本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 邏輯氣隙隔離保存庫
## 邏輯氣隙隔離保存庫概觀
AWS Backup 提供次要類型的保存庫,可將備份存放在具有其他安全功能的容器中。**邏輯氣隙隔離保存庫**是一種專門的保存庫,可提供比標準備份保存庫更高的安全性,以及與其他 帳戶共用保存庫存取權的能力,以便在發生需要快速還原資源的事件時,復原時間目標 (RTOs) 可以更快、更靈活。
邏輯氣隙隔離保存庫配備額外的保護功能;每個保存庫都會使用 [AWS 擁有的金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) (預設) 或選用客戶管理的 KMS 金鑰加密,而且每個保存庫都配備保存[AWS Backup 庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)的合規模式。加密金鑰類型資訊可透過 AWS Backup APIs和主控台顯示,以進行透明度和合規報告。
您可以將邏輯氣隙隔離保存庫與[多方核准](multipartyapproval.md) (MPA) 整合,以復原保存庫中的備份,即使保存庫擁有的帳戶無法存取,也有助於維持業務持續性。此外,您可以選擇與 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)(RAM) 整合,與其他 AWS 帳戶 (包括其他組織中的帳戶) 共用邏輯氣隙隔離保存庫,以便在資料遺失復原或[還原測試](restore-testing.md)需要時,可從共用保存庫的帳戶還原存放在保存庫中的備份。為提高安全性,邏輯氣隙隔離保存庫會將其備份存放在 AWS Backup 服務擁有的帳戶中 (這會導致在修改 AWS CloudTrail 日誌中的屬性項目中,在組織外部顯示為共用的備份)。
在邏輯氣隙隔離保存庫擁有帳戶已關閉 (惡意或其他方式) 的情況下,您仍然可以透過 MPA 存取保存庫中的備份 (還原或複製),直到[關閉後期間](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)結束為止。關閉後期間到期後,將無法再存取備份。在關閉後期間,您可以參考[AWS 帳戶管理文件](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure),在進行復原時重新控制您的帳戶。
為了提高彈性,我們建議您在相同或個別帳戶中邏輯氣隙隔離保存庫中建立跨區域副本。不過,如果您想要只維護單一複本來降低儲存成本,您可以在加入 AWS MPA 之後,使用[主要備份來邏輯氣隙隔離保存庫](lag-vault-primary-backup.md)。
您可以在 定價頁面上,檢視邏輯氣隙隔離保存庫中支援服務備份的儲存體[AWS Backup 定價](https://aws.amazon.com/backup/pricing/)。
[各資源的功能可用性](backup-feature-availability.md#features-by-resource) 如需可複製到邏輯氣隙隔離保存庫的資源類型,請參閱 。
**Topics**
+ [邏輯氣隙隔離保存庫概觀](#lag-overview)
+ [邏輯氣隙隔離保存庫的使用案例](#lag-usecase)
+ [與標準備份文件庫之比較和對比](#lag-compare-and-contrast)
+ [建立邏輯氣隙隔離保存庫](#lag-create)
+ [檢視邏輯氣隙隔離保存庫詳細資訊](#lag-view)
+ [在邏輯氣隙隔離保存庫中建立備份](#lag-creation)
+ [共用邏輯氣隙隔離保存庫](#lag-share)
+ [從邏輯氣隙隔離保存庫還原備份](#lag-restore)
+ [刪除邏輯氣隙隔離保存庫](#lag-delete)
+ [邏輯氣隙隔離保存庫的其他程式設計選項](#lag-programmatic)
+ [了解邏輯氣隙隔離保存庫的加密金鑰類型](#lag-encryption-key-types)
+ [使用服務擁有的金鑰](#lag-service-owned-key)
+ [安全性自動修復的考量事項](#lag-security-auto-remediation)
+ [對邏輯氣隙隔離保存庫問題進行故障診斷](#lag-troubleshoot)
+ [邏輯氣隙隔離保存庫的主要備份](lag-vault-primary-backup.md)
+ [邏輯氣隙隔離保存庫的多方核准](multipartyapproval.md)
## 邏輯氣隙隔離保存庫的使用案例
邏輯氣隙隔離保存庫是資料保護策略中的次要保存庫。當您需要備份的保存庫時,此保存庫有助於增強組織的保留策略和復原
+ 在[合規模式下](vault-lock.md)使用保存庫鎖定自動設定
+ 根據預設, 提供具有 AWS 擁有金鑰的加密。您可以選擇性地提供客戶受管金鑰
+ 包含可透過 AWS RAM 或 MPA 共用並從與建立備份之帳戶不同的帳戶還原的備份
**考量和限制**
+ 邏輯氣隙隔離保存庫不支援未加密的 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集,因為它們不支援未加密資料庫叢集快照的加密。
+ Amazon EC2 [提供 EC2 允許 AMIs](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html)。如果您的帳戶已啟用此設定,請將別名新增至`aws-backup-vault`允許清單。
如果未包含此別名,請將操作從邏輯氣隙隔離保存庫複製到備份保存庫,並從邏輯氣隙隔離保存庫還原 EC2 執行個體的操作將會失敗,並顯示錯誤訊息,例如「在區域中找不到來源 AMI ami-xxxxxx」。
