Warum schlägt meine kontoübergreifende Kopie in AWS Backup fehl?

Kurzbeschreibung

Um herauszufinden, warum dein Kopierauftrag bei allen AWS-Konten fehlschlägt, überprüfe die folgenden Konfigurationen:

• Vergewissere dich, dass deine Quell- und Zielkonten derselben Organisation in AWS Organizations angehören.
• Stelle sicher, dass der Ressourcentyp das kontenübergreifende Kopieren in den angegebenen AWS-Regionen unterstützt.
• Überprüfe die Verschlüsselungskriterien für die Sicherung deines Quellkontos.
• Stelle sicher, dass die Quellschlüsselrichtlinie des AWS Key Management Service (AWS KMS) das Zielkonto zulässt.
• Stelle sicher