）。只要複本使用客戶受管金鑰加密，您就可以將備份從邏輯氣隙隔離保存庫複製到標準備份保存庫。

**隨需備份複製到邏輯氣隙隔離保存庫**

若要建立備份到邏輯氣隙隔離保存庫的一次性[隨需](recov-point-create-on-demand-backup.md)副本，您可以從標準備份保存庫進行複製。如果資源類型支援複製類型，則可以使用跨區域或跨帳戶複製。

**複製可用性**

您可以從保存庫所屬的帳戶建立備份複本。已共用保存庫的帳戶可以檢視或還原備份，但無法建立複本。

只能包含[支援跨區域或跨帳戶複製的資源類型](backup-feature-availability.md#features-by-resource)。

------
#### [ Console ]

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在左側導覽窗格中選取 **保存庫**。

1. 在保存庫詳細資訊頁面中，會顯示該保存庫的所有復原點。勾選您想要複製的復原點。

1. 選取 **動作**，然後從下拉式功能表中選取 **複製**。

1. 在下個畫面中，輸入目的地詳細資訊。

   1. 指定目的地區域。

   1. 目的地備份文件庫下拉式功能表會顯示符合資格的目的地保存庫。選取類型為 `logically air-gapped vault` 的保存庫

1. 待所有詳細資訊依偏好設定好後，選取 **複製**。

在主控台的 **任務** 頁面上，您可以選取 **複製** 任務，查看目前的複製任務。

------
#### [ AWS CLI ]

使用 [start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html) 將備份文件庫中的現有備份複製到邏輯氣隙隔離文件庫。

CLI 輸入範例：

```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```

------

如需詳細資訊，請參閱[複製備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html)、[跨區域備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)和[跨帳戶備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html)。

## 共用邏輯氣隙隔離保存庫
<a name="lag-share"></a>

您可以使用 AWS Resource Access Manager (RAM) 與您指定的其他帳戶共用邏輯氣隙隔離保存庫。共用保存庫時，共用保存庫的帳戶會保留並顯示加密金鑰類型資訊 (AWS擁有或客戶管理的 KMS 金鑰）。

保存庫可以與其組織中的帳戶或其他組織中的帳戶共用。保存庫無法與整個組織共用，只能與組織內的帳戶共用。

只有具有特定 IAM 權限的帳戶才能共用和管理保存庫的共用。

若要使用 共用 AWS RAM，請確定您有下列項目：
+ 可以存取的兩個或多個帳戶 AWS Backup
+ 想要共用的保存庫帳戶具有必要的 RAM 許可。權限 `ram:CreateResourceShare` 為此程序必要許可。此政策`AWSResourceAccessManagerFullAccess`包含所有必要的 RAM 相關許可：
  + `backup:DescribeBackupVault`
  + `backup:DescribeRecoveryPoint`
  + `backup:GetRecoveryPointRestoreMetadata`
  + `backup:ListProtectedResourcesByBackupVault`
  + `backup:ListRecoveryPointsByBackupVault`
  + `backup:ListTags`
  + `backup:StartRestoreJob`
+ 至少一個邏輯氣隙隔離保存庫

------
#### [ Console ]

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在左側導覽窗格中選取 **保存庫**。

1. 在保存庫描述下方會有兩份清單：**此帳戶擁有的保存庫**和**與此帳戶共用的保存庫**。帳戶擁有的保存庫符合共用資格。

1. 在 **保存庫名稱** 下，選取邏輯氣隙隔離保存庫的名稱即可開啟詳細資訊頁面。

1. **帳戶共用**窗格會顯示保存庫要與哪些帳戶共用。

1. 若要開始與其他帳戶共用保存庫，或編輯已共用的帳戶，請選取 **管理共用**。

1. 選取**管理共用**時 AWS RAM ，主控台會開啟。如需使用 RAM AWS 共用資源的步驟，請參閱《[RAM AWS 使用者指南》中的在 RAM 中建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。 *AWS *

1. 獲邀接受共用邀請的帳戶需要 12 小時才能接受邀請。請參閱*《AWS RAM 使用者指南》*中的[＜接受與拒絕資源共用邀請＞](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)。

1. 如已完成並接受共用步驟，則保存庫摘要頁面會顯示在 **Account sharing = “已共用 - 請參閱下方的帳戶共用表**” 下。

------
#### [ AWS CLI ]

AWS RAM 使用 CLI 命令 `create-resource-share`。只有具有足夠許可的帳戶才能存取此命令。如需 CLI 執行步驟，請參閱[在 AWS RAM中建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。

步驟 1 到 4 要以擁有邏輯氣隙隔離保存庫的帳戶執行。步驟 5 到 8 要以共用邏輯氣隙隔離保存庫的帳戶執行。

1. 登入擁有保存庫的帳戶，或者要求組織中有足夠認證可存取來源帳戶的使用者完成這些步驟。

   1. 如過去已建立資源共用，現在希望在其中新增其他資源，請改用 CLI `associate-resource-share` 搭配新保存庫的 ARN。

1. 擷取具有足夠許可的角色認證，以透過 RAM 共用保存庫。[將這些內容輸入 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new)。

   1. 權限 `ram:CreateResourceShare` 為此程序必要許可。政策 [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess) 包含所有 RAM 相關許可。

1. 使用 [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html)。

   1. 包括邏輯氣隙隔離保存庫的 ARN。

   1. 範例輸入：

      ```
      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1
      ```

   1. 輸出範例：

      ```
      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }
      ```

1. 複製輸出內的資源共用 ARN (後續步驟的必要內容)。將 ARN 交給邀請接受共用的帳戶操作員。

1. 取得資源共用 ARN

   1. 如未執行步驟 1 到 4，請向執行過這些步聚的人索取 resourceShareArn。

   1. 範例：`arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`

1. 在 CLI 中，擔任收件者帳戶的認證。

1. 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html) 取得資源共用邀請。如需詳細資訊，請參閱*《AWS RAM 使用者指南》*中的[＜接受與拒絕邀請＞](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)。

1. 接受目的地 (復原) 帳戶中的邀請。

   1. 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (也可使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html))。

您可以使用 AWS RAM CLI 命令來檢視共用項目：
+ 您已共用的資源：

  `aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ 顯示委託人：

  `aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ 其他帳戶共用的資源：

  `aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`

------

## 從邏輯氣隙隔離保存庫還原備份
<a name="lag-restore"></a>

您可以從擁有保存庫的帳戶或共用保存庫的任何帳戶，還原存放在邏輯氣隙隔離保存庫中的備份。

如需如何透過 AWS Backup 主控台還原復原點的資訊，請參閱[還原備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html)。

從邏輯氣隙隔離保存庫共用備份到您的帳戶後，您可以使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)還原備份。

範例 CLI 輸入可以包含下列命令和參數：

```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```

## 刪除邏輯氣隙隔離保存庫
<a name="lag-delete"></a>

請參閱[刪除保存庫](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)。如果保存庫仍包含備份 (復原點) 即無法刪除。在啟動刪除作業之前，請確認保存庫中沒有任何備份。

根據金鑰刪除政策刪除保存庫七天後，刪除保存庫也會刪除與保存庫相關聯的金鑰。

以下範例 CLI 命令 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) 可用於刪除保存庫。

```
aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname
```

## 邏輯氣隙隔離保存庫的其他程式設計選項
<a name="lag-programmatic"></a>

您可以修改 CLI 命令 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)，列出該帳戶擁有並顯示的所有保存庫：

```
aws backup list-backup-vaults
--region us-east-1
```

若僅要列出邏輯氣隙隔離保存庫，請加入參數

```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```

包含 參數`by-shared`來篩選傳回的保存庫清單，以僅顯示共用的邏輯氣隙隔離保存庫。回應將包含每個共用保存庫的加密金鑰類型資訊。

```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```

顯示加密金鑰類型資訊的範例回應：

```
{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}
```

**注意**  
在邏輯氣隙隔離保存庫無法使用的區域中， `VaultType` 欄位不包含在 API 回應中。

## 了解邏輯氣隙隔離保存庫的加密金鑰類型
<a name="lag-encryption-key-types"></a>

邏輯氣隙隔離保存庫支援不同的加密金鑰類型，此資訊可透過 AWS Backup APIs和主控台顯示。透過 AWS RAM 或 MPA 共用保存庫時，加密金鑰類型資訊會保留，並讓共用保存庫的帳戶可見。此透明度可協助您了解保存庫的加密組態，並做出有關備份和還原操作的明智決策。

### 加密金鑰類型值
<a name="encryption-key-type-values"></a>

`EncryptionKeyType` 欄位可以有下列值：
+ `AWS_OWNED_KMS_KEY` - 保存庫使用 AWS擁有的金鑰加密。未指定客戶受管金鑰時，這是邏輯氣隙隔離保存庫的預設加密方法。
+ `CUSTOMER_MANAGED_KMS_KEY` - 保存庫會使用您控制的客戶受管 KMS 金鑰進行加密。此選項提供額外的加密金鑰和存取政策控制。

**注意**  
AWS 備份建議搭配邏輯氣隙隔離保存庫使用 AWS 擁有的金鑰。
如果您的組織政策需要使用客戶受管金鑰，除了測試之外， AWS 不建議使用來自相同帳戶的金鑰。對於生產工作負載，請使用次要組織中另一個帳戶的客戶受管金鑰，以做為最佳實務進行復原。您可以使用[客戶受管金鑰參考部落格 Encrypt AWS Backup 邏輯氣隙隔離保存庫](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/)，以收集設定 CMK 型邏輯氣隙隔離保存庫的更多洞見。
 您只能在建立保存庫期間選取 AWS KMS 加密金鑰。建立後，文件庫中包含的所有備份都會使用該金鑰加密。您無法變更或遷移保存庫以使用不同的加密金鑰。

### 建立 CMK 加密邏輯氣隙隔離保存庫的金鑰政策
<a name="key-policy-lag-vault-creation"></a>

使用客戶受管金鑰建立邏輯氣隙隔離保存庫時，您必須將 AWS受管政策套用至`AWSBackupFullAccess`您的帳戶角色。此政策包含`Allow`的動作 AWS Backup 可讓 在備份、複製和儲存操作期間與 互動， AWS KMS 以在 KMS 金鑰上建立授予。此外，您必須確保客戶受管金鑰 （如果使用） 政策包含特定的必要許可。
+ CMK 必須與邏輯氣隙隔離保存庫所在的帳戶共用

```
{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}
```