+ 存放在邏輯氣隙隔離保存庫中復原點的 ARN (Amazon Resource Name) 將`backup`取代基礎資源類型。例如,如果原始 ARN 以 `arn:aws:ec2:{{region}}::image/ami-*` 開頭,則邏輯氣隙隔離保存庫中復原點的 ARN 將為 `arn:aws:backup:{{region}}:{{account-id}}:recovery-point:*`。
您可以使用 CLI 命令[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)來判斷 ARN。
## 與標準備份文件庫之比較和對比
**備份文件庫**是在 AWS Backup中使用的主要和標準保存庫類型。備份建立後,每個備份都會儲存在備份文件庫中。您可以指派資源型政策管理儲存在保存庫中的備份,例如儲存在保存庫中的備份生命週期。
**邏輯氣隙隔離保存庫**是特製的保存庫,具有額外的安全性並可彈性共用,能加快復原時間 (RTO)。此保存庫會存放主要備份,或最初在標準備份保存庫中建立和存放的備份複本。
備份保存庫使用金鑰加密,此安全機制會將存取權限制為預期使用者。這些金鑰可以是客戶受管或 AWS 受管。請參閱[複製加密](encryption.md#copy-encryption),了解複製任務期間的加密行為,包括複製到邏輯氣隙隔離保存庫。
此外,備份保存庫可以透過保存庫鎖定提供額外的安全性;邏輯氣隙隔離保存庫由合規模式下的保存庫鎖定提供。
與備份保存庫類似,邏輯氣隙隔離保存庫也支援 Amazon EC2 備份[的限制標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
| 功能 | 備份文件庫 | 邏輯氣隙隔離保存庫 |
| --- | --- | --- |
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) | 您可以使用 AWS Backup Audit Manager [控制與補救](controls-and-remediation.md)來監控備份保存庫。 | 除了標準[保存庫可用的控制項之外,請確定特定資源的備份會根據您決定的排程存放在至少一個邏輯氣隙隔離](controls-and-remediation.md#resources-in-lag-vault-control)保存庫中。 |
| [帳單](https://aws.amazon.com/backup/pricing/) | 完全由 AWS Backup 管理之資源的儲存和資料傳輸費用發生在「AWS Backup」下。其他資源類型儲存和資料傳輸費用將在其各自的服務下產生。
例如,Amazon EBS 備份會顯示在「Amazon EBS」下;Amazon S3 備份會顯示在「AWS Backup」下。 | 這些保存庫 (儲存或資料傳輸) 的所有帳單費用都發生在 "AWS Backup" 以下。 |
| [區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) | 可用於 AWS Backup 操作的所有 區域 | 適用於 支援的大多數 區域 AWS Backup。目前不適用於亞太區域 (馬來西亞)、加拿大西部 (卡加利)、墨西哥 (中部)、亞太區域 (泰國)、亞太區域 (台北)、亞太區域 (紐西蘭)、中國 (北京)、中國 (寧夏)、 AWS GovCloud (美國東部) 或 AWS GovCloud (美國西部)。 |
| [資源](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | 可以存放支援跨帳戶複製的大多數資源類型的備份副本。 | 如需可複製到此保存庫[各資源的功能可用性](backup-feature-availability.md#features-by-resource)的資源,請參閱 中的邏輯氣隙隔離保存庫欄。 |
| [ 還原](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | 備份可由保存庫所屬的相同帳戶還原。 | 如果保存庫是與該個別帳戶共用,則備份可由與保存庫所屬帳戶不同的帳戶還原。 |
| [安全性](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | 可選擇是否使用金鑰加密 (客戶自管或 AWS 受管金鑰)
可以選擇性地在合規或控管模式中使用保存庫鎖定 | 可以使用 [AWS 擁有的金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)或客戶受管金鑰加密
在合規模式下一律使用[保存庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)功能進行鎖定
透過 AWS RAM 或 MPA 共用保存庫時,會保留並顯示加密金鑰類型資訊 |
| [共用](#lag-share) | 存取可以透過政策和 [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) 管理
與 不相容 AWS RAM | 可以選擇是否使用 [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 跨帳戶共用 |
## 建立邏輯氣隙隔離保存庫
您可以透過 AWS Backup 主控台或透過 AWS Backup 和 AWS RAM CLI 命令的組合來建立邏輯氣隙隔離保存庫。
每個邏輯氣隙隔離都配備合規模式下的保存庫鎖定。請參閱 [AWS Backup 保存庫鎖定](vault-lock.md) 以協助判斷最適合您操作的保留期間值
------
#### [ Console ]
**從主控台建立邏輯氣隙隔離保存庫**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,選取 **保存庫**。
1. 隨即顯示這兩種類型的保存庫。選取 **建立新保存庫**。
