As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Cofre logicamente isolado
## Visão geral dos cofres logicamente isolados
AWS Backup oferece um tipo secundário de cofre que pode armazenar backups em um contêiner com recursos de segurança adicionais. Um cofre **logicamente isolado é um cofre** especializado que oferece maior segurança além de um cofre de backup padrão, bem como a capacidade de compartilhar o acesso ao cofre com outras contas para que os objetivos de tempo de recuperação (RTOs) possam ser mais rápidos e flexíveis no caso de um incidente que exija restauração rápida de recursos.
[Logicamente, os cofres isolados vêm equipados com recursos de proteção adicionais; cada cofre é criptografado com uma chave própria (padrão) ou, opcionalmente, com [AWS uma chave](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) KMS gerenciada pelo cliente, e cada cofre é equipado com o modo de conformidade do Vault Lock.AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) As informações do tipo de chave de criptografia são visíveis por meio AWS Backup APIs de um console para relatórios de transparência e conformidade.
Você pode integrar seus cofres logicamente isolados com [aprovação multipartidária](multipartyapproval.md) (MPA) para permitir a recuperação de backups nos cofres mesmo se a conta proprietária do cofre estiver inacessível, o que ajuda a manter a continuidade dos negócios. [Além disso, você pode optar pela integração com [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) para compartilhar um cofre logicamente isolado com outras AWS contas (incluindo contas em outras organizações) para que os backups armazenados no cofre possam ser restaurados a partir de uma conta com a qual o cofre está compartilhado, se necessário para recuperação de perda de dados ou testes de restauração.](restore-testing.md) Como parte dessa segurança adicional, um cofre logicamente isolado armazena seus backups em uma conta de propriedade do AWS Backup serviço (o que resulta em backups mostrados como compartilhados fora de sua organização em itens de atributos de modificação nos registros). AWS CloudTrail
[No cenário em que sua conta proprietária de um cofre logicamente isolado é fechada (maliciosamente ou não), você ainda pode acessar os backups no cofre (restaurá-los ou copiá-los) via MPA até que o período pós-fechamento termine.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) Depois que o período pós-encerramento expirar, os backups não estarão mais acessíveis. Durante o período pós-encerramento, você pode consultar a [documentação de gerenciamento de AWS contas](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) para recuperar o controle de sua conta enquanto trabalha na recuperação.
Para maior resiliência, recomendamos criar cópias entre regiões em cofres logicamente isolados na mesma conta ou em contas separadas. No entanto, se quiser reduzir os custos de armazenamento mantendo apenas uma única cópia, você pode usar os [backups primários em cofres logicamente isolados, após a integração com o MPA.](lag-vault-primary-backup.md) AWS
Você pode ver os preços de armazenamento para backups de serviços compatíveis em um cofre logicamente isolado na página de [preços do AWS Backup](https://aws.amazon.com/backup/pricing/).
Consulte [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) para obter os tipos de recursos que você pode copiar para um cofre logicamente isolado.
**Topics**
+ [Visão geral dos cofres logicamente isolados](#lag-overview)
+ [Caso de uso para cofres logicamente isolados](#lag-usecase)
+ [Comparar e contrastar com um cofre de backup padrão](#lag-compare-and-contrast)
+ [Criar um cofre logicamente isolado](#lag-create)
+ [Visualizar detalhes de um cofre logicamente isolado](#lag-view)
+ [Criação de backups em um cofre logicamente isolado](#lag-creation)
+ [Compartilhar um cofre logicamente isolado](#lag-share)
+ [Restaurar um backup de um cofre logicamente isolado](#lag-restore)
+ [Excluir um cofre logicamente isolado](#lag-delete)
+ [Opções de programação adicionais para cofres logicamente isolados](#lag-programmatic)
+ [Entendendo os tipos de chaves de criptografia para cofres logicamente isolados](#lag-encryption-key-types)
+ [Uso da chave de propriedade do serviço](#lag-service-owned-key)
+ [Considerações sobre a remediação automática de segurança](#lag-security-auto-remediation)
+ [Solucionar um problema de cofre logicamente isolado](#lag-troubleshoot)
+ [Backups principais em cofres logicamente isolados](lag-vault-primary-backup.md)
+ [Aprovação multilateral para cofres logicamente isolados](multipartyapproval.md)
## Caso de uso para cofres logicamente isolados
Um cofre logicamente isolado é um cofre secundário que serve como parte de uma estratégia de proteção de dados. Esse cofre pode ajudar a aprimorar sua retenção e recuperação organizacionais quando você quer um cofre para seus backups que
+ Seja configurado automaticamente com um bloqueio de cofre no [modo de conformidade](vault-lock.md)
+ Por padrão, oferece criptografia com uma AWS chave própria. Opcionalmente, você pode fornecer uma chave gerenciada pelo cliente
+ Contém backups que, por meio de AWS RAM ou MPA, podem ser compartilhados e restaurados a partir de uma conta diferente daquela que criou o backup
**Considerações e limitações**
+ Os clusters Amazon Aurora, Amazon DocumentDB e Amazon Neptune não criptografados não são compatíveis com cofres logicamente isolados, pois não oferecem suporte à criptografia de snapshots de clusters de banco de dados não criptografados.