**複製/還原的金鑰政策**

為了防止任務失敗，請檢閱您的 AWS KMS 金鑰政策，以確保其包含所有必要的許可，且不包含任何可能封鎖操作的拒絕陳述式。適用下列條件：
+ 對於所有複製案例，CMKs 必須與來源複製角色共用

```
{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}
```
+ 從 CMK 加密的邏輯氣隙隔離保存庫複製到備份保存庫時，也必須與目的地帳戶 SLR 共用 CMK

```
{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```
+ 使用 RAM/MPA 共用邏輯氣隙隔離保存庫從復原帳戶複製或還原時

```
{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```

**IAM 角色**

執行邏輯氣隙隔離保存庫複製操作時，客戶可以使用 `AWSBackupDefaultServiceRole`，其中包含 AWS受管政策 `AWSBackupServiceRolePolicyForBackup`。不過，如果客戶偏好實作最低權限政策方法，其 IAM 政策必須包含特定需求：
+ 來源帳戶的複製角色必須同時具有來源和目的地 CMKs存取許可。

```
{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}
```

因此，當客戶無法對其 CMKs 和複製角色提供足夠的許可時，複製期間會發生其中一個最常見的客戶錯誤。

### 檢視加密金鑰類型
<a name="viewing-encryption-key-types"></a>

您可以透過 AWS Backup 主控台和使用 AWS CLI 或 SDKs 以程式設計方式檢視加密金鑰類型資訊。

**主控台：**在 AWS Backup 主控台中檢視邏輯氣隙隔離保存庫時，加密金鑰類型會顯示在安全性資訊區段下的保存庫詳細資訊頁面中。

**AWS CLI/API：**在查詢邏輯氣隙隔離保存庫時，會在下列操作的回應中傳回加密金鑰類型：
+ `list-backup-vaults` （包括`--by-shared`共用保存庫）
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`

### 保存庫加密的考量事項
<a name="encryption-key-type-considerations"></a>

使用邏輯氣隙隔離保存庫和加密金鑰類型時，請考慮下列事項：
+ **建立期間的金鑰選擇：**您可以在建立邏輯氣隙隔離保存庫時選擇性地指定客戶受管 KMS 金鑰。如果未指定，則會使用 擁有 AWS的金鑰。
+ **共用保存庫可見性：**共用保存庫的帳戶可以檢視加密金鑰類型，但無法修改加密組態。
+ **復原點資訊：**在邏輯氣隙隔離保存庫中檢視復原點時，也可以使用加密金鑰類型。
+ **還原操作：**了解加密金鑰類型可協助您規劃還原操作，並了解任何潛在的存取需求。
+ **合規：**加密金鑰類型資訊可提供備份資料所用加密方法的透明度，以支援合規報告和稽核要求。

## 使用服務擁有的金鑰
<a name="lag-service-owned-key"></a>

AWS Backup 會建立和管理加密金鑰，用於加密存放在邏輯氣隙隔離保存庫中的所有備份資料，以保護和防止在資料遺失事件期間存取加密金鑰。
+ 這些金鑰是免費的，不會計入您帳戶的 AWS KMS 配額。
+ 單一金鑰僅用於特定保存庫，不會與任何其他帳戶或其他用途共用。
+ 這些金鑰也會在指派的 （空的） 保存庫也刪除後刪除。
+ 這些金鑰是使用 [SYMMETRIC\$1DEFAULT 金鑰規格](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks)建立的。
+ 預設輪換政策為 90 天。您可以透過支援票證請求輪換 （每 6 個月一次） 邏輯氣隙隔離保存庫的服務擁有加密金鑰。

請造訪 [AWS KMS 文件](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)以進一步了解。

## 安全性自動修復的考量事項
<a name="lag-security-auto-remediation"></a>

當 將 EC2 (AMI) 備份 AWS Backup 複製到邏輯氣隙隔離保存庫時，它會暫時將 `launchPermission`（在 AMI 上） 和 `createVolumePermission`（在關聯的 EBS 快照上） 授予服務擁有的帳戶。這些許可會在複製完成後自動撤銷。

這些操作會在 AWS CloudTrail 日誌中產生 `ModifyImageAttribute`和 `ModifySnapshotAttribute`事件，並將 `userIdentity.invokedBy`設定為 `backup.amazonaws.com`。

如果您有可監控這些事件並撤銷跨帳戶共用的安全自動修復邏輯 （例如，具有 的 Amazon EventBridge 規則 AWS Lambda)，則必須排除 `userIdentity.invokedBy`為 的事件`backup.amazonaws.com`。否則，將任務複製到邏輯氣隙隔離保存庫將會失敗：「您沒有存取此 ami 儲存的許可。」

此排除是安全的，因為複本是由您的保存庫存取政策 (`backup:CopyFromBackupVault`在來源保存庫和目的地保存庫`backup:CopyIntoBackupVault`上） 授權，這些政策會在進行任何 EC2 屬性修改之前進行評估。暫時許可只會授予固定 AWS 的服務擁有帳戶，並在複製完成後自動撤銷。

排除 AWS Backup 操作的 EventBridge 規則事件模式範例：

```
{
  "source": ["aws.ec2"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["ec2.amazonaws.com"],
    "eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
    "userIdentity": {
      "invokedBy": [{"anything-but": "backup.amazonaws.com"}]
    }
  }
}
```

## 對邏輯氣隙隔離保存庫問題進行故障診斷
<a name="lag-troubleshoot"></a>

如果您在工作流程期間遇到錯誤，請參閱下列範例錯誤和建議的解決方法：

### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
<a name="w2aac15c13c31b5"></a>

**錯誤：**`Copy job fails with "You do not have permission to access the storage of this ami."`

**可能原因：**在 EC2 AMI 複製任務到邏輯氣隙隔離保存庫期間， AWS Backup 暫時將啟動許可 (AMI) 和建立磁碟區許可 (EBS 快照） 授予服務擁有的帳戶，在您的 AWS CloudTrail 日誌中產生 `ModifyImageAttribute`和 `ModifySnapshotAttribute`事件。如果您有監控這些事件並自動撤銷跨帳戶共用許可的安全自動修復邏輯 （例如具有 Lambda 的 EventBridge 規則），則可以在複製完成之前移除暫時存取權。

**注意**  
對於 Amazon FSx 等其他資源的複製任務，也可能發生這種情況。

**解決方法：**更新您的 EventBridge 規則事件模式，以排除 執行的操作 AWS Backup。具體而言， 排除 `userIdentity.invokedBy` 為 的事件`backup.amazonaws.com`，以確保您的自動修復邏輯不會撤銷複製程序期間授予的暫時跨帳戶許可 AWS Backup 。

### `AccessDeniedException`
<a name="w2aac15c13c31b7"></a>

**錯誤：**`An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`

**可能原因：**在 RAM 共用的保存庫上執行下列其中一個請求時，`--backup-vault-account-id`未包含 參數：
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`

**解決方法：**重試傳回錯誤的命令，但包含 參數`--backup-vault-account-id`，指定擁有保存庫的帳戶。

### `OperationNotPermittedException`
<a name="w2aac15c13c31b9"></a>

**錯誤：** `OperationNotPermittedException`會在`CreateResourceShare`呼叫後傳回。

**可能原因：**如果您嘗試與其他組織共用資源，例如邏輯氣隙隔離保存庫，您可能會收到此例外狀況。保存庫可以與其他組織中的帳戶共用，但無法與其他組織本身共用。

**解決方案：**重試 操作，但將 帳戶指定為 的值，`principals`而非組織或 OU。

### 未顯示加密金鑰類型
<a name="w2aac15c13c31c11"></a>

**問題：**檢視邏輯氣隙隔離保存庫或其復原點時，看不到加密金鑰類型。

**可能原因：**
+ 您正在檢視在新增加密金鑰類型支援之前建立的舊版保存庫
+ 您正在使用較舊版本的 AWS CLI 或 SDK
+ API 回應不包含加密金鑰類型欄位

**解決方法：**
+ 將您的 更新 AWS CLI 為最新版本
+ 對於較舊的保存庫，加密金鑰類型會自動填入，並應該出現在後續的 API 呼叫中
+ 確認您使用的是傳回加密金鑰類型資訊的正確 API 操作
+ 對於共用保存庫，請確認保存庫已透過 正確共用 AWS Resource Access Manager

### CloudTrail 日誌中的「失敗」VaultState 搭配 AccessDeniedException
<a name="w2aac15c13c31c13"></a>

**CloudTrail 中的錯誤：** `"User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`

**可能原因：**
+ 保存庫是使用客戶受管金鑰建立，但擔任的角色對於使用金鑰建立保存庫所需的金鑰政策沒有 CreateGrant 許可

**解決方法：**
+ 授予 [建立 CMK 加密邏輯氣隙隔離保存庫的金鑰政策](#key-policy-lag-vault-creation)區段中指定的許可，然後重試保存庫建立工作流程。

# 邏輯氣隙隔離保存庫的主要備份
<a name="lag-vault-primary-backup"></a>

## 概觀
<a name="lag-primary-backup-overview"></a>

邏輯氣隙隔離保存庫主要備份功能可讓您針對排程和隨需備份任務，將邏輯氣隙隔離保存庫指定為相同帳戶中的主要備份目的地。這不需要在標準備份文件庫和邏輯氣隙隔離文件庫中維護單獨的副本，降低成本並簡化工作流程，同時保留邏輯氣隙隔離的安全優勢。

您可以指派邏輯氣隙隔離保存庫做為備份計畫、全組織政策或隨需備份的主要目標。先前，若要備份到邏輯氣隙隔離保存庫，您必須先在備份保存庫中建立備份，然後將其複製到邏輯氣隙隔離保存庫。透過此功能，視資源類型而定， AWS Backup 可以直接在邏輯氣隙隔離保存庫中建立備份，或自動管理臨時備份，這些備份會複製到邏輯氣隙隔離保存庫，然後刪除。

行為取決於兩個因素：
+ 邏輯氣隙隔離保存庫是否支援資源類型。
+ 資源類型是否支援[完整 AWS Backup 管理](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management)。

**警告**  
如果您採用此功能，我們建議您整合邏輯氣隙隔離保存庫與[多方核准](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA)。即使保存庫擁有的帳戶無法存取，這也能復原保存庫中的備份。

此功能沒有新的定價。您只需支付存放在邏輯氣隙隔離保存庫中的備份，以及以現行費率存放適用資源的臨時快照 （在其系統中的保留期間） 的費用。如需詳細資訊，請參閱[AWS Backup 定價](https://aws.amazon.com/backup/pricing/)。