1. 輸入備份文件庫的名稱。您可以為文件庫命名以反映所要儲存的內容,或是讓它更容易搜尋您所需要的備份。例如,您可以將它命名為 `FinancialBackups`。
1. 選取**邏輯氣隙隔離保存庫**的選項按鈕。
1. *(選用)* 選擇加密金鑰。您可以選取客戶管理的 KMS 金鑰,以額外控制加密,或使用預設擁有的金鑰 AWS(建議)。
1. 設定 **最短保留期限**。
此值 (天數、月數或年數) 是備份可保留在此保存庫中的最短時間。保留期限短於此值的備份無法複製到此保存庫。
允許的最小值為 `7` 天。月和年的值符合此最小值。
1. 設定 **最長保留期限**。
此值 (天數、月數或年數) 是備份可保留在此保存庫中的最長時間。保留期限長於此值的備份無法複製到此保存庫。
1. *(選用)* 設定**加密金鑰**。
指定要與保存庫搭配使用的金鑰。您可以選擇 **AWS 擁有的金鑰 (由 管理 AWS Backup)**,或輸入**客戶受管金鑰**的 ARN,該金鑰最好屬於您有權存取的不同帳戶。 AWS Backup 建議使用 AWS 擁有的金鑰。
1. *(選用)* 新增有助於搜尋及識別邏輯氣隙隔離保存庫的標籤。例如,您可以新增 `BackupType:Financial` 標籤。
1. 選取 **建立保存庫**。
1. 檢閱設定。如果所有的設定都如預期顯示,請選取 **建立邏輯氣隙隔離保存庫**。
1. 主控台會帶您前往新保存庫的詳細資訊頁面。確認保存庫詳細資料是否一如預期。
1. 選取**保存庫**以檢視您帳戶中的保存庫。將會顯示邏輯氣隙隔離保存庫。KMS 金鑰將在保存庫建立後約 1 到 3 分鐘可用。重新整理頁面以查看相關聯的金鑰。顯示金鑰後,保存庫會處於可用狀態,並且可以使用。
------
#### [ AWS CLI ]
從 CLI 建立邏輯氣隙隔離保存庫
您可以使用 AWS CLI 以程式設計方式執行邏輯氣隙隔離保存庫的操作。每個 CLI 都專屬於其產生的 AWS 服務。與共用相關的命令會在開頭加上 `aws ram`,而所有其他命令則應在前面加上 `aws backup`。
使用以下列參數[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html)修改的 CLI 命令 :
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name {{sampleName}} // required
--min-retention-days {{7}} // required Value must be an integer 7 or greater
--max-retention-days {{35}} // required
--encryption-key-arn {{arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012}} // optional
--creator-request-id {{123456789012-34567-8901}} // optional
```
選用`--encryption-key-arn`參數可讓您為保存庫加密指定客戶管理的 KMS 金鑰。如果未提供,保存庫將使用 AWS擁有的金鑰。
建立邏輯氣隙隔離保存庫的 CLI 命令範例:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```
使用客戶受管加密建立邏輯氣隙隔離保存庫的 CLI 命令範例:
```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```
如需建立操作之後的資訊,請參閱 [CreateLogicallyAirGappedBackupVault API 回應元素](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html)。如果操作成功,新的邏輯氣隙隔離保存庫將具有 的 VaultState`CREATING`。
建立完成並指派 KMS 加密金鑰後,VaultState 會轉換為 `AVAILABLE`。一旦可用,就可以使用保存庫。 `VaultState` 可以透過呼叫 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html)或 來擷取[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)。
------
## 檢視邏輯氣隙隔離保存庫詳細資訊
您可以透過 AWS Backup 主控台或 AWS Backup CLI 來查看保存庫詳細資訊,例如摘要、復原點、受保護的資源、帳戶共用、存取政策和標籤。
------
#### [ Console ]
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在左側導覽窗格中選取 **保存庫**。
1. 保存庫的描述下方將列出三個清單:**此帳戶建立的保存庫**、**透過 RAM 共用的保存庫**,以及**可透過多方核准存取的保存庫**。選取檢視保存庫所需的索引標籤。
1. 在 **保存庫名稱** 下,按一下保存庫的名稱即可開啟詳細資訊頁面。您可以查看摘要、復原點、受保護的資源、帳號共用、存取政策和標籤詳細資訊。
詳細資訊會根據帳戶類型顯示:擁有保存庫的帳戶可以檢視帳戶共用;沒有保存庫的帳戶將無法檢視帳戶共用。對於共用保存庫,加密金鑰類型 (AWS擁有或客戶管理的 KMS 金鑰) 會顯示在保存庫摘要中。
------
#### [ AWS CLI ]
透過 CLI 檢視邏輯氣隙隔離保存庫的詳細資訊
CLI 命令[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html)可用來取得保存庫的詳細資訊。參數`backup-vault-name`為必要;`region`選用。
```
aws backup describe-backup-vault
--region {{us-east-1}}