+ O Amazon EC2 oferece [EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Allowed. AMIs Se essa configuração estiver ativada em sua conta, adicione o alias `aws-backup-vault` à sua lista de permissões.
Se esse alias não for incluído, ocorrerá uma falha nas operações de cópia de um cofre logicamente isolado para um cofre de backup e nas operações de restauração de instâncias do EC2 com base em um cofre logicamente isolado e será exibida uma mensagem de erro como “Não foi possível encontrar a AMI de origem ami-xxxxxx na região”.
+ O ARN (Amazon Resource Name) de um ponto de recuperação armazenado em um cofre logicamente isolado substituirá `backup` pelo tipo de recurso subjacente. Por exemplo, se o ARN original começar com `arn:aws:ec2:{{region}}::image/ami-*`, o ARN do ponto de recuperação no cofre logicamente isolado será `arn:aws:backup:{{region}}:{{account-id}}:recovery-point:*`.
Você pode usar o comando [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html) da CLI para determinar a criptografia de SSL.
## Comparar e contrastar com um cofre de backup padrão
Um **cofre de backup** é o tipo principal e padrão de cofre usado no AWS Backup. Cada backup é armazenado em um cofre de backup quando o backup é criado. Você pode atribuir políticas baseadas em recursos para gerenciar backups armazenados no cofre, como o ciclo de vida dos backups armazenados no cofre.
Um **cofre logicamente isolado** é um cofre especializado com segurança adicional e compartilhamento flexível para um tempo de recuperação (RTO) mais rápido. Esse cofre armazena backups primários ou cópias de backups que foram inicialmente criados e armazenados em um cofre de backup padrão.
Os cofres de backup são criptografados com uma chave, um mecanismo de segurança que limita o acesso aos usuários pretendidos. Essas chaves podem ser gerenciadas ou AWS gerenciadas pelo cliente. Consulte [Criptografia de cópia](encryption.md#copy-encryption) para ver o comportamento de criptografia durante trabalhos de cópia, incluindo a cópia em um cofre logicamente isolado.
Além disso, um cofre de backup pode ser ainda mais protegido por um bloqueio de cofre. Os cofres logicamente isolados são equipados com um bloqueio de cofre no modo de conformidade.
[Semelhantes aos cofres de backup, os cofres com lacunas lógicas também oferecem suporte a tags restritas para backups do Amazon EC2.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)
| Recurso | Cofre de backup | Cofre logicamente isolado |
| --- | --- | --- |
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | Você pode usar o AWS Backup Audit Manager [Controles e remediação](controls-and-remediation.md) para monitorar seus cofres de backup. | Garanta que um backup de um recurso específico seja armazenado em [pelo menos um cofre logicamente isolado](controls-and-remediation.md#resources-in-lag-vault-control) de acordo com um cronograma determinado por você, além dos controles disponíveis nos cofres padrão. |
| [Faturamento](https://aws.amazon.com/backup/pricing/) | As cobranças de armazenamento e transferência de dados para recursos totalmente gerenciados pelo AWS Backup ocorrem no "AWS Backup". Outras cobranças de transferência de dados e armazenamento de tipos de recursos ocorrerão em seus respectivos serviços.
Por exemplo, os backups do Amazon EBS serão exibidos em "Amazon EBS"; os backups do Amazon S3 serão exibidos em "AWS Backup". | Todas as cobranças desses cofres (armazenamento ou transferência de dados) ocorrem no "AWS Backup". |
| [Regiões](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | Disponível em todas as regiões em que AWS Backup opera | Disponível na maioria das regiões suportadas pelo AWS Backup. Atualmente, não está disponível na Ásia-Pacífico (Malásia), Oeste do Canadá (Calgary), México (Central), Ásia-Pacífico (Tailândia), Ásia-Pacífico (Taipei), Ásia-Pacífico (Nova Zelândia), China (Pequim), China (Ningxia), (Leste dos EUA) ou (Oeste dos EUA) AWS GovCloud . AWS GovCloud |
| [Recursos](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | Pode armazenar cópias de backups para a maioria dos tipos de recursos que oferecem suporte à cópia entre contas. | Consulte a coluna do cofre logicamente isolado em [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) para saber quais recursos podem ser copiados para esse cofre. |
| [ Restaurar](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | Os backups podem ser restaurados pela mesma conta proprietária do cofre. | Os backups podem ser restaurados por uma conta diferente daquela que é proprietária do backup, se o cofre for compartilhado com essa conta separada. |
| [Segurança](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | Opcionalmente, pode ser criptografado com uma chave (gerenciada pelo cliente ou gerenciada pela AWS )
Opcionalmente, pode usar um bloqueio de cofre no modo de conformidade ou governança | Pode ser criptografado com uma [AWS chave própria](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) ou uma chave gerenciada pelo cliente
Está sempre bloqueado com um [bloqueio de cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) no modo de conformidade
As informações do tipo de chave de criptografia são preservadas e visíveis quando os cofres são compartilhados por meio AWS RAM de ou MPA |
| [Compartilhamento](#lag-share) | O acesso pode ser gerenciado por meio de políticas e pelo [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html)
Não compatível com AWS RAM | Opcionalmente, pode ser compartilhado entre contas usando o [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) |
## Criar um cofre logicamente isolado
Você pode criar um cofre logicamente isolado por meio do AWS Backup console ou por meio de uma combinação de comandos da CLI. AWS Backup AWS RAM
Cada cofre logicamente isolado vem equipado com um bloqueio de cofre no modo de conformidade. Consulte [AWS Backup Fechadura do cofre](vault-lock.md) para ajudar a determinar os valores do período de retenção mais apropriados para sua operação
------
#### [ Console ]
**Criar um cofre logicamente isolado no console**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação, selecione **Configurações**.