**Topics**
+ [概觀](#lag-primary-backup-overview)
+ [運作方式](#lag-primary-backup-how-it-works)
+ [成本考量](#lag-primary-backup-cost)
+ [設定邏輯氣隙隔離保存庫主要備份](#lag-primary-backup-configure)
+ [監控邏輯氣隙隔離保存庫主要備份](#lag-primary-backup-monitor)
+ [加入和遷移](#lag-primary-backup-onboarding)
+ [疑難排解](#lag-primary-backup-troubleshooting)

## 運作方式
<a name="lag-primary-backup-how-it-works"></a>

您可以更新現有的備份計畫或建立新的備份計畫，並將邏輯氣隙隔離保存庫 ARN （欄位名稱：`TargetLogicallyAirGappedBackupVaultArn`) 新增為主要備份目標，以加入此功能。您可以透過 AWS Backup 主控台或 CLI AWS Backup 命令執行此操作。

```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```

當您同時指定備份保存庫和邏輯氣隙隔離保存庫做為備份任務的目標時， 會根據資源類型和加密組態來 AWS Backup 決定適當的工作流程。

![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)


**支援將主要備份到邏輯氣隙隔離保存庫的資源**  
若要檢視邏輯氣隙隔離保存庫支援的完整資源清單，[請參閱 AWS Backup 功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources)。使用此功能時，支援邏輯氣隙隔離保存庫的所有資源都遵循僅維護一個備份複本的原則，而不是存放兩個單獨的複本。

**警告**  
此功能目前不支援的資源未來可能會啟用其支援。發生這種情況時，您新支援的資源將使用上述工作流程，自動開始在邏輯氣隙隔離保存庫中備份。

**考量事項和限制：**  

+ **僅限相同的帳戶和區域** – 邏輯氣隙隔離保存庫必須與資源位於相同的 AWS 帳戶和區域，才能使用此功能。您無法直接建立跨帳戶或跨區域備份。我們建議在相同區域中備份到邏輯氣隙隔離保存庫，以加快復原速度，而無需複製。如果您需要第二個區域中資料的複本以進行災難復原 (DR)，建議您跨區域複寫主要資源，以便快速容錯移轉或跨區域復原點複製到鎖定的備份保存庫。
+ **使用 AWS 受管金鑰的限制** – 不支援完整 AWS Backup 管理和使用 AWS 受管金鑰加密的資源 （例如 `aws/ebs`、`aws/rds`) 無法複製到邏輯氣隙隔離保存庫。這些資源必須使用客戶受管 KMS 金鑰加密或未加密。支援完整 AWS Backup 管理的資源**沒有此限制。**
+ **備份頻率和並行副本** – 對於不支援完整 AWS Backup 管理的資源，請確保您的備份頻率有足夠的時間讓副本完成。如果排程備份的頻率高於副本可以完成的頻率，則複製任務將排入佇列，最終可能會失敗。如需並行複製限制的指引，[請參閱配額](aws-backup-limits.md#lag-vault-quotas-table)。
+ **生命週期相容性** – 備份計劃中指定的保留期必須與邏輯氣隙隔離保存庫設定的最短和最長保留期相容。
+ **鎖定的備份保存庫** – 如果您的目標備份保存庫已啟用保存庫鎖定，則暫時復原點無法手動刪除，並會保留直到複製完成或保留期間過期為止。
+ **還原測試、索引和掃描** – 還原測試、復原點索引和惡意軟體掃描會忽略具有`DELETE_AFTER_COPY`生命週期的暫時復原點。復原點索引不支援邏輯氣隙隔離保存庫中的復原點。惡意軟體掃描不支援對複製的復原點進行排程掃描，其中包括作為邏輯氣隙隔離保存庫主要備份的一部分而擷取的自動副本。

### 支援完整 AWS Backup 管理的資源
<a name="lag-primary-backup-full-management"></a>

有些支援完整 AWS Backup 管理的資源類型，例如 Amazon EFS、Amazon S3、Amazon DynamoDB 和[AWS Backup 進階功能](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html)等，可以直接備份到邏輯氣隙隔離保存庫。您的備份文件庫中不會建立任何復原點，也不需要複製操作。備份計畫中的任何排程複製動作都會使用邏輯氣隙隔離保存庫中的復原點做為來源。

支援連續備份的資源，例如 Amazon S3，也可以直接對邏輯氣隙隔離保存庫執行連續備份。

如需支援完整 AWS Backup 管理和邏輯氣隙隔離保存庫的資源類型清單，請參閱「完整管理」和「邏輯氣隙隔離保存庫」欄中[資源的功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)。

### 資源不支援完整 AWS Backup 管理
<a name="lag-primary-backup-not-full-management"></a>

Amazon EBS/EC2、Amazon Aurora 和 Amazon FSx 等資源無法直接備份到邏輯氣隙隔離保存庫。對於這些資源類型， 會在備份保存庫中 AWS Backup 建立暫時復原點，然後自動將其複製到邏輯氣隙隔離保存庫。

暫時復原點具有稱為 的特殊生命週期設定`DELETE_AFTER_COPY`。複製到邏輯氣隙隔離保存庫成功完成後， AWS Backup 會自動刪除暫時復原點。備份計畫中的所有其他排程複製動作會與複製到邏輯氣隙隔離保存庫並行開始，不會影響您目前的複製體驗。

如果複製到邏輯氣隙隔離保存庫失敗，臨時復原點會根據您指定的保留期間保留在您的備份保存庫中。這可協助您確保備份任務完成後，一律有可用的復原點。如果復原點稍後手動複製到邏輯氣隙隔離保存庫，則會根據`DELETE_AFTER_COPY`規則自動清除。

**警告**  
使用 AWS 受管金鑰加密的資源 （例如 `aws/ebs`) 不支援複製到邏輯氣隙隔離保存庫。這些資源必須使用 AWS Key Management Service 客戶受管金鑰加密或未加密。支援完整 AWS Backup 管理的資源沒有此限制。

#### 複製生命週期後刪除
<a name="lag-primary-backup-delete-after-copy"></a>

暫時復原點有一個稱為 的新生命週期屬性`DeleteAfterEvent`，值為 `DELETE_AFTER_COPY`。此屬性表示在所有複製任務完成後，或您指定的保留期之後，復原點將自動刪除，以先到者為準。

當下列所有條件都成立時，會刪除暫時復原點：
+ 所有自動和排程的複製任務都已完成。
+ 您的目標邏輯氣隙隔離保存庫有完整的複製任務，保留期至少為來源復原點。

如果您需要防止在副本進行時手動刪除暫時復原點，請考慮使用鎖定的備份保存庫作為目標備份保存庫。

#### 資源不支援完整 AWS Backup 管理的持續備份
<a name="lag-primary-backup-continuous-backup"></a>

對於 Amazon Aurora 等資源，如果您啟用連續備份， 會在備份保存庫中 AWS Backup 建立連續復原點，並拍攝臨時快照，此快照會複製到邏輯氣隙隔離保存庫。暫時快照應在複製完成後自動刪除，無論複製成功或失敗，因為您在備份文件庫中保留了持續復原點。

如果您不想在備份保存庫中為 Amazon Aurora 建立連續復原點，但希望在邏輯氣隙隔離保存庫中為 Amazon S3 建立連續復原點，則可以停用目前計畫中的連續備份 (`EnableContinuousBackup`) 設定，並從不同的計畫啟用 S3 連續。

您可以在了解 [Amazon Aurora 備份儲存用量中進一步了解 Aurora 備份儲存](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated)。

### 不支援的資源
<a name="lag-primary-backup-unsupported"></a>

如果邏輯氣隙隔離保存庫不支援資源類型，或者如果非完全受管資源使用 AWS 受管金鑰加密，則 只會在您的備份保存庫中 AWS Backup 建立備份。不會嘗試複製到邏輯氣隙隔離保存庫。備份任務已成功完成，並顯示為什麼備份未進入邏輯氣隙隔離保存庫的訊息。

## 成本考量
<a name="lag-primary-backup-cost"></a>
+ 此功能不會產生新的費用。您只需為保存庫中的儲存付費。
+ 對於支援完整 AWS Backup 管理的資源，與在備份文件庫和邏輯氣隙隔離文件庫中維護兩個備份副本相比，僅在邏輯氣隙隔離文件庫中維護備份可以大幅節省成本。
+ 對於不支援完整 AWS Backup 管理的資源，您需要支付備份文件庫中暫時復原點和邏輯氣隙隔離文件庫中復原點的費用。
  + 您仍然可以透過保留單一備份複本來節省大量成本，但這些節省可能會根據您的備份頻率和變更率而有所不同。
  + 較低的備份頻率通常可節省更多成本，因為臨時復原點佔用儲存空間的計費期間百分比較短。
  + 有些資源有最短的計費持續時間，這會增加暫時復原點的成本。
+ 如果您不使用這些 S3 功能，請在備份組態中停用標籤或 ACLs 中繼資料擷取。這可減少複製操作期間中繼資料檢查的 API 呼叫和相關費用。

## 設定邏輯氣隙隔離保存庫主要備份
<a name="lag-primary-backup-configure"></a>

您可以透過 AWS Backup 主控台 AWS CLI AWS CloudFormation、 或 備份政策，設定邏輯氣隙隔離保存庫主要 AWS Organizations 備份。

### 設定 Backup 計畫
<a name="lag-primary-backup-configure-plan"></a>

------
#### [ Console ]

**為備份計畫設定邏輯氣隙隔離保存庫主要備份**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇**備份計劃**，然後選擇**建立備份計劃**或選取要編輯的現有備份計劃。

1. 在**備份規則組態**區段中，指定您的備份規則設定。

1. 對於**備份文件庫**，請選擇備份文件庫，其中將存放暫時復原點 （對於非完全受管資源），或者如果備份無法放置在邏輯氣隙隔離文件庫中，則選擇備份文件庫將存放的位置。

1. 針對**邏輯氣隙隔離保存庫 （選用）**，選擇您要存放備份的邏輯氣隙隔離保存庫。
**注意**  
邏輯氣隙隔離保存庫必須與備份保存庫位於相同的帳戶和區域。

1. 設定剩餘的備份規則設定，包括生命週期和複製選項。

1. 選擇**建立計劃**或**儲存變更**。

------
#### [ AWS CLI ]

使用 CLI 命令[https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)建立新的計劃，或[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)更新現有的計劃，並在備份規則中包含 `TargetLogicallyAirGappedBackupVaultArn` 參數。

使用 JSON 文件建立備份計劃的範例 CLI 命令：