--backup-vault-name {{testvaultname}}
```
回應範例:
```
{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```
**注意**
在邏輯氣隙隔離保存庫無法使用的區域中, `VaultType` 欄位不包含在 API 回應中。
------
## 在邏輯氣隙隔離保存庫中建立備份
邏輯氣隙隔離保存庫可以是備份計畫中的複製任務目的地目標,也可以是隨需複製任務的目標。它也可以用作主要備份目標。請參閱[邏輯氣隙隔離保存庫的主要備份](lag-vault-primary-backup.md)。
**相容加密**
從備份保存庫到邏輯氣隙隔離保存庫的成功複製任務需要由要複製的資源類型決定的加密金鑰。
當您建立或複製[完全受管資源類型的](backup-feature-availability.md#features-by-resource)備份時,來源資源可以由客戶受管金鑰或 AWS 受管金鑰加密。
當您建立或複製其他資源類型的備份 ([未完全受](backup-feature-availability.md#features-by-resource)管) 時,來源必須使用客戶受管金鑰加密。不支援未完全受管資源的受 AWS 管金鑰。
**透過備份計畫,建立或複製備份至邏輯氣隙隔離保存庫**
您可以透過在主控台中 AWS Backup [建立新的備份計畫](creating-a-backup-plan.md)或[更新現有的](updating-a-backup-plan.md)備份計畫,或透過 AWS CLI 命令[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)和 ,將備份 (復原點) 從標準備份保存庫複製到邏輯氣隙隔離保存庫[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。您也可以使用備份做為主要目標,直接在邏輯氣隙隔離保存庫中建立備份。如需詳細資訊[,請參閱邏輯氣隙隔離保存庫的主要備份](lag-vault-primary-backup.md)。
您可以將備份從一個邏輯氣隙隔離保存庫複製到另一個邏輯氣隙隔離保存庫隨需 (此類備份無法在備份計畫中排程)。只要複本使用客戶受管金鑰加密,您就可以將備份從邏輯氣隙隔離保存庫複製到標準備份保存庫。
**隨需備份複製到邏輯氣隙隔離保存庫**
若要建立備份到邏輯氣隙隔離保存庫的一次性[隨需](recov-point-create-on-demand-backup.md)副本,您可以從標準備份保存庫進行複製。如果資源類型支援複製類型,則可以使用跨區域或跨帳戶複製。
**複製可用性**
您可以從保存庫所屬的帳戶建立備份複本。已共用保存庫的帳戶可以檢視或還原備份,但無法建立複本。
只能包含[支援跨區域或跨帳戶複製的資源類型](backup-feature-availability.md#features-by-resource)。
------
#### [ Console ]
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在左側導覽窗格中選取 **保存庫**。
1. 在保存庫詳細資訊頁面中,會顯示該保存庫的所有復原點。勾選您想要複製的復原點。
1. 選取 **動作**,然後從下拉式功能表中選取 **複製**。
1. 在下個畫面中,輸入目的地詳細資訊。
1. 指定目的地區域。
1. 目的地備份文件庫下拉式功能表會顯示符合資格的目的地保存庫。選取類型為 `logically air-gapped vault` 的保存庫
1. 待所有詳細資訊依偏好設定好後,選取 **複製**。
在主控台的 **任務** 頁面上,您可以選取 **複製** 任務,查看目前的複製任務。
------
#### [ AWS CLI ]
使用 [start-copy-job](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_StartCopyJob.html) 將備份保存庫中的現有備份複製到邏輯氣隙隔離保存庫。
CLI 輸入範例:
```
aws backup start-copy-job
--region {{us-east-1}}
--recovery-point-arn {{arn:aws:resourcetype:region::snapshot/snap-12345678901234567}}
--source-backup-vault-name {{sourcevaultname}}
--destination-backup-vault-arn {{arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname}}
--iam-role-arn {{arn:aws:iam::123456789012:role/service-role/servicerole}}
```
------
如需詳細資訊,請參閱[複製備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html)、[跨區域備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)和[跨帳戶備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html)。
## 共用邏輯氣隙隔離保存庫
您可以使用 AWS Resource Access Manager (RAM) 與您指定的其他帳戶共用邏輯氣隙隔離保存庫。共用保存庫時,共用保存庫的帳戶會保留並顯示加密金鑰類型資訊 (AWS擁有或客戶管理的 KMS 金鑰)。
保存庫可以與其組織中的帳戶或其他組織中的帳戶共用。保存庫無法與整個組織共用,只能與組織內的帳戶共用。
只有具有特定 IAM 權限的帳戶才能共用和管理保存庫的共用。
若要使用 共用 AWS RAM,請確定您有下列項目:
+ 可以存取的兩個或多個帳戶 AWS Backup
+ 想要共用的保存庫帳戶具有必要的 RAM 許可。權限 `ram:CreateResourceShare` 為此程序必要許可。此政策`AWSResourceAccessManagerFullAccess`包含所有必要的 RAM 相關許可:
+ `backup:DescribeBackupVault`
+ `backup:DescribeRecoveryPoint`
+ `backup:GetRecoveryPointRestoreMetadata`
+ `backup:ListProtectedResourcesByBackupVault`
+ `backup:ListRecoveryPointsByBackupVault`
+ `backup:ListTags`
+ `backup:StartRestoreJob`
+ 至少一個邏輯氣隙隔離保存庫
------
#### [ Console ]
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在左側導覽窗格中選取 **保存庫**。
1. 在保存庫描述下方會有兩份清單:**此帳戶擁有的保存庫**和**與此帳戶共用的保存庫**。帳戶擁有的保存庫符合共用資格。
1. 在 **保存庫名稱** 下,選取邏輯氣隙隔離保存庫的名稱即可開啟詳細資訊頁面。
1. **帳戶共用**窗格會顯示保存庫要與哪些帳戶共用。
1. 若要開始與其他帳戶共用保存庫,或編輯已共用的帳戶,請選取 **管理共用**。
1. 選取**管理共用**時 AWS RAM ,主控台會開啟。如需使用 RAM AWS 共用資源的步驟,請參閱《[RAM AWS 使用者指南》中的在 RAM 中建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。 *AWS *
1. 獲邀接受共用邀請的帳戶需要 12 小時才能接受邀請。請參閱*《AWS RAM 使用者指南》*中的[<接受與拒絕資源共用邀請>](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)。
1. 如已完成並接受共用步驟,則保存庫摘要頁面會顯示在 **Account sharing = “已共用 - 請參閱下方的帳戶共用表**” 下。
------
#### [ AWS CLI ]
AWS RAM 使用 CLI 命令 `create-resource-share`。只有具有足夠許可的帳戶才能存取此命令。如需 CLI 執行步驟,請參閱[在 AWS RAM中建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。
步驟 1 到 4 要以擁有邏輯氣隙隔離保存庫的帳戶執行。步驟 5 到 8 要以共用邏輯氣隙隔離保存庫的帳戶執行。
1. 登入擁有保存庫的帳戶,或者要求組織中有足夠認證可存取來源帳戶的使用者完成這些步驟。
1. 如過去已建立資源共用,現在希望在其中新增其他資源,請改用 CLI `associate-resource-share` 搭配新保存庫的 ARN。
1. 擷取具有足夠許可的角色認證,以透過 RAM 共用保存庫。[將這些內容輸入 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new)。
1. 權限 `ram:CreateResourceShare` 為此程序必要許可。政策 [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess) 包含所有 RAM 相關許可。
1. 使用 [create-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html)。
1. 包括邏輯氣隙隔離保存庫的 ARN。
1. 範例輸入:
```
aws ram create-resource-share
--name {{MyLogicallyAirGappedVault}}
--resource-arns arn:aws:backup:us-east-1:{{123456789012}}:backup-vault:{{test-vault-1}}
--principals {{123456789012}}
--region us-east-1
```
1. 輸出範例:
```
{
"resourceShare":{
"resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name":"MyLogicallyAirGappedVault",
"owningAccountId":"123456789012",
"allowExternalPrincipals":true,
"status":"ACTIVE",
"creationTime":"2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
}
}
```
1. 複製輸出內的資源共用 ARN (後續步驟的必要內容)。將 ARN 交給邀請接受共用的帳戶操作員。
1. 取得資源共用 ARN
1. 如未執行步驟 1 到 4,請向執行過這些步聚的人索取 resourceShareArn。
1. 範例:`arn:aws:ram:us-east-1:{{123456789012}}:resource-share/{{12345678-abcd-09876543}}`
1. 在 CLI 中,擔任收件者帳戶的認證。
1. 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html) 取得資源共用邀請。如需詳細資訊,請參閱*《AWS RAM 使用者指南》*中的[<接受與拒絕邀請>](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)。
1. 接受目的地 (復原) 帳戶中的邀請。