1. Os dois tipos de cofres serão exibidos. Selecione **Criar cofre**.
1. Insira um nome para o cofre de backup. Você pode nomear o cofre para refletir o que será armazenado nele ou para facilitar a pesquisa de backups necessários. Por exemplo, você pode nomeá-lo como: `FinancialBackups`.
1. Selecione o botão de opção para um **cofre logicamente isolado**.
1. *(Opcional)* Escolha uma chave de criptografia. Você pode selecionar uma chave KMS gerenciada pelo cliente para obter controle adicional sobre a criptografia ou usar a chave AWS de propriedade padrão (recomendada).
1. Defina o **período mínimo de retenção**.
Esse valor (em dias, meses ou anos) é o menor tempo em que um backup poderá ser retido nesse cofre. Backups com períodos de retenção menores que esse valor não poderão ser copiados nesse cofre.
O valor mínimo permitido é `7` dias. Os valores para meses e anos atendem a esse mínimo.
1. Defina o **período máximo de retenção**.
Esse valor (em dias, meses ou anos) é a maior quantidade de tempo que um backup poderá ser retido nesse cofre. Backups com períodos de retenção maiores que esse valor não poderão ser copiados nesse cofre.
1. *(Opcional)* Defina a **chave de criptografia**.
Especifique a chave a ser usada com seu cofre. Você pode escolher uma **chave AWS própria (gerenciada por AWS Backup)** ou inserir o ARN de uma **chave gerenciada pelo cliente** que, de preferência, pertença a uma conta diferente à qual você tenha acesso. AWS Backup recomenda o uso de AWS uma chave própria.
1. *(Opcional)* Adicione tags que ajudarão você a pesquisar e identificar seu cofre logicamente isolado. Por exemplo, você pode adicionar uma tag `BackupType:Financial`.
1. Selecione **Criar cofre**.
1. Reveja as configurações. Se todas as configurações forem exibidas conforme pretendido, selecione **Criar um cofre logicamente isolado**.
1. O console levará você à página de detalhes do novo cofre. Verifique se os detalhes do cofre estão conforme o esperado.
1. Selecione **Cofres** para ver os cofres em sua conta. Seu cofre logicamente isolado será exibido. A chave do KMS estará disponível aproximadamente em 1 a 3 minutos após a criação do cofre. Atualize a página para ver a chave associada. Quando a chave estiver visível, o cofre estará em um estado disponível e poderá ser usado.
------
#### [ AWS CLI ]
Criar um cofre logicamente isolado da CLI
Você pode usar AWS CLI para realizar operações de forma programática em cofres logicamente isolados. Cada CLI é específica para o AWS serviço em que se origina. Os comandos relacionados ao compartilhamento são prefixados com `aws ram`. Todos os outros comandos devem ser prefixados com `aws backup`.
Use o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html) da CLI para definir os parâmetros a seguir:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name {{sampleName}} // required
--min-retention-days {{7}} // required Value must be an integer 7 or greater
--max-retention-days {{35}} // required
--encryption-key-arn {{arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012}} // optional
--creator-request-id {{123456789012-34567-8901}} // optional
```
O `--encryption-key-arn` parâmetro opcional permite que você especifique uma chave KMS gerenciada pelo cliente para a criptografia do cofre. Se não for fornecido, o cofre usará uma chave AWS própria.
Exemplo de comando da CLI para criar um cofre logicamente isolado:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```
Exemplo de comando CLI para criar um cofre logicamente isolado com criptografia gerenciada pelo cliente:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```
Consulte os [elementos de resposta CreateLogicallyAirGappedBackupVault da API](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html) para obter informações após a operação de criação. Se a operação for bem-sucedida, o novo cofre logicamente isolado terá o de. VaultState `CREATING`
Quando a criação for concluída e a chave criptografada do KMS tiver sido atribuída, ela VaultState fará a transição para o. `AVAILABLE` Uma vez disponível, o cofre pode ser usado. O `VaultState` pode ser recuperado chamando [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html) ou [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html).
------
## Visualizar detalhes de um cofre logicamente isolado
Você pode ver os detalhes do cofre, como resumo, pontos de recuperação, recursos protegidos, compartilhamento de contas, política de acesso e tags, por meio do AWS Backup console ou da AWS Backup CLI.
------
#### [ Console ]
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação esquerdo, selecione **Pilhas**.