```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```

直接在 CLI 中建立備份計畫的範例 CLI 命令：

```
aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'
```

------

### 設定隨需備份
<a name="lag-primary-backup-configure-ondemand"></a>

------
#### [ Console ]

**為隨需備份設定邏輯氣隙隔離保存庫主要備份**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇 **Protected resources (受保護的資源)**。

1. 在**受保護的資源**頁面上，選擇**建立隨需備份**。

1. 選取您要備份的資源類型和資源 ARN。

1. 針對**備份保存庫**，選擇備份保存庫。

1. 針對**邏輯氣隙隔離保存庫 （選用）**，選擇您要存放備份的邏輯氣隙隔離保存庫。

1. 設定其餘設定，然後選擇**建立隨需備份**。

------
#### [ AWS CLI ]

使用 start-backup-job 命令搭配新`--logically-air-gapped-backup-vault-arn`參數：

```
aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35
```

------

## 監控邏輯氣隙隔離保存庫主要備份
<a name="lag-primary-backup-monitor"></a>

您可以使用 AWS Backup 主控台 AWS CLI或 Amazon EventBridge 事件來監控備份和複製任務的狀態。

### 監控備份任務
<a name="lag-primary-backup-monitor-backup-jobs"></a>

監控備份任務狀態 ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html))，以確保您的資源持續受到保護。失敗的備份任務表示未建立任何復原點。
+ **驗證復原點建立位置** - 當備份任務成功完成時，您在目標備份保存庫或目標邏輯氣隙隔離保存庫中有復原點。檢查 `BackupVaultArn` 欄位以判斷復原點的建立位置。
+ **驗證任務狀態** - 如果邏輯氣隙隔離保存庫不支援資源，則備份任務會使用 `MessageCategory` 完成，`LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED`並顯示一則狀態訊息，說明為什麼備份文件庫中會改為建立備份。
+ **驗證暫時復原點類型** - 若要檢查復原點是否為暫時，請尋找值為 的 `RecoveryPointLifecycle.DeleteAfterEvent` 欄位`DELETE_AFTER_COPY`。

### 監控複製任務
<a name="lag-primary-backup-monitor-copy-jobs"></a>

監控複製到邏輯氣隙隔離保存庫的複製任務 ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) 是否有失敗。失敗的複製任務表示您的復原點保留在您的標準備份文件庫中，沒有邏輯氣隙隔離文件庫保護。
+ **驗證複製任務狀態** - 您可以使用現有的 `Copy Job State Change` EventBridge 事件監控複製任務狀態。或者，篩選目的地保存庫 (`destinationBackupVaultArn`)，以專注於邏輯氣隙隔離保存庫複本。
+ **驗證來源復原點的複本** - 使用 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html) API 搭配新的`BySourceRecoveryPointArn`篩選條件來尋找與特定復原點相關聯的所有複製任務，包括自動複製到邏輯氣隙隔離保存庫，以及排程複製到其他目的地。
+ **確認刪除暫時復原點** - 追蹤暫時復原點刪除的完成。如果複製任務狀態為 `RUNNING`，則尚未刪除復原點。如果複製到邏輯氣隙隔離保存庫的複本具有 `FAILED`，則復原點將依照您指定的保留期間保留。

**注意**  
複製任務記錄會過期，並在完成後 30 天移除。在此期間之後，您無法使用 `ListCopyJobs` 來判斷歷史複製狀態。

### 監控復原點
<a name="lag-primary-backup-monitor-recovery-points"></a>

監控`EXPIRED`復原點 ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html))，這可能表示 AWS Backup 無法刪除復原點 （可能是因為缺少許可）。`EXPIRED`復原點可能會造成成本影響。
+ **驗證復原點狀態** - 使用現有的復原點狀態變更 EventBridge 事件來監控過期。
+ **確認刪除暫時復原點** - 如果`DeleteAfterEvent: DELETE_AFTER_COPY`尚未刪除具有 的復原點，請使用 `ListCopyJobs` API 判斷原因，如上所述。

## 加入和遷移
<a name="lag-primary-backup-onboarding"></a>

如果您目前使用複製動作將備份複製到邏輯氣隙隔離保存庫，則可以遷移到邏輯氣隙隔離保存庫主要備份，以降低成本。您也可以將現有的 Amazon S3 連續備份從備份保存庫遷移到邏輯氣隙隔離保存庫。本指南說明遷移至邏輯氣隙隔離保存庫主要備份功能所需的先決條件和步驟。

### 先決條件和最佳實務
<a name="lag-primary-backup-prerequisites"></a>

在有效使用邏輯氣隙隔離保存庫主要備份功能之前，有先決條件和建議的最佳實務。

**先決條件**  


目前，邏輯氣隙隔離保存庫做為主要備份目標，僅支援與備份資源位於相同 AWS 帳戶和 AWS 區域內的備份。邏輯氣隙隔離保存庫備份本質上存放在單獨的服務帳戶中，提供跨帳戶/跨組織隔離，而無需將副本複製到單獨的帳戶。如果您需要跨區域備份，請繼續使用邏輯氣隙隔離保存庫做為複製目的地。遷移至此功能之前，請確定您符合下列要求：
+ **區域和帳戶需求**
  + 邏輯氣隙隔離保存庫必須與資源位於相同的 AWS 帳戶和區域
+ **資源相容性**
  + 在 [資源的功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)中，確認您的資源受到邏輯氣隙隔離保存庫支援。
  + 檢查您的資源是否支援[完整 AWS Backup 管理](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)。建立氣隙隔離備份的體驗在這兩種類型的資源之間不同，即使兩者的結果相似。
+ **加密要求**
  + 不支援完整 AWS Backup 管理的資源必須未加密或使用客戶受管金鑰 (CMKs) 加密。 AWS 邏輯氣隙隔離保存庫不支援受管金鑰 (AMK) 加密的資源。

**最佳實務**  

+ 從非關鍵資源的試行遷移開始。
+ 根據複製任務效能檢閱和調整備份頻率。
+ 在完全遷移之前實作全面的監控。
+ 定期驗證預期保存庫中的復原點建立。

### 規劃您的遷移
<a name="lag-primary-backup-planning"></a>
+ 檢閱現有的備份計畫和政策。
+ 識別哪些資源支援完整 AWS Backup 管理，哪些則不支援。
  + 支援完整 AWS Backup 管理的資源 （例如 EFS、S3) - 可以直接備份到邏輯氣隙隔離保存庫
  + 不支援完整 AWS Backup 管理的資源 （例如 EC2、EBS、FSx) - 需要在備份文件庫中暫時備份，才能複製到邏輯氣隙隔離文件庫
+ 檢閱您目前的備份磁碟區和頻率，並確保您的組態符合所有不支援完整 AWS Backup 管理之資源的並行複製限制。
  + 略過此步驟 如果您已經以與標準保存庫備份相同的頻率複製到邏輯氣隙隔離保存庫。
  + 如有需要，請考慮調整備份頻率，以防止複製任務佇列。
  + 如果發生複製任務佇列，您在標準備份保存庫中仍會有可用的復原點，同時等待將副本複製到邏輯氣隙隔離保存庫。不過，該復原點不會提供邏輯氣隙隔離保存庫提供的保護層級。

### 支援完整 AWS Backup 管理遷移路徑的資源
<a name="lag-primary-backup-full-management-migration"></a>

對於全受管資源，您可以直接備份到邏輯氣隙隔離保存庫，而無需複製操作。

#### 對於快照型備份
<a name="lag-primary-backup-snapshot-migration"></a>

此程序適用於所有快照案例，無論您的備份保存庫是否已鎖定。遷移現有備份計畫或使用現有備份保存庫 （主要） 和邏輯氣隙隔離保存庫 （複製） 時，請在新的備份計畫中：

1. 維護現有的備份文件庫，或將其新增為備份目標 (`TargetBackupVaultName`)。此保存庫不會存放任何備份，但必須提供才能回溯相容。

1. 更新您的備份計劃，以包含邏輯氣隙隔離保存庫 (`TargetLogicallyAirGappedBackupVaultArn`)，該保存庫位於同一個帳戶中，作為主要目標。

1. 檢閱對另一個邏輯氣隙隔離保存庫的任何現有複製動作，以判斷是否仍然需要。如果此保存庫位於相同帳戶中，您也可以在步驟 2 中將此保存庫移動為主要目標。

#### 對於 Amazon S3 連續備份
<a name="lag-primary-backup-s3-continuous-migration"></a>

邏輯氣隙隔離保存庫作為主要備份目標，支援 Amazon S3 的連續備份。不過，在單一保存庫中，每個資源只能維持一個作用中的連續復原點。如果您有現有的作用中 Amazon S3 持續復原點，您必須先取消關聯或刪除它，才能在不同的保存庫中建立新的復原點。使用現有的作用中 Amazon S3 持續復原點，將邏輯氣隙隔離保存庫目標 （來自相同帳戶） 新增至備份計畫，會導致連續備份任務失敗。

若要將 Amazon S3 持續復原點從**解除鎖定的備份保存庫遷移至邏輯氣隙隔離保存庫**：

1. 更新您的備份計劃，將複製動作新增至邏輯氣隙隔離保存庫。這將降低您在邏輯氣隙隔離保存庫中產生初始備份的成本。如果您已複製到本機邏輯氣隙隔離保存庫，請略過此步驟。

1. 在繼續之前，請確認邏輯氣隙隔離保存庫中至少有一個快照副本已成功完成。

1. 取消現有 Amazon S3 持續復原點的關聯。呼叫 [DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) API，將復原點狀態從可用變更為 STOPPED。此動作會保留您現有的備份資料，同時停止新增新資料。

1. 更新備份計畫以新增邏輯氣隙隔離保存庫 (`TargetLogicallyAirGappedBackupVaultArn`) 作為備份目標。

1. 移除計劃中任何先前的複製動作。

1. 在下一個備份計畫執行時，將會在邏輯氣隙隔離保存庫中建立新的持續復原點。根據從步驟 1 複製的快照，此復原點將是增量的。

若要將 Amazon S3 持續復原點從**鎖定的備份保存庫遷移至邏輯氣隙隔離保存庫**：

1. 更新您的備份計劃，將複製動作新增至邏輯氣隙隔離保存庫。這將降低您在邏輯氣隙隔離保存庫中產生初始備份的成本。如果您已複製到本機邏輯氣隙隔離保存庫，請略過此步驟。