1. 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html) (也可使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html))。
您可以使用 AWS RAM CLI 命令來檢視共用項目:
+ 您已共用的資源:
`aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ 顯示委託人:
`aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ 其他帳戶共用的資源:
`aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`
------
## 從邏輯氣隙隔離保存庫還原備份
您可以從擁有保存庫的帳戶或共用保存庫的任何帳戶,還原存放在邏輯氣隙隔離保存庫中的備份。
如需如何透過 AWS Backup 主控台還原復原點的資訊,請參閱[還原備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html)。
從邏輯氣隙隔離保存庫共用備份到您的帳戶後,您可以使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)還原備份。
範例 CLI 輸入可以包含下列命令和參數:
```
aws backup start-restore-job
--recovery-point-arn {{arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID}}
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```
## 刪除邏輯氣隙隔離保存庫
請參閱[刪除保存庫](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)。如果保存庫仍包含備份 (復原點) 即無法刪除。在啟動刪除作業之前,請確認保存庫中沒有任何備份。
在根據金鑰刪除政策刪除保存庫七天後,刪除保存庫也會刪除與保存庫相關聯的金鑰。
以下範例 CLI 命令 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) 可用於刪除保存庫。
```
aws backup delete-backup-vault
--region us-east-1
--backup-vault-name {{testvaultname}}
```
## 邏輯氣隙隔離保存庫的其他程式設計選項
您可以修改 CLI 命令 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html),列出該帳戶擁有並顯示的所有保存庫:
```
aws backup list-backup-vaults
--region us-east-1
```
若僅要列出邏輯氣隙隔離保存庫,請加入參數
```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```
包含 參數`by-shared`以篩選傳回的保存庫清單,僅顯示共用的邏輯氣隙隔離保存庫。回應將包含每個共用保存庫的加密金鑰類型資訊。
```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```
顯示加密金鑰類型資訊的範例回應:
```
{
"BackupVaultList": [
{
"BackupVaultName": "shared-logically air-gapped-vault",
"BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"Locked": true,
"MinRetentionDays": 7,
"MaxRetentionDays": 30
}
]
}
```
**注意**
在邏輯氣隙隔離保存庫無法使用的區域中, `VaultType` 欄位不包含在 API 回應中。
## 了解邏輯氣隙隔離保存庫的加密金鑰類型
邏輯氣隙隔離保存庫支援不同的加密金鑰類型,此資訊可透過 AWS Backup APIs和主控台顯示。透過 AWS RAM 或 MPA 共用保存庫時,加密金鑰類型資訊會保留,並讓共用保存庫的帳戶可見。此透明度可協助您了解保存庫的加密組態,並做出有關備份和還原操作的明智決策。
### 加密金鑰類型值
`EncryptionKeyType` 欄位可以有下列值:
+ `AWS_OWNED_KMS_KEY` - 保存庫使用 AWS擁有的金鑰加密。這是未指定客戶受管金鑰時,邏輯氣隙隔離保存庫的預設加密方法。
+ `CUSTOMER_MANAGED_KMS_KEY` - 保存庫使用您控制的客戶受管 KMS 金鑰加密。此選項提供額外的加密金鑰和存取政策控制。
**注意**
AWS 備份建議搭配邏輯氣隙隔離保存庫使用 AWS 擁有的金鑰。
如果您的組織政策需要使用客戶受管金鑰, AWS 除了測試之外, 不建議使用來自相同帳戶的金鑰。對於生產工作負載,請使用次要組織中另一個帳戶的客戶受管金鑰,以做為最佳實務進行復原。您可以使用[客戶受管金鑰來參考部落格 Encrypt AWS Backup 邏輯氣隙隔離保存庫](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/),以收集設定以 CMK 為基礎的邏輯氣隙隔離保存庫的更多洞見。
您只能在建立保存庫期間選取 AWS KMS 加密金鑰。建立後,文件庫中包含的所有備份都會使用該金鑰加密。您無法變更或遷移保存庫以使用不同的加密金鑰。
### 建立 CMK 加密邏輯氣隙隔離保存庫的金鑰政策
使用客戶受管金鑰建立邏輯氣隙隔離保存庫時,您必須將 AWS受管政策套用至`AWSBackupFullAccess`您的帳戶角色。此政策包含`Allow`的動作 AWS Backup 可讓 在備份、複製和儲存操作期間與 互動, AWS KMS 以在 KMS 金鑰上建立授予。此外,您必須確保您的客戶受管金鑰 (如果使用) 政策包含特定的必要許可。