1. **Abaixo das descrições dos cofres, haverá três listas: cofres **criados por essa conta, cofres compartilhados por** **meio de RAM e cofres acessíveis por meio** de aprovação de várias partes.** Selecione a guia desejada para ver os cofres.
1. Em **Nome do cofre**, clique no nome do cofre para abrir a página de detalhes. Você poderá ver o resumo, os pontos de recuperação, os recursos protegidos, o compartilhamento da conta, a política de acesso e os detalhes da tag.
Os detalhes são exibidos dependendo do tipo de conta: contas que possuem um cofre podem ver o compartilhamento da conta; contas que não possuem um cofre não poderão ver o compartilhamento da conta. Para cofres compartilhados, o tipo de chave de criptografia (chave KMS AWS de propriedade ou gerenciada pelo cliente) é exibido no resumo do cofre.
------
#### [ AWS CLI ]
Ver os detalhes de um cofre logicamente isolado por meio da CLI
O comando da CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html) pode ser usado para obter os detalhes de um cofre. O parâmetro `backup-vault-name` é obrigatório, mas `region` é opcional.
```
aws backup describe-backup-vault
--region {{us-east-1}}
--backup-vault-name {{testvaultname}}
```
Exemplo de resposta:
```
{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```
**nota**
O `VaultType` campo não está incluído na resposta da API em regiões onde cofres logicamente isolados não estão disponíveis.
------
## Criação de backups em um cofre logicamente isolado
Logicamente, cofres isolados podem ser um destino de trabalho de cópia em um plano de backup ou um alvo para um trabalho de cópia sob demanda. Ele também pode ser usado como destino principal de backup. Consulte [Backups primários em cofres logicamente isolados](lag-vault-primary-backup.md).
**Criptografia compatível**
Um trabalho de cópia bem-sucedido de um cofre de backup para um cofre logicamente isolado requer uma chave de criptografia que é determinada pelo tipo de recurso que está sendo copiado.
Quando você cria ou copia um backup de um [tipo de recurso totalmente gerenciado](backup-feature-availability.md#features-by-resource), o recurso de origem pode ser criptografado por uma chave gerenciada pelo cliente ou por uma chave AWS gerenciada.
Quando você cria ou copia um backup de outros tipos de recursos (aqueles [não totalmente gerenciados](backup-feature-availability.md#features-by-resource)), a fonte deve ser criptografada com uma chave gerenciada pelo cliente. AWS chaves gerenciadas para recursos não totalmente gerenciados não são suportadas.
**Crie ou copie backups para um cofre logicamente isolado por meio de um plano de backup**
Você pode copiar um backup (ponto de recuperação) de um cofre de backup padrão para um cofre logicamente isolado [criando um novo plano de backup ou atualizando um](creating-a-backup-plan.md) [existente no AWS Backup console ou por meio dos](updating-a-backup-plan.md) comandos e. AWS CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) Você também pode criar backups diretamente em um cofre logicamente isolado, usando-o como alvo principal. Consulte [Backups primários em cofres logicamente isolados para obter](lag-vault-primary-backup.md) mais detalhes.
Você pode copiar um backup de um cofre logicamente isolado para outro cofre logicamente isolado sob demanda (esse tipo de backup não pode ser programado em um plano de backup). Você pode copiar um backup de um cofre logicamente isolado para um cofre de backup padrão, desde que a cópia seja criptografada com uma chave gerenciada pelo cliente.
**Cópia de backup sob demanda para um cofre logicamente isolado**
Para criar uma cópia única [sob demanda](recov-point-create-on-demand-backup.md) de um backup em um cofre logicamente isolado, você pode copiar de um cofre de backup padrão. Cópias entre regiões ou entre contas estarão disponíveis se o tipo de recurso for compatível com o tipo de cópia.
**Disponibilidade de cópias**
Uma cópia de um backup pode ser criada a partir da conta à qual o cofre pertence. As contas com as quais o cofre foi compartilhado têm a capacidade de visualizar ou restaurar um backup, mas não de criar uma cópia.
Somente [tipos de recursos que oferecem suporte à cópia entre regiões ou entre contas](backup-feature-availability.md#features-by-resource) podem ser incluídos.
------
#### [ Console ]
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação esquerdo, selecione **Pilhas**.
1. Na página de detalhes do cofre, todos os pontos de recuperação dentro desse cofre serão exibidos. Coloque uma marca de seleção ao lado do ponto de recuperação que você deseja copiar.
1. Em seguida, escolha **Ações** e selecione **Editar** no menu suspenso.
1. Na próxima tela, insira os detalhes do destino.
1. Especifique a região de destino.
1. O menu suspenso do cofre de backup de destino exibirá os cofres de destino elegíveis. Selecione um com o tipo `logically air-gapped vault`
1. Selecione **Copiar** quando todos os detalhes estiverem definidos de acordo com suas preferências.
Na página **Trabalhos** no console, você poderá selecionar trabalhos de **Cópia** para ver os trabalhos de cópia atuais.
------
#### [ AWS CLI ]
Use [start-copy-job](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_StartCopyJob.html) para copiar um backup existente em um cofre de backup para um cofre logicamente isolado.