1. 在繼續之前，請確認邏輯氣隙隔離保存庫中至少有一個快照副本已成功完成。確保複製的快照具有足夠長的保留期，以保持可用狀態，直到您完成所有步驟為止。

1. 新增邏輯氣隙隔離保存庫做為主要目標，並移除任何複製動作。

   1. 此步驟是必要的，因為鎖定的保存庫不支援取消連續復原點的關聯。

   1. 鎖定備份文件庫中的現有持續復原點將繼續累積資料，直到根據其生命週期過期為止。

   1. 新的連續備份任務將會失敗，因為每個資源只能有一個作用中的連續復原點。由於這些任務失敗，因此不會執行任何複製動作。

1. 等待現有的持續復原點過期。過期後，將在邏輯氣隙隔離保存庫中建立新的持續復原點。此復原點將根據從步驟 1 複製的快照遞增，前提是快照仍存在於邏輯氣隙隔離保存庫中。

1. 標準保存庫中累積的任何資料都會在過期時遺失。只有在邏輯氣隙隔離保存庫中建立新復原點之後備份的資料才會保留。

### 不支援完整 AWS Backup 管理遷移路徑的資源
<a name="lag-primary-backup-not-full-management-migration"></a>

非完全受管資源需要對邏輯氣隙隔離保存庫進行複製操作。程序會在您的標準備份保存庫中建立暫時復原點 （可計費），自動複製到邏輯氣隙隔離保存庫，然後在複製完成後刪除。當您更新備份計畫以包含邏輯氣隙隔離保存庫目標時：
+ 備份任務會在備份文件庫中建立復原點。這具有由`DELETE_AFTER_COPY`事件指定的生命週期。
+ 複製任務會自動啟動將復原點轉移到邏輯氣隙隔離保存庫。
+ 複製成功完成後，會刪除保存庫中的暫時復原點。
+ 如果複製失敗，臨時復原點會根據您指定的保留期間保留最長期間，以確保您有可用的復原點。

## 疑難排解
<a name="lag-primary-backup-troubleshooting"></a>

### 備份或複製任務失敗，並發生生命週期不相容錯誤
<a name="lag-primary-backup-troubleshoot-lifecycle"></a>

**備份任務的錯誤：** `Backup job failed because the lifecycle is outside the valid range for backup vault.`

**複製任務的錯誤：** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`

**可能原因：**備份任務或複製任務失敗，因為保留期與邏輯氣隙隔離保存庫的最短或最長保留設定不相容。

**解決方案：**更新您的備份計畫，以指定在邏輯氣隙隔離保存庫設定的最短和最長保留期間內的保留期間。

### 連續備份任務失敗，並「已啟用連續備份」
<a name="lag-primary-backup-troubleshoot-continuous"></a>

**錯誤：**`Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`

**可能原因：**持續備份任務失敗，因為另一個保存庫中的資源已有持續復原點。

**解決方案：**每個資源只能有一個連續復原點。如果您的備份保存庫已解除鎖定，請使用 [disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) 命令取消現有持續復原點的關聯。如果您的備份保存庫已鎖定，請等待現有的持續復原點根據其生命週期過期。

### 備份任務以「問題完成」完成 - 不支援的資源類型
<a name="lag-primary-backup-troubleshoot-unsupported-resource"></a>

**訊息**：`Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`

**可能原因：**不支援的非完全受管資源的備份任務會顯示「已完成問題」，並顯示訊息指出不支援資源。

**解決方案：**不支援的資源類型只會備份到備份保存庫。如果您想要將這些備份保留在備份文件庫中，則不需要採取任何動作。如果您不想將不支援的資源與邏輯氣隙隔離保存庫混合，您可以：
+ 從這些資源的備份計畫中移除資源或邏輯氣隙隔離保存庫目標，然後繼續僅備份至備份保存庫。您之後可以將資源新增為不同計劃的一部分。

### 備份任務以「問題完成」完成 - 不支援的加密金鑰
<a name="lag-primary-backup-troubleshoot-encryption-key"></a>

**訊息**：`Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`

**可能原因：**不支援的非完全受管資源的備份任務會顯示「已完成問題」，並顯示訊息指出資源已使用 AWS 受管金鑰加密。

**解決方案：**使用受管金鑰加密的非完全 AWS 受管資源無法複製到邏輯氣隙隔離保存庫。如果您想要將這些備份保留在備份文件庫中，則不需要採取任何動作。如果您不想將不支援的資源與邏輯氣隙隔離保存庫混合，您可以：
+ 使用客戶受管 KMS 金鑰重新加密您的資源，或
+ 從這些資源的備份計畫中移除資源或邏輯氣隙隔離保存庫目標，然後繼續僅備份至備份保存庫。您之後可以將資源新增為不同計劃的一部分。

### 復原點保持 `EXPIRED` 狀態
<a name="lag-primary-backup-troubleshoot-expired-recovery-points"></a>

**可能原因：**暫時復原點會轉換為 `EXPIRED` 狀態，但不會刪除。

**Resolution：** AWS Backup 可能缺少刪除復原點的許可。確認您的備份角色具有必要的 IAM 許可。您可能需要手動刪除`expired`復原點。

### 由於高備份頻率，複製任務會排入佇列或失敗
<a name="lag-primary-backup-troubleshoot-queued-jobs"></a>

**可能原因：**將任務複製到邏輯氣隙隔離保存庫正在排入佇列或失敗，因為備份排程的頻率高於複本可以完成的頻率。

**解決方案：**降低備份頻率或調整備份排程，以允許備份之間有更多的時間。如需並行複製限制的相關資訊，請參閱[AWS Backup 配額文件](aws-backup-limits.md#lag-vault-quotas-table)。

# 邏輯氣隙隔離保存庫的多方核准
<a name="multipartyapproval"></a>



## 邏輯氣隙隔離保存庫中的多方核准概觀
<a name="multipartyapproval-overview"></a>

AWS Backup 可讓您選擇將[多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)、來自 的功能 AWS Organizations新增至邏輯氣隙隔離保存庫。多方核准提供額外的選項，以協助透過分散式核准程序保護關鍵操作。

多方核准旨在協助保護關鍵資源，並將返回完整操作的時間降至最低，例如惡意行為者或惡意軟體事件造成的中斷。此設定可協助您還原可能已洩露的邏輯氣隙隔離保存庫的內容。

整合和使用具有 AWS Backup 邏輯氣隙隔離保存庫的多方核准團隊無需額外費用 （需支付儲存和跨區域轉移費用，如[定價](https://aws.amazon.com/backup/pricing)頁面所示）。

 AWS Backup 客戶可以使用多方核准，將某些操作的核准功能授予一組信任的個人，這些人員可以協同核准從個別建立的復原帳戶存取邏輯氣隙隔離保存庫，以防可疑的惡意活動危及主要帳戶的使用。

下列步驟概述設定復原 AWS 組織、設定多方核准，以及搭配邏輯氣隙隔離保存庫使用多方核准的建議流程：

1. 管理員[會透過 Organizations 建立新的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)，以用於復原操作。

1. 在此新組織的管理帳戶中，管理員會建立和設定 IAM Identity Center (IDC) 執行個體 （若要啟用組織執行個體，請參閱《[IAM Identity Center 使用者指南》中的啟用](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) *IAM Identity Center*。另請參閱[多方核准使用者指南中的建立多方核准身分來源](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)的順序。 **

1. 然後，管理員將[建立核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)，這是信任的個人的核心群組，這些人員將是多方核准的主要使用者。

1. 管理員使用 與擁有邏輯氣隙隔離保存庫的每個帳戶以及需要請求該保存庫存取權的復原帳戶 AWS RAM [共用核准團隊](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

1. 邏輯氣隙隔離保存庫擁有帳戶的管理員[會將保存庫與核准團隊建立關聯](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)。

1. 復原帳戶[請求存取](multipartyapproval-tasks-requester.md#create-restore-access-vault)具有邏輯氣隙隔離保存庫的帳戶，該保存庫與相關聯的多方核准團隊 (「團隊」)。與帳戶相關聯的團隊[核准或拒絕請求](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 擁有邏輯氣隙隔離保存庫的 帳戶管理員可以請求[取消核准團隊與保存庫的關聯](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)。請求需要目前的團隊核准。

1. 管理員可以根據其安全實務或當人員加入或離開您的組織時，視需要[更新核准團隊成員資格](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)。

## 使用多方核准搭配邏輯氣隙隔離保存庫的先決條件和最佳實務
<a name="multipartyapproval-prerequisites"></a>

在您的邏輯氣隙隔離保存庫中有效且安全地使用多方核准之前，有先決條件和建議的最佳實務。

**最佳實務：**
+ 透過 AWS Organizations 的兩個 （或更多） 組織。一個 應該是您的主要組織，其中您有一或多個帳戶至少具有一個邏輯氣隙隔離保存庫。次要組織應該是您的復原組織。其位於此組織中，您的多方核准團隊將受到管理。

**先決條件**

1. 您已[設定多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)，且至少有一個核准團隊。

1. 主要組織中至少有一個帳戶必須具有邏輯氣隙隔離保存庫 （和原始備份保存庫）。

1. 主要組織中的管理帳戶已選擇加入多方核准。
**提示**  
AWS Backup 建議您將服務控制政策 (SCP) 套用至您的主要組織，並使用適當的許可將其設定為組織和每個核准團隊。如需範例政策，請參閱[多方核准條款](#multipartyapproval-terms)一節。

1. 來自次要 （復原） 組織的多方核准團隊會透過 與擁有邏輯氣隙隔離保存庫的帳戶 （兩個） 和您的復原帳戶[共用 AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## 使用多方核准時的跨區域考量和相依性
<a name="multipartyapproval-cross-region"></a>

當您在不同區域中啟用多方核准和 IAM Identity Center 執行個體時，多方核准會跨區域呼叫 IAM Identity Center。這表示使用者和群組資訊會跨區域移動。多方核准 團隊資源只能在 AWS 區域 美國東部 （維吉尼亞北部） 建立和存放。

 AWS 區域 參考多方核准團隊資源的其他資源將取決於 AWS 區域 美國東部 （維吉尼亞北部）。因此，如果您的 Identity Center 執行個體和/或邏輯氣隙隔離保存庫不在美國東部 （維吉尼亞北部），多方核准將會進行跨區域呼叫。

## 多方核准條款、概念和使用者角色
<a name="multipartyapproval-terms"></a>

邏輯氣隙隔離保存庫中的多方核准是 AWS Organizations、 AWS 帳戶管理和 AWS Backup，以及 AWS Identity and Access Management ( IAM) 和 AWS RAM (RAM) 功能的整合。透過 CLI，您可以與每個服務互動，以傳送適當的命令。您也可以使用 主控台，但您需要導覽至適當的服務主控台來完成特定任務。