+ CMK 必須與邏輯氣隙隔離保存庫所在的帳戶共用
```
{
"Sid": "Allow use of the key to create a logically air-gapped vault",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
**複製/還原的金鑰政策**
為了防止任務失敗,請檢閱您的 AWS KMS 金鑰政策,以確保其包含所有必要的許可,且不包含任何可能封鎖操作的拒絕陳述式。適用下列條件:
+ 對於所有複製案例,CMKs 必須與來源複製角色共用
```
{
"Sid": "Allow use of the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
```
+ 從 CMK 加密的邏輯氣隙隔離保存庫複製到備份保存庫時,也必須與目的地帳戶 SLR 共用 CMK
```
{
"Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Source copy role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
+ 使用 RAM/MPA 共用邏輯氣隙隔離保存庫從復原帳戶複製或還原時
```
{
"Sid": "Allow use of the key for copy/restore from a recovery account",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow AWS Backup to create grant on the key for copy",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]
"arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
```
**IAM 角色**
執行邏輯氣隙隔離保存庫複製操作時,客戶可以使用 `AWSBackupDefaultServiceRole`,其中包含 AWS受管政策 `AWSBackupServiceRolePolicyForBackup`。不過,如果客戶偏好實作最低權限的政策方法,其 IAM 政策必須包含特定需求:
+ 來源帳戶的複製角色必須具有來源和目的地 CMKs存取許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
},
{
"Sid": "KMSCreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:*:[source-account-id]:key/*", - Source logically air-gapped vault CMK -
"arn:aws:kms:*:[destination-account-id]:key/*". - Destination logically air-gapped vault CMK -
]
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
]
}
```
因此,當客戶無法對其 CMKs 和複製角色提供足夠的許可時,複製期間會發生其中一個最常見的客戶錯誤。
### 檢視加密金鑰類型
您可以透過 AWS Backup 主控台和使用 AWS CLI 或 SDKs 以程式設計方式檢視加密金鑰類型資訊。
**主控台:**在 AWS Backup 主控台中檢視邏輯氣隙隔離保存庫時,加密金鑰類型會顯示在安全性資訊區段下的保存庫詳細資訊頁面中。
**AWS CLI/API:**在查詢邏輯氣隙隔離保存庫時,會在下列操作的回應中傳回加密金鑰類型:
+ `list-backup-vaults` (包括`--by-shared`共用保存庫)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`
### 保存庫加密的考量事項
使用邏輯氣隙隔離保存庫和加密金鑰類型時,請考慮下列事項:
+ **建立期間的金鑰選擇:**您可以在建立邏輯氣隙隔離保存庫時選擇性地指定客戶受管 KMS 金鑰。如果未指定,則會使用 擁有 AWS的金鑰。
+ **共用保存庫可見性:**共用保存庫的帳戶可以檢視加密金鑰類型,但無法修改加密組態。
+ **復原點資訊:**在邏輯氣隙隔離保存庫中檢視復原點時,也可以使用加密金鑰類型。
+ **還原操作:**了解加密金鑰類型可協助您規劃還原操作,並了解任何潛在的存取需求。
+ **合規:**加密金鑰類型資訊可提供備份資料所用加密方法的透明度,以支援合規報告和稽核要求。
## 使用服務擁有的金鑰
AWS Backup 會建立和管理加密金鑰,用於加密存放在邏輯氣隙隔離保存庫中的所有備份資料,以保護和防止在資料遺失事件期間存取加密金鑰。
+ 這些金鑰是免費的,不會計入您帳戶的 AWS KMS 配額。
+ 單一金鑰僅用於特定保存庫,不會與任何其他帳戶或其他用途共用。
+ 這些金鑰也會在指派的 (空的) 保存庫也刪除後刪除。
+ 這些金鑰是使用 [SYMMETRIC\_DEFAULT 金鑰規格](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks)建立的。
+ 預設輪換政策為 90 天。您可以透過支援票證,為邏輯氣隙隔離保存庫請求輪換 (每 6 個月一次) 服務擁有的加密金鑰。
請造訪 [AWS KMS 文件](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)以進一步了解。