Exemplo de entrada da CLI:
```
aws backup start-copy-job
--region {{us-east-1}}
--recovery-point-arn {{arn:aws:resourcetype:region::snapshot/snap-12345678901234567}}
--source-backup-vault-name {{sourcevaultname}}
--destination-backup-vault-arn {{arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname}}
--iam-role-arn {{arn:aws:iam::123456789012:role/service-role/servicerole}}
```
------
Para obter mais informações, consulte [Copiar um backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html), [Backup entre regiões](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html) e [Backup entre contas](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html).
## Compartilhar um cofre logicamente isolado
Você pode usar AWS Resource Access Manager (RAM) para compartilhar um cofre logicamente isolado com outras contas que você designar. Ao compartilhar cofres, as informações do tipo de chave de criptografia (chave KMS AWS de propriedade ou gerenciada pelo cliente) são preservadas e visíveis para as contas com as quais o cofre é compartilhado.
Um cofre pode ser compartilhado com uma conta em sua organização ou com uma conta em outra organização. O cofre não pode ser compartilhado com uma organização inteira, somente com contas dentro da organização.
Somente as contas com privilégios do IAM específicos podem compartilhar e gerenciar o compartilhamento de cofres.
Para compartilhar usando AWS RAM, verifique se você tem o seguinte:
+ Duas ou mais contas que podem acessar AWS Backup
+ O cofre pertencente à conta que pretende compartilhar tem as permissões da RAM necessárias. A permissão `ram:CreateResourceShare` é necessária para esse procedimento. A política `AWSResourceAccessManagerFullAccess` contém todas as permissões necessárias relacionadas à RAM:
+ `backup:DescribeBackupVault`
+ `backup:DescribeRecoveryPoint`
+ `backup:GetRecoveryPointRestoreMetadata`
+ `backup:ListProtectedResourcesByBackupVault`
+ `backup:ListRecoveryPointsByBackupVault`
+ `backup:ListTags`
+ `backup:StartRestoreJob`
+ Pelo menos um cofre logicamente isolado
------
#### [ Console ]
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação esquerdo, selecione **Pilhas**.
1. Abaixo das descrições dos cofres, haverá duas listas: **Cofres de propriedade dessa conta** e **Cofres compartilhados com essa conta**. Os cofres pertencentes à conta podem ser compartilhados.
1. Em **Nome do cofre**, selecione o nome do cofre logicamente isolado para abrir a página de detalhes.
1. O painel de **Compartilhamento de contas** mostra com quais contas o cofre está sendo compartilhado.
1. Para começar a compartilhar com outra conta ou editar as contas que já estão sendo compartilhadas, selecione **Gerenciar compartilhamento**.
1. O AWS RAM console é aberto quando a opção **Gerenciar compartilhamento** é selecionada. Para ver as etapas para compartilhar um recurso usando AWS RAM, consulte [Como criar um compartilhamento de recursos na AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *Guia do usuário da AWS RAM*.
1. A conta convidada a aceitar um convite para receber um compartilhamento tem 12 horas para aceitar o convite. Consulte [Aceitar e rejeitar convites de compartilhamento de recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) no *Guia do usuário do AWS RAM*.
1. Se as etapas de compartilhamento forem concluídas e aceitas, a página de resumo do cofre será exibida em **Compartilhamento de conta = “Compartilhado - veja a tabela de compartilhamento de conta abaixo**”.
------
#### [ AWS CLI ]
AWS RAM usa o comando CLI. `create-resource-share` O acesso a esse comando só está disponível para contas com permissões suficientes. Consulte [Criar um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) para ver as etapas da CLI.
As etapas de 1 a 4 são conduzidas com a conta proprietária do cofre logicamente isolado. As etapas 5 a 8 são conduzidas com a conta com a qual o cofre logicamente isolado será compartilhado.
1. Faça login na conta proprietária OU solicite que um usuário em sua organização com credenciais suficientes para acessar a conta de origem conclua essas etapas.
1. Se um compartilhamento de recursos foi criado anteriormente e você deseja adicionar um recurso adicional a ele, use `associate-resource-share` da CLI em vez disso com o ARN do novo cofre.
1. Obtenha as credenciais de uma função com permissões suficientes para compartilhar via RAM. [Insira-as na CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new).
1. A permissão `ram:CreateResourceShare` é necessária para esse procedimento. A política [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess)contém todas as permissões relacionadas à RAM.
1. Use [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html).
1. Inclua o ARN do cofre logicamente isolado.
1. Exemplo de entrada:
```
aws ram create-resource-share
--name {{MyLogicallyAirGappedVault}}
--resource-arns arn:aws:backup:us-east-1:{{123456789012}}:backup-vault:{{test-vault-1}}
--principals {{123456789012}}
--region us-east-1
```
1. Resultado do exemplo:
```
{
"resourceShare":{
"resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name":"MyLogicallyAirGappedVault",
"owningAccountId":"123456789012",
"allowExternalPrincipals":true,
"status":"ACTIVE",
"creationTime":"2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
}
}
```
1. Copie o ARN do compartilhamento de recursos no resultado (que é necessário para as etapas subsequentes). Forneça o ARN ao operador da conta que você está convidando para receber o compartilhamento.