您與多方核准的互動方式取決於您在組織中的角色和責任，以及您 AWS Backup 帳戶中的許可。

如[多方核准使用者指南](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)所示，使用多方核准的組織成員可以是***申請者***、***管理員***或***核准***者。特定許可適用於每個[任務函數](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)。根據安全最佳實務，使用者應該只完成一個任務函數。

 **主控台、入口網站和工作階段** 

AWS Backup 具有一或多個邏輯氣隙隔離保存庫的帳戶可以使用多方核准。

在多方核准程序之前，如果尚未設定次要組織，管理員會利用 AWS Organizations 建立次要組織以進行復原 (**復原組織**)。

然後，管理員利用 AWS Resource Access Manager (RAM) 來設定主要組織與復原組織之間的跨組織共用。

**主要組織**是擁有並使用邏輯氣隙隔離保存庫的帳戶所在，該保存庫存放受保護的資料。

復原組織至少有一個**復原帳戶的**所在位置。此帳戶包含存取點，可做為共用邏輯氣隙隔離保存庫的關鍵「後門」。此存取點稱為**還原存取備份文件庫**。此存取文件庫不會存放資料；而是做為可鏡射來源邏輯氣隙隔離文件庫內容的存取或掛載點，但不包含可變更或刪除的資料。例如，如果客戶在還原存取備份文件庫中經歷復原點的還原程序，則它是邏輯氣隙隔離文件庫中的復原點，透過復原帳戶透過跨帳戶還原進行還原。

為了確保額外的安全性，客戶會使用此復原帳戶在主要帳戶中執行受保護的操作，但只有在相關[核准團隊在核准工作階段中](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)核准這些操作之後。一旦傳送核准請求 AWS ，工作階段就會由 建立，當核准團隊成員的閾值核准或拒絕請求，或經過允許的工作階段時間時，該工作階段就會結束。

團隊由**核准者** （實際上是多方核准的*當事*方部分） 組成，他們會收到受保護操作請求的電子郵件通知。這些電子郵件確認請求的核准工作階段已開始。一旦達到必要的核准最低閾值，就會授予核准。此閾值可設定為建立**多方核准團隊** (「團隊」)。

多方核准團隊是透過 Organizations **多方核准入口網站** (「入口網站」) 進行管理，此 AWS 受管應用程式為身分提供一個集中的位置，核准團隊成員可以在其中接收和回應核准團隊邀請和操作請求。

# 管理員任務
<a name="multipartyapproval-tasks-administrator"></a>

涉及 AWS Backup 和多方概觀的數個任務需要具有管理許可和管理帳戶存取權的使用者。

## 建立核准團隊
<a name="create-multipartyapproval-team"></a>

組織中具有 AWS 帳戶管理員許可的使用者需要[設定多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 3)。

在執行此步驟之前，建議您透過 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 1) 設定主要組織和次要組織 AWS Organizations （用於復原目的），做為最佳實務。

請參閱*多方*[核准使用者指南中的建立核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)，以建立您的團隊。

在[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)操作期間，其中一個參數是 `policies`。這是多方核准資源政策的 ARNs (Amazon Resource Name) 清單，可定義保護團隊的許可。

程序建立[核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)中*多方核准使用者指南*範例中顯示的政策包含`["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]`具有數個必要許可的政策。

請依照下列步驟，使用 傳回可用政策的清單`mpa list-policies`：

1. 列出政策：

   ```
   aws mpa list-policies --region us-east-1
   ```

1. 列出所有政策版本：

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. 取得政策的詳細資訊：

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

展開下方以查看將建立的政策，然後透過此操作連接到您的核准團隊：

### 還原存取保存庫政策
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## 使用 共用多方核准團隊 AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

您可以使用[概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 4 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 與其他 AWS 帳戶共用多方核准團隊。

------
#### [ Console ]

**使用 共用多方核准團隊 AWS RAM**

1. 登入 [AWS RAM 主控台](https://console.aws.amazon.com/ram/home?region=us-east-1)。

1. 在導覽窗格中，選擇**資源共用**。

1. 選擇 **Create resource share (建立資源共用)**。

1. 在**名稱**欄位中，輸入資源共享的描述性名稱。

1. 在**資源類型**下，從下拉式選單中選取**多方核准團隊**。

1. 在**資源**下，選取您要共用的核准團隊。

1. 在**委託人**下，指定您要與其共用核准團隊 AWS 的帳戶。

1. 若要與特定 AWS 帳戶共用，請選取**AWS 帳戶**，然後輸入 12 位數的帳戶 IDs。

1. 若要與組織或組織單位共用，請選取**組織**或**組織單位**，然後輸入適當的 ID。

1. (*選用*) 在**標籤**下，新增您要與此資源共享建立關聯的任何標籤。

1. 選擇 **Create resource share (建立資源共用)**。

資源共用狀態一開始會顯示為 `PENDING`。一旦收件人帳戶接受邀請，狀態會變更為 `ACTIVE`。

------
#### [ CLI ]

若要 AWS RAM 透過 CLI 使用 共用多方核准團隊，請使用下列命令：

首先，識別您要共用之核准團隊的 ARN：

```
aws mpa list-approval-teams --region us-east-1
```

使用 create-resource-share 命令建立資源共用：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

若要與組織而非特定帳戶共用：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

檢查資源共享的狀態：

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

收件人帳戶將需要接受資源共享邀請：

```
aws ram get-resource-share-invitations --region us-east-1
```

在收件人帳戶中執行 以接受邀請：

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

一旦接受邀請，多方核准團隊就可以在收件人帳戶中使用。

------

AWS 提供工具來共用帳戶存取，包括透過 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)和多方存取。 [https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)當您選擇與其他帳戶共用邏輯氣隙隔離保存庫時，請考慮下列詳細資訊：


| 功能 | AWS RAM 型共用 | 多方核准型存取 | 
| --- | --- | --- | 
| 存取邏輯氣隙隔離保存庫 | RAM 共用完成後，即可存取保存庫。 | 不同帳戶的任何嘗試都必須由多方核准團隊成員的閾值核准。核准工作階段會在啟動請求的 24 小時後自動過期。 | 
| 存取移除 | 擁有邏輯氣隙隔離保存庫的帳戶可以隨時結束以 RAM 為基礎的共用。 | 只有對多方核准團隊的請求才能移除保存庫的存取權。 | 
| 跨帳戶和/或區域複製 | 目前不支援。 | 備份可以在與復原帳戶相同的 帳戶中複製，或與相同組織中的其他 帳戶複製。 | 
| 跨區域轉移帳單 |  | 跨區域傳輸費用會計入擁有還原存取備份文件庫的相同帳戶。 | 
| 建議用途 | 主要用途是資料遺失復原和還原測試。 | 主要用途適用於帳戶存取或安全疑似遭到入侵的情況。 | 
| 區域 | 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 | 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 | 
| 還原 | 所有支援的資源類型都可以從共用帳戶還原。 | 所有支援的資源類型都可以從共用帳戶還原。 | 
| 設定 | 一旦 AWS Backup 帳戶設定 RAM 共用且接收帳戶接受共用，共用就會發生。 | 共用需要管理帳戶先建立團隊，然後設定 RAM 共用。然後，管理帳戶選擇加入多方核准，並將該團隊指派給邏輯氣隙隔離保存庫。 | 
| 共用 |  共用是透過相同 AWS 組織或跨 AWS 組織的 RAM 完成。 根據「推送」模型授予存取權，其中擁有邏輯氣隙隔離保存庫的帳戶會先授予存取權。然後，另一個帳戶接受存取。  |  透過同一 AWS 組織或跨組織的 Organizations 支援的核准團隊，存取邏輯氣隙隔離保存庫。 根據 'pull' 模型授予存取權，其中接收帳戶首先請求存取，然後核准團隊授予或拒絕請求。  | 

# 申請者任務
<a name="multipartyapproval-tasks-requester"></a>

## 將多方核准團隊與邏輯氣隙隔離保存庫建立關聯
<a name="associate-multipartyapproval-team"></a>

申請者：**可存取擁有邏輯氣隙隔離保存庫之帳戶的使用者**。

您可以將多方核准團隊與邏輯氣隙隔離保存庫建立關聯，以啟用存取保存庫的協作核准 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 5)。

------
#### [ Console ]

**將多方核准團隊與邏輯氣隙隔離保存庫建立關聯**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要與 MPA 團隊建立關聯的邏輯氣隙隔離備份保存庫。

1. 在**保存庫詳細資訊**頁面上，選取**指派核准團隊**。

1. 從下拉式選單中，選取要與保存庫建立關聯的核准團隊

1. *選用* 輸入註解，說明關聯的原因。

1. 選取**傳送請求**以提交關聯請求。

如果這是第一個與保存庫相關聯的核准團隊，則該團隊將與保存庫相關聯。如果保存庫已有相關聯的團隊，請參閱[更新多方核准團隊](#update-multpartyapproval-team)以取得步驟。

------
#### [ CLI ]

使用以下列參數`associate-backup-vault-mpa-approval-team`修改的 CLI 命令 ：

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

如果這是第一個與保存庫相關聯的核准團隊，則該團隊將與保存庫相關聯。如果保存庫已有相關聯的團隊，請參閱[更新多方核准團隊](#update-multpartyapproval-team)以取得步驟。

------

## 請求存取邏輯氣隙隔離保存庫
<a name="create-restore-access-vault"></a>

申請者：**可存取復原帳戶的使用者**。

您可以請求存取另一個帳戶中邏輯氣隙隔離保存庫 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 6)。

核准團隊授予請求後， 會在您指定的復原帳戶中 AWS Backup 建立還原存取備份文件庫，讓帳戶能夠存取連線邏輯氣隙隔離文件庫中的復原點。

------
#### [ Console ]

**請求存取邏輯氣隙隔離保存庫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段

1. 選取**可透過 MPA 存取的保存庫**索引標籤

1. 選取**請求保存庫存取**。

1. 輸入您要存取之邏輯氣隙隔離保存庫的來源備份保存庫 ARN。

1. 輸入還原存取備份文件庫的選用名稱。如果您未輸入名稱， AWS Backup 會根據邏輯氣隙保存庫的名稱來指派名稱。

1. 輸入選用的請求者註解，說明存取請求的原因。

1. 選取**傳送請求**以提交存取請求。

與來源保存庫相關聯的核准團隊成員會收到電子郵件通知，以核准請求。

一旦團隊成員的所需數量 (「閾值」) 核准請求，還原存取備份文件庫將在復原帳戶中建立。

------
#### [ CLI ]