## 安全性自動修復的考量事項
當 將 EC2 (AMI) 備份 AWS Backup 複製到邏輯氣隙隔離保存庫時,它會暫時將 `launchPermission`(在 AMI 上) 和 `createVolumePermission`(在相關聯的 EBS 快照上) 授予服務擁有的帳戶。這些許可會在複製完成後自動撤銷。
這些操作會在 AWS CloudTrail 日誌中產生 `ModifyImageAttribute`和 `ModifySnapshotAttribute`事件,並將 `userIdentity.invokedBy`設定為 `backup.amazonaws.com`。
如果您有監控這些事件並撤銷跨帳戶共用的安全自動修復邏輯 (例如 Amazon EventBridge 規則 AWS Lambda),您必須排除 `userIdentity.invokedBy`為 的事件`backup.amazonaws.com`。否則,複製任務到邏輯氣隙隔離保存庫將會失敗:「您沒有存取此 ami 儲存體的許可。」
此排除是安全的,因為複本是由您的保存庫存取政策 (`backup:CopyFromBackupVault`在來源保存庫和目的地保存庫`backup:CopyIntoBackupVault`上) 授權,這些政策會在進行任何 EC2 屬性修改之前進行評估。暫時許可只會授予固定 AWS 的服務擁有帳戶,並在複製完成後自動撤銷。
排除 AWS Backup 操作的 EventBridge 規則事件模式範例:
```
{
"source": ["aws.ec2"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["ec2.amazonaws.com"],
"eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
"userIdentity": {
"invokedBy": [{"anything-but": "backup.amazonaws.com"}]
}
}
}
```
## 對邏輯氣隙隔離保存庫問題進行故障診斷
如果您在工作流程期間遇到錯誤,請參閱下列範例錯誤和建議的解決方法:
### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
**錯誤:**`Copy job fails with "You do not have permission to access the storage of this ami."`
**可能原因:**在 EC2 AMI 複製任務到邏輯氣隙隔離保存庫期間, AWS Backup 暫時將啟動許可 (AMI) 和建立磁碟區許可 (EBS 快照) 授予服務擁有的帳戶,在您的 AWS CloudTrail 日誌中產生 `ModifyImageAttribute`和 `ModifySnapshotAttribute`事件。如果您有監控這些事件並自動撤銷跨帳戶共用許可的安全自動修復邏輯 (例如具有 Lambda 的 EventBridge 規則),可以在複製完成之前移除暫時存取權。
**注意**
Amazon FSx 等其他資源的複製任務也會發生這種情況。
**解決方法:**更新您的 EventBridge 規則事件模式,以排除 執行的操作 AWS Backup。具體而言, 排除 `userIdentity.invokedBy` 為 的事件`backup.amazonaws.com`,以確保您的自動修復邏輯不會撤銷複製程序期間授予的暫時跨帳戶許可 AWS Backup 。
### `AccessDeniedException`
**錯誤:**`An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`
**可能原因:**在 RAM 共用的保存庫上執行下列其中一個請求時,`--backup-vault-account-id`未包含 參數:
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`
**解決方法:**重試傳回錯誤的命令,但包含 參數`--backup-vault-account-id`,指定擁有保存庫的帳戶。
### `OperationNotPermittedException`
**錯誤:** `OperationNotPermittedException` 會在`CreateResourceShare`呼叫後傳回。
**可能原因:**如果您嘗試與其他組織共用資源,例如邏輯氣隙隔離保存庫,您可能會收到此例外狀況。保存庫可以與其他組織中的帳戶共用,但無法與其他組織本身共用。
**解決方案:**重試 操作,但將 帳戶指定為 的值,`principals`而非組織或 OU。
### 未顯示加密金鑰類型
**問題:**檢視邏輯氣隙隔離保存庫或其復原點時,看不到加密金鑰類型。
**可能原因:**
+ 您正在檢視在新增加密金鑰類型支援之前建立的舊版保存庫
+ 您正在使用較舊版本的 AWS CLI 或 SDK
+ API 回應不包含加密金鑰類型欄位
**解決方法:**
+ 將您的 更新 AWS CLI 為最新版本
+ 對於較舊的保存庫,加密金鑰類型會自動填入,並應該出現在後續的 API 呼叫中
+ 確認您使用的是傳回加密金鑰類型資訊的正確 API 操作
+ 對於共用保存庫,請確認保存庫已透過 正確共用 AWS Resource Access Manager
### CloudTrail 日誌中的「失敗」VaultState 搭配 AccessDeniedException
**CloudTrail 中的錯誤:** `"User: is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`
**可能原因:**
+ 保存庫是使用客戶受管金鑰建立,但擔任的角色對於使用金鑰建立保存庫所需的金鑰政策沒有 CreateGrant 許可
**解決方法:**
+ 授予 [建立 CMK 加密邏輯氣隙隔離保存庫的金鑰政策](#key-policy-lag-vault-creation)區段中指定的許可,然後重試保存庫建立工作流程。