1. Obter o ARN do compartilhamento de recursos
1. Se você não executou as etapas de 1 a 4, obtenha-as resourceShareArn de quem as executou.
1. Exemplo: `arn:aws:ram:us-east-1:{{123456789012}}:resource-share/{{12345678-abcd-09876543}}`
1. Na CLI, assuma as credenciais da conta destinatária.
1. Receba um convite para compartilhar recursos com [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html). Para obter mais informações, consulte [Aceitar e rejeitar convites](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) no *Guia do usuário do AWS RAM *.
1. Aceite o convite na conta de destino (recuperação).
1. Use [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (também é possível usar [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)).
Você pode usar os comandos da AWS RAM CLI para visualizar itens compartilhados:
+ Recursos que você compartilhou:
`aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ Mostrar a entidade principal:
`aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ Recursos compartilhados por outras contas:
`aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`
------
## Restaurar um backup de um cofre logicamente isolado
Você pode restaurar um backup armazenado em um cofre logicamente isolado de uma conta proprietária do cofre ou de qualquer conta com a qual o cofre seja compartilhado.
Consulte [Restaurar um backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) para obter informações sobre como restaurar um ponto de recuperação por meio do console do AWS Backup .
Depois que um backup for compartilhado de um cofre logicamente isolado na sua conta, você poderá usar [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html) para restaurar o backup.
Um exemplo de entrada da CLI pode incluir os seguintes parâmetros e comando:
```
aws backup start-restore-job
--recovery-point-arn {{arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID}}
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```
## Excluir um cofre logicamente isolado
Consulte [excluir um cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault). Os cofres não poderão ser excluídos se ainda contiverem backups (pontos de recuperação). Certifique-se de que o cofre não tenha nenhum backup antes de iniciar uma operação de exclusão.
A exclusão de um cofre também exclui a chave associada ao cofre sete dias após a exclusão do cofre, de acordo com a política de exclusão de chaves.
O exemplo de comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) da CLI pode ser usado para excluir um cofre.
```
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name {{testvaultname}}
```
## Opções de programação adicionais para cofres logicamente isolados
O comando [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) da CLI pode ser modificado para listar todos os cofres de propriedade e presentes na conta:
```
aws backup list-backup-vaults
--region us-east-1
```
Para listar apenas os cofres logicamente isolados, adicione o parâmetro
```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```
Inclua o parâmetro `by-shared` para filtrar a lista retornada de cofres para mostrar somente cofres logicamente isolados compartilhados. A resposta incluirá informações do tipo de chave de criptografia para cada cofre compartilhado.
```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```
Exemplo de resposta mostrando informações sobre o tipo de chave de criptografia:
```
{
"BackupVaultList": [
{
"BackupVaultName": "shared-logically air-gapped-vault",
"BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30
}
]
}
```
**nota**
O `VaultType` campo não está incluído na resposta da API em regiões onde cofres logicamente isolados não estão disponíveis.
## Entendendo os tipos de chaves de criptografia para cofres logicamente isolados
Os cofres logicamente isolados suportam diferentes tipos de chaves de criptografia, e essas informações são visíveis por meio de um console. AWS Backup APIs Quando os cofres são compartilhados por meio do AWS RAM ou MPA, as informações do tipo de chave de criptografia são preservadas e tornadas visíveis para as contas com as quais o cofre é compartilhado. Essa transparência ajuda você a entender a configuração de criptografia dos cofres e a tomar decisões informadas sobre as operações de backup e restauração.
### Valores do tipo de chave de criptografia
O `EncryptionKeyType` campo pode ter os seguintes valores:
+ `AWS_OWNED_KMS_KEY`- O cofre é criptografado com uma chave AWS própria. Esse é o método de criptografia padrão para cofres logicamente isolados quando nenhuma chave gerenciada pelo cliente é especificada.
+ `CUSTOMER_MANAGED_KMS_KEY`- O cofre é criptografado com uma chave KMS gerenciada pelo cliente que você controla. Essa opção fornece controle adicional sobre chaves de criptografia e políticas de acesso.
**nota**
AWS O Backup recomenda o uso AWS de chaves próprias com cofres logicamente fechados.
Se a política da sua organização exigir o uso de uma chave gerenciada pelo cliente, AWS não é recomendável usar chaves da mesma conta, exceto para testes. Para cargas de trabalho de produção, use uma chave gerenciada pelo cliente de outra conta em uma organização secundária dedicada à recuperação como prática recomendada. Você pode consultar o blog [Encrypt AWS Backup: cofres logicamente isolados com chaves gerenciadas pelo cliente para obter mais informações sobre como configurar cofres](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/) logicamente isolados baseados em CMK.
Você só pode selecionar uma chave de criptografia AWS KMS durante a criação do cofre. Depois de criados, todos os backups contidos no cofre serão criptografados com essa chave. Você não pode alterar ou migrar seus cofres para usar uma chave de criptografia diferente.
### Política-chave para a criação de cofres logicamente isolados criptografados pela CMK
Ao criar um cofre logicamente isolado com uma chave gerenciada pelo cliente, você deve aplicar a política gerenciada à função da sua AWS conta. `AWSBackupFullAccess` Essa política inclui `Allow` ações que permitem interagir com AWS Backup a criação AWS KMS de concessões em chaves KMS durante operações de backup, cópia e armazenamento. Além disso, você deve garantir que sua política de chave gerenciada pelo cliente (se usada) inclua as permissões específicas necessárias.
+ A CMK deve ser compartilhada com a conta em que o cofre logicamente isolado reside
```
{
"Sid": "Allow use of the key to create a logically air-gapped vault",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
**Política chave para cópia/restauração**
Para evitar falhas no trabalho, revise sua política de AWS KMS chaves para garantir que ela inclua todas as permissões necessárias e não contenha nenhuma declaração de negação que possa bloquear as operações. As seguintes condições se aplicam:
+ Para todos os cenários de cópia, o CMKs deve ser compartilhado com a função de cópia de origem
```
{
"Sid": "Allow use of the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
+ Ao copiar de um cofre logicamente isolado criptografado pela CMK para um cofre de backup, a CMK também deve ser compartilhada com a SLR da conta de destino
```
{
"Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
+ Ao copiar ou restaurar a partir de uma conta de recuperação usando um cofre RAM/MPA compartilhado logicamente isolado
```
{
"Sid": "Allow use of the key for copy/restore from a recovery account",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
**IAM Role**
Ao realizar operações logicamente isoladas de cópia em cofre, os clientes podem utilizar o `AWSBackupDefaultServiceRole` que inclui a política gerenciada. AWS`AWSBackupServiceRolePolicyForBackup` No entanto, se os clientes preferirem implementar uma abordagem de política de privilégios mínimos, sua política de IAM deve incluir um requisito específico:
+ A função de cópia da conta de origem deve ter permissões de acesso à origem e ao destino CMKs.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
},
{
"Sid": "KMSCreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
]
}
```
Consequentemente, um dos erros mais comuns do cliente ocorre durante a cópia, quando os clientes não fornecem permissões suficientes em suas funções CMKs e nas funções de cópia.
### Visualizando tipos de chaves de criptografia
Você pode visualizar as informações do tipo de chave de criptografia por meio do AWS Backup console e programaticamente usando o AWS CLI ou. SDKs
**Console:** ao visualizar cofres logicamente separados no AWS Backup console, o tipo de chave de criptografia é exibido na página de detalhes do cofre, na seção de informações de segurança.
**AWS CLI/API:** o tipo de chave de criptografia é retornado na resposta das seguintes operações ao consultar cofres logicamente isolados:
+ `list-backup-vaults`(inclusive `--by-shared` para cofres compartilhados)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`
### Considerações sobre a criptografia de cofres
Ao trabalhar com cofres logicamente isolados e tipos de chaves de criptografia, considere o seguinte:
+ **Seleção de chaves durante a criação:** opcionalmente, você pode especificar uma chave KMS gerenciada pelo cliente ao criar um cofre logicamente isolado. Se não for especificada, uma chave AWS de propriedade será usada.
+ **Visibilidade do cofre compartilhado:** as contas com as quais um cofre é compartilhado podem visualizar o tipo de chave de criptografia, mas não podem modificar a configuração de criptografia.
+ **Informações do ponto de recuperação:** o tipo de chave de criptografia também está disponível ao visualizar pontos de recuperação em cofres logicamente fechados.
+ **Operações de restauração:** compreender o tipo de chave de criptografia ajuda você a planejar as operações de restauração e entender quaisquer possíveis requisitos de acesso.
+ **Conformidade:** as informações do tipo de chave de criptografia dão suporte aos requisitos de auditoria e emissão de relatórios de conformidade, fornecendo transparência aos métodos de criptografia usados para dados de backup.
## Uso da chave de propriedade do serviço
AWS Backup cria e gerencia chaves de criptografia que são usadas para criptografar todos os dados de backup armazenados em cofres logicamente isolados, para proteger e evitar a perda de acesso à chave de criptografia durante um evento de perda de dados.
+ Essas chaves são gratuitas e não contam para as AWS KMS cotas da sua conta.
+ Uma única chave é usada somente para um cofre específico e não é compartilhada com nenhuma outra conta ou outra finalidade.
+ Essas chaves são excluídas quando o cofre atribuído (vazio) também é excluído.
+ Essas chaves são criadas usando a especificação de chave [SYMMETRIC\_DEFAULT](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).
+ A política de rotação padrão é de 90 dias. Você pode solicitar a rotação (uma vez a cada 6 meses) das chaves de criptografia de propriedade do serviço para seus cofres logicamente isolados por meio de um ticket de suporte.
Acesse a [AWS KMS documentação](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) para saber mais.
## Considerações sobre a remediação automática de segurança
Quando AWS Backup copia um backup do EC2 (AMI) em um cofre logicamente isolado, ele concede temporariamente (na AMI) e `createVolumePermission` (`launchPermission`em snapshots do EBS associados) a uma conta de propriedade do serviço. Essas permissões são revogadas automaticamente após a conclusão da cópia.
Essas operações `ModifyImageAttribute` geram `ModifySnapshotAttribute` eventos em seus AWS CloudTrail registros, com `userIdentity.invokedBy` definido como`backup.amazonaws.com`.
Se você tem uma lógica de remediação automática de segurança (por exemplo, EventBridge as regras da Amazon com AWS Lambda) que monitora esses eventos e revoga o compartilhamento entre contas, você deve excluir os eventos onde estão. `userIdentity.invokedBy` `backup.amazonaws.com` Caso contrário, os trabalhos de cópia para cofres logicamente fechados falharão com: “Você não tem permissão para acessar o armazenamento desta ami”.
Essa exclusão é segura porque a cópia é autorizada por suas políticas de acesso ao cofre (`backup:CopyFromBackupVault`no cofre de origem e `backup:CopyIntoBackupVault` no cofre de destino), que são avaliadas antes que qualquer modificação de atributo do EC2 ocorra. As permissões temporárias são concedidas somente a uma conta fixa AWS de propriedade do serviço e são automaticamente revogadas após a conclusão da cópia.
Exemplo de padrão de evento de EventBridge regra que exclui AWS Backup operações:
```
{
"source": ["aws.ec2"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["ec2.amazonaws.com"],
"eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
"userIdentity": {
"invokedBy": [{"anything-but": "backup.amazonaws.com"}]
}
}
}
```
## Solucionar um problema de cofre logicamente isolado
Se você encontrar erros durante o fluxo de trabalho, consulte os seguintes exemplos de erros e resoluções sugeridas:
### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
Erro:
**Possível causa:** durante um trabalho de cópia da AMI do EC2 em um cofre logicamente isolado, AWS Backup concede temporariamente a permissão de lançamento (AMI) e a permissão de criação de volume (instantâneo do EBS) a uma conta de propriedade do serviço, gerando eventos em seus registros. `ModifyImageAttribute` `ModifySnapshotAttribute` AWS CloudTrail Se você tiver uma lógica de correção automática de segurança (como EventBridge regras com o Lambda) que monitora esses eventos e revoga automaticamente as permissões de compartilhamento entre contas, ela pode remover o acesso temporário antes que a cópia seja concluída.
**nota**
Isso pode acontecer da mesma forma para trabalhos de cópia de outros recursos, como a Amazon FSx.
**Resolução:** atualize seu padrão de eventos de EventBridge regra para excluir operações realizadas por AWS Backup. Especificamente, exclua eventos onde `userIdentity.invokedBy` estiver `backup.amazonaws.com` para garantir que sua lógica de correção automática não revogue as permissões temporárias entre contas AWS Backup concedidas durante o processo de cópia.
### `AccessDeniedException`
Erro:
**Possível causa:** o parâmetro `--backup-vault-account-id` não foi incluído quando uma das seguintes solicitações foi executada em um cofre compartilhado pela RAM:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`
**Resolução:** repita o comando que retornou o erro, mas inclua o parâmetro `--backup-vault-account-id` que especifica a conta proprietária do cofre.
### `OperationNotPermittedException`
**Erro:** `OperationNotPermittedException` é retornado após uma chamada `CreateResourceShare`.
**Possível causa:** se você tentou compartilhar um recurso, como um cofre logicamente isolado, com outra organização, você pode obter essa exceção. Um cofre pode ser compartilhado com uma conta em outra organização, mas não pode ser compartilhado com a própria organização.
**Resolução:** repita a operação, mas especifique uma conta como valor para `principals`, em vez de uma organização ou UO.
### Tipo de chave de criptografia não exibido
**Problema:** o tipo de chave de criptografia não é visível ao visualizar um cofre logicamente isolado ou seus pontos de recuperação.
**Causas possíveis:**
+ Você está vendo um cofre antigo que foi criado antes da adição do suporte ao tipo de chave de criptografia
+ Você está usando uma versão mais antiga do AWS CLI ou SDK
+ A resposta da API não inclui o campo do tipo de chave de criptografia
**Resolução:**
+ Atualize seu AWS CLI para a versão mais recente
+ Para cofres mais antigos, o tipo de chave de criptografia será preenchido automaticamente e deverá aparecer nas chamadas de API subsequentes
+ Verifique se você está usando as operações de API corretas que retornam informações do tipo de chave de criptografia
+ Para cofres compartilhados, verifique se o cofre está compartilhado corretamente por meio de AWS Resource Access Manager
### “FALHOU” VaultState com AccessDeniedException CloudTrail registros
**Erro em CloudTrail:** `"User: is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`
**Causas possíveis:**
+ O cofre foi criado usando uma chave gerenciada pelo cliente, mas a função assumida não tem CreateGrant permissão sobre a política de chaves necessária para usar a chave na criação do cofre
**Resolução:**
+ Conceda as permissões especificadas na [Política-chave para a criação de cofres logicamente isolados criptografados pela CMK](#key-policy-lag-vault-creation) seção e tente novamente o fluxo de trabalho de criação do cofre.