使用 `create-restore-access-backup-vault` CLI 命令：

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

與來源保存庫相關聯的 MPA 核准團隊成員會收到核准請求的通知。一旦團隊成員的所需數量 (「閾值」) 核准請求，還原存取備份文件庫將在復原帳戶中建立。

您可以使用下列方式檢查保存庫的狀態：

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## 取消多方核准團隊與邏輯氣隙疏鬆保存庫的關聯
<a name="disassociate-multipartyapproval-team"></a>

申請者：**擁有邏輯氣隙隔離保存庫的帳戶管理員**。

您可以將多方核准團隊與邏輯氣隙隔離保存庫取消關聯 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 7)。

------
#### [ Console ]

**取消核准團隊與邏輯氣隙隔離保存庫的關聯**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要與核准團隊取消關聯的邏輯氣隙隔離備份保存庫。

1. 在**保存庫詳細資訊**頁面上，選取**取消關聯核准團隊**。

1. 輸入選用的申請者註解，說明取消關聯的原因。

1. 選取**傳送請求**以提交取消關聯請求。

目前的核准團隊成員將收到核准請求的通知。

一旦獲得所需人數的團隊成員核准，團隊將與保存庫取消關聯。

------
#### [ CLI ]

使用 `disassociate-backup-vault-mpa-approval-team` CLI 命令：

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

目前的 MPA 核准團隊成員會收到核准請求的通知。一旦獲得所需人數的團隊成員核准，團隊將與保存庫取消關聯。

------

## 撤銷還原存取備份文件庫
<a name="revoke-restore-access-vault"></a>

申請者：**擁有邏輯氣隙隔離保存庫的帳戶管理員**。

您可以從來源保存庫帳戶撤銷還原存取備份保存庫的存取權。

------
#### [ Console ]

**撤銷還原存取備份文件庫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要撤銷存取權的邏輯氣隙隔離備份文件庫。

1. 在**保存庫詳細資訊**頁面上，向下捲動至**透過多方核准存取**區段。

1. 尋找您要撤銷的還原存取備份保存庫，然後選取**請求以移除保存庫存取**。

1. 輸入選用的請求者註解，說明撤銷的原因。

1. 選取**傳送請求**以提交撤銷請求。

核准團隊成員會收到核准請求的通知。

一旦獲得所需團隊成員人數的核准，還原存取備份文件庫將從復原帳戶刪除

------
#### [ CLI ]

首先，列出與您的來源保存庫相關聯的還原存取備份保存庫：

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

然後，使用 CLI 命令 `revoke-restore-access-backup-vault`：

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

核准團隊成員會收到核准請求的通知。一旦獲得所需團隊成員人數的核准，還原存取備份文件庫將從復原帳戶刪除。

------

## 更新與邏輯氣隙隔離保存庫相關聯的多方核准團隊
<a name="update-multpartyapproval-team"></a>

申請者：**擁有邏輯氣隙隔離保存庫的帳戶管理員**。

您可以更新與邏輯氣隙隔離保存庫相關聯的多方核准團隊 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 8)。

------
#### [ Console ]

**更新與邏輯氣隙隔離保存庫相關聯的核准團隊**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要更新核准團隊的邏輯氣隙隔離備份文件庫。

1. 在保存庫詳細資訊頁面上，選取**請求核准團隊變更**。

1. 從下拉式選單中，選取要與保存庫建立關聯的新核准團隊。

1. 輸入選用的申請者註解，說明變更的原因。

1. 選取**傳送請求**以提交變更請求。

目前的核准團隊成員將收到核准請求的電子郵件通知。

一旦獲得目前 MPA 團隊所需團隊成員人數 （閾值） 的核准，新團隊就會與保存庫建立關聯。

------
#### [ CLI ]

使用 CLI 命令`associate-backup-vault-mpa-approval-team`搭配新的團隊 ARN：

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

目前的核准團隊成員將收到核准請求的通知。一旦獲得目前團隊所需的團隊成員人數 （閾值） 核准，新的 MPA 團隊就會與保存庫建立關聯。

------

# 核准者任務
<a name="multipartyapproval-tasks-approver"></a>

身為多方核准團隊成員的使用者可以[核准或拒絕屬於工作階段的請求](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html)。其他任務包括：
+ [回應請求的操作](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [檢視核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [檢視操作歷史記錄](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)

# 文件庫存取政策
<a name="create-a-vault-access-policy"></a>

使用 AWS Backup，您可以將政策指派給備份保存庫及其包含的資源。指派政策可讓您執行多項任務，例如授予使用者存取權限以建立備份計劃和隨需備份，但限制他們在復原點建立後將其刪除的能力。

如需使用政策授予或限制資源存取許可的相關資訊，請參閱*《IAM 使用者指南》*中的[＜身分型政策和資源型政策＞](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。您也可以使用標籤控制存取。

您可以使用下列範例政策做為指南，在處理 AWS Backup 保存庫時限制對 資源的存取。與其他 IAM 型政策不同， AWS Backup 存取政策不支援`Action`金鑰中的萬用字元。

如需可用來識別不同資源類型復原點的 Amazon Resource Name (ARN) 清單，請參閱 [AWS Backup 資源 ARNs](access-control.md#resource-arns-table) 中的資源特定復原點 ARN。

保存庫存取政策只會控制使用者對 AWS Backup APIs存取。有些備份類型，例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照，也可以使用這些服務的 API 存取。您可以在 IAM 中建立不同的存取政策，控制對這些 API 的存取，以完全控制對備份類型的存取。

無論 AWS Backup 保存庫的存取政策為何，將`backup:CopyIntoBackupVault`拒絕 以外任何動作的跨帳戶存取；也就是說， AWS Backup 將拒絕來自與所參考資源帳戶不同的帳戶的任何其他請求。

**Topics**
+ [拒絕對備份文件庫中某資源類型的存取](#deny-access-to-ebs-snapshots)
+ [拒絕對備份文件庫的存取](#deny-access-to-a-backup-vault)
+ [拒絕對刪除備份文件庫中復原點的存取](#deny-access-to-delete-recovery-points)

## 拒絕對備份文件庫中某資源類型的存取
<a name="deny-access-to-ebs-snapshots"></a>

這項政策會拒絕對備份文件庫中所有 Amazon EBS 快照之指定 API 作業的存取。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}
```

------

## 拒絕對備份文件庫的存取
<a name="deny-access-to-a-backup-vault"></a>

這個政策可針對以備份文件庫為目標的指定 API 操作拒絕存取。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}
```

------

## 拒絕對刪除備份文件庫中復原點的存取
<a name="deny-access-to-delete-recovery-points"></a>

文件庫的存取權限及刪除當中所存放復原點的能力，都取決於您授予使用者的存取許可。

請遵循以下步驟在備份文件庫上建立以資源為基礎的存取政策，避免該備份文件庫中的任何備份遭到刪除。

**在備份文件庫上建立以資源為基礎的存取政策**

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在左側的導覽窗格中，選擇 **Backup vaults (備份文件庫)**。

1. 選擇清單中的備份文件庫。

1. 在 **Access policy (存取政策)** 區段中，貼上下列 JSON 範例。這個政策能防止任何不是委託人的使用者刪除目標備份文件庫中的復原點。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AIDA1234567890EXAMPLE",
                          "AROA1234567890EXAMPLE:my-role-session",
                          "AROA1234567890EXAMPLE:*",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

   若要允許使用其 ARN 列出 IAM 身分，請在下列範例中使用 `aws:PrincipalArn` 全域條件金鑰。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "DenyDeleteRecoveryPoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "backup:DeleteRecoveryPoint",
         "Resource": "*",
         "Condition": {
           "ArnNotEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::112233445566:role/mys3role",
               "arn:aws:iam::112233445566:user/shaheer",
               "arn:aws:iam::112233445566:root"
             ]
           }
         }
       }
     ]
   }
   ```

------

   如需取得 IAM 實體唯一 ID 的相關資訊，請參閱[《IAM 使用者指南》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id)中的*＜取得唯一識別符＞*。

   如果您想將這個政策限制為特定資源類型，而不是 `"Resource": "*"`，則可明確包含要拒絕的復原點類型。例如，將 Amazon EBS 快照變更為以下資源類型。

   ```
   "Resource": ["arn:aws:ec2::Region::snapshot/*"]
   ```

1. 選擇**連接政策**。

# AWS Backup 保存庫鎖定
<a name="vault-lock"></a>

**注意**  
AWS Backup Cohasset Associates 已評估保存庫鎖定，可用於符合 SEC 17a-4、CFTC 和 FINRA 法規的環境。如需 Vault Lock AWS Backup 如何與這些法規相關的詳細資訊，請參閱 [Cohasset Associates 合規評估。](samples/cohassetreport.zip)

AWS Backup 保存庫鎖定是備份保存庫的選用功能，可協助您提高安全性並控制備份保存庫。在合規模式下啟用鎖定且寬限期結束後，客戶、帳戶/資料擁有者或 AWS 只要包含復原點，就無法變更或刪除保存庫組態。每個保存庫都可以有一個保存庫鎖定。

AWS Backup 可確保您的備份可供您使用，直到其保留期到期為止。如果任何使用者 （包括根使用者） 嘗試刪除備份或變更鎖定保存庫中的生命週期屬性， AWS Backup 會拒絕操作。
+ 在**控管模式**下鎖定的保存庫，可以讓具有足夠 IAM 許可的使用者移除鎖定。
+ 如果保存庫中有任何復原點，則在冷靜期 (「**寬限期**」) 過期時*，就無法刪除*在**合規模式中**鎖定的保存庫。在寬限期內，您仍然可以移除保存庫鎖定並變更鎖定組態。

**警告**  
一旦寬限期到期，保存庫及其鎖定是不可變的，任何使用者或 都無法變更或刪除 AWS。在鎖定保存庫的生命週期完成之前，無法刪除其內的備份，如果您不小心，會導致持續成本。例如，請確定沒有保留期間設為「永遠」的復原點，一旦寬限期到期，這些復原點將永久保留，且無法變更或刪除。

## 保存庫鎖定模式
<a name="backup-vault-lock-modes"></a>

建立保存庫鎖定時，有兩種模式可供選擇：**治理模式**或**合規模式**。治理模式目的在僅允許擁有足夠 IAM 許可的使用者管理保存庫。治理模式會協助組織達到治理要求，確保只有指定的人員可以變更備份文件庫。合規模式則能讓備份文件庫中的保存庫 (及擴充後的內容) 不會在資料保留期結束前遭到刪除或變更。鎖定合規模式中的保存庫後，即**為不可變**，表示*無法移除*鎖定 （如果保存庫本身是空的且不包含任何復原點，則可以將其刪除）。

具有適當 IAM 許可的使用者可以管理或刪除在控管模式下鎖定的保存庫。

任何使用者或 AWS皆無法變更或刪除在合規模式下鎖定的保存庫。合規模式中的保存庫鎖定具有您在鎖定之前設定的寬限期，並且內容和保存庫鎖定變得不可變。

## 保存庫鎖定的優點
<a name="backup-vault-lock-benefits"></a>

AWS Backup 保存庫鎖定提供多種優點，包括：
+ WORM (*單寫多讀*) 組態，適用於您在備份文件庫中儲存與建立的所有備份。
+ 為備份文件庫中的備份 (復原點) 多加一層防禦，以免遭意外或惡意刪除。
+ 強制執行保留期，防止特殊權限使用者 （包括 AWS 帳戶 根使用者） 提早刪除，並符合組織的資料保護政策和程序。

## 使用主控台鎖定備份文件庫
<a name="lock-backup-vault-console"></a>

您可以使用 Backup AWS Backup 主控台將保存庫鎖定新增至保存庫。

在備份文件庫中新增保存庫鎖定：

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，尋找 **備份文件庫**。按一下 備份文件庫 下稱為 **保存庫鎖定** 的巢狀連結。

1. 在 **保存庫鎖定運作方式** 或 **保存庫鎖定** 下，按一下 **\$1 建立保存庫鎖定**。

1. 在 **保存庫鎖定詳細資訊** 窗格中，選擇您要套用鎖定的保存庫。

1. 在 **保存庫鎖定模式** 下，選擇您要鎖定保存庫的模式。如需有關選擇模式的詳細資訊，請參閱本頁前文中的[保存庫鎖定模式](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html#backup-vault-lock-modes)。

1. 請在 **保留期間** 選擇最短和最長的保留期間 (保留期間為*選用*)。如果在保存庫中建立的新備份和複製任務不符合您設定的保留期間，這些期間將不適用於保存庫中已存在的復原點。在啟用保存庫鎖定之前，保存庫中存在的復原點將遵循其先前的生命週期設定。

1. 如果您選擇 合規模式，則會顯示名為 **保存庫鎖定開始日期** 的區段。如果您選擇 控管模式，則不會顯示該區段，並且可以跳過此步驟。

   在合規模式下，保存庫鎖定有一段冷靜，是從建立保存庫鎖定到保存庫及其鎖定成為不可變且不可變更為止。您選擇的這段期間 (**稱為寬限期**)，時長必須*至少*為 3 天 (72 小時)。
**重要**  
一旦寬限期到期，保存庫及其鎖定是不可變的，任何使用者或 都無法變更或刪除 AWS。

1. 當您對組態選項感到滿意後，請按一下 **建立保存庫鎖定**。

1. 為確認您希望在所選模式下建立此鎖定，請在文字方塊中輸入 `confirm`，然後勾選確認為預期組態的方塊。

當步驟順利完成後，主控台頂端就會出現「成功」橫幅。

## 以程式設計方式鎖定備份文件庫
<a name="lock-backup-vault-cli"></a>

若要設定 AWS Backup 保存庫鎖定，請使用 API `[PutBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_PutBackupVaultLockConfiguration.html)`。要包括的參數將取決於您要使用的保存庫鎖定模式。如果您希望在控管模式下建立保存庫鎖定，**請勿包含** `ChangeableForDays`。如果包含此參數，將會在合規模式下建立保存庫鎖定。

以下是建立合規模式保存庫鎖定的 CLI 範例：

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30
```

以下是建立控管模式保存庫鎖定的 CLI 範例：

```
aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30
```

您可以設定四個選項。

1. `BackupVaultName`

   要鎖定的保存庫名稱。

1. `ChangeableForDays` (*僅*合規模式包含)

   此參數指示 AWS Backup 在**合規模式下**建立保存庫鎖定。如果想要在**控管模式**下建立鎖定，請省略此參數。

   此值是以天數表示。必須是大於 3 且小於 36,500 的數字，否則會傳回錯誤。

   從建立此保存庫鎖定起到指定的到期日為止，您可以使用 `DeleteBackupVaultLockConfiguration` 移除保存庫的保存庫鎖定。或者，您可以在此期間使用 `PutBackupVaultLockConfiguration` 變更組態。

   在此參數決定的指定日期當天和之後，備份文件庫將為不可變，且無法變更或刪除。

1. `MaxRetentionDays` *(選用)*

   這是以天數表示的數值。這是保存庫保留復原點的最長保留期間。

   您選擇的最長保留時間範圍應與組織的保留資料政策一致。如果組織指示了資料的保留期間，您可以將此值設定為該期間 (以天數為單位)。例如，財務或銀行資料可能需要保存 7 年 (約 2,557 天，隨閏年而增減)。

   如果未指定， AWS Backup Vault Lock 不會強制執行最長保留期間。如已指定，則此保存庫中，生命週期保留期間超過最長保留期間的備份和複製任務將會失敗。在建立保存庫鎖定之前已儲存於保存庫的復原點不會受到影響。您可以指定的最長保留期間為 36500 天 (約 100 年)。

1. `MinRetentionDays` (*選用*，在 CloudFormation 為必要項)

   這是以天數表示的數值。這是保存庫保留復原點的最短保留期間。建議使用組織維護資料*所需*的時間長短設定此項設定。例如，如果法規或法律要求資料至少保留七年，則以天數設定的值約為 2,557，隨閏年而增減。

   如果未指定， AWS Backup Vault Lock 不會強制執行最短保留期間。如已指定，則此保存庫中，生命週期保留期間不到最短保留期間的備份和複製任務將會失敗。在 AWS Backup 保存庫鎖定之前，已儲存在保存庫中的復原點不會受到影響。您可以指定的最短保留期間為 1 天。

## 檢閱其 AWS Backup 保存庫鎖定組態的備份保存庫
<a name="review-vault-lock-config"></a>

您可以隨時呼叫 AWS Backup `[DescribeBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)`或 `[ListBackupVaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)` APIs 來檢閱保存庫的保存庫鎖定詳細資訊。

請呼叫 `DescribeBackupVault` 並檢查 `Locked` 屬性，確定是否已將保存庫鎖定套用至備份文件庫。如下列範例所示`"Locked": true`，您已將保存 AWS Backup 庫鎖定套用至備份保存庫。

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}
```

上述輸出會確認下列選項：

1. `Locked` 是一種布林值，指出您是否已將保存 AWS Backup 庫鎖定套用至此備份保存庫。 `True`表示 AWS Backup 保存庫鎖定會導致保存庫中存放的復原點的刪除或更新操作失敗 （無論您是否仍在冷靜寬限期）。

1. `LockDate` 是冷靜寬限期結束的 UTC 日期與時間。在此時間之後，您即無法刪除或變更此保存庫的鎖定。使用任何可公開取得的時間轉換器將此字串轉換成您的當地時間。

如果是 `"Locked":false`，與以下範例一樣，即表示您尚未套用保存庫鎖定 (或已刪除之前的鎖定)。

```
{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}
```

## 在寬限期內移除保存庫鎖定 (合規模式)
<a name="delete-vault-lock"></a>

若要使用 AWS Backup 主控台在寬限期 （鎖定保存庫後但在您 之前的時間`LockDate`) 刪除保存庫鎖定，

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在左側導覽的 **我的帳戶** 下，按一下 備份文件庫，再按一下 備份 Vault Lock。

1. 按一下您想要移除的保存庫鎖定，再按一下 **管理保存庫鎖定**。

1. 按一下 **刪除保存庫鎖定**。

1. 隨即會出現一個警告方塊，要求您確認是否刪除該保存庫鎖定。在文字方塊中輸入 `confirm`，然後按一下 **確認**。

順利完成所有步驟後，主控台畫面頂端就會顯示「成功」橫幅。

若要使用 CLI 命令在寬限期內刪除保存庫鎖定，請使用 `[DeleteBackupVaultLockConfiguration](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVaultLockConfiguration.html)`，如以下 CLI 範例所示：

```
aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock
```

## AWS 帳戶 使用鎖定的保存庫關閉
<a name="close-account-with-locked-vault"></a>

當您關閉包含備份保存庫 AWS 帳戶 的 時， AWS 並 AWS Backup 暫停您的帳戶 90 天，且備份保持不變。如果您在這 90 天內未重新開啟帳戶， AWS Backup 會 AWS 刪除備份保存庫的內容，即使已設定保存庫鎖定。

## 其他安全考慮事項
<a name="using-vault-lock-with-backup"></a>

AWS Backup Vault Lock 為您的資料保護防禦增加多一層安全性。保存庫鎖定可與下列其他安全功能合併：
+ [加密復原點](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [AWS Backup 保存庫和復原點存取政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)，可讓您在保存庫層級授予或拒絕許可，
+ [AWS Backup 安全最佳實務](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html)，包括其[客戶受管政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)的程式庫，可讓您授予或拒絕 AWS 受支援服務的備份和還原許可，以及
+ [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html)，可讓您根據定義的[控制項清單](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html)，自動執行備份的合規檢查。

  您可以使用 AWS Backup Audit Manager 透過 [使用 AWS Backup API 建立架構](creating-frameworks-api.md) 來控制 [資源位於具有保存 AWS Backup 庫鎖定的備份計畫中](controls-and-remediation.md#backup-vault-lock-control)，以協助確保預期資源受到保存庫鎖定的保護。
+ 使資源處於非作用中狀態的機制可能會影響還原資源的能力。雖然仍然無法在鎖定的保存庫中刪除它們，但它們可以處於作用中以外的狀態。例如，可讓您[停用 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html) 的 Amazon Elastic Compute Cloud 設定可能會暫時封鎖還原 EC2 執行個體備份的功能。這會影響所有 EC2 復原點，甚至是受保存庫鎖定或法務保存影響的備份。

  如果停用 EC2 備份，您可以[重新啟用已停用的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami)。重新啟用後，即可還原。若要封鎖 AMI 停用功能，您可以使用 IAM 政策來不允許 `ec2:DisableImage`。

**注意**  
AWS Backup 保存庫鎖定與 [Amazon Glacier 保存庫鎖定](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html)功能不同，此功能僅與 Amazon Glacier 相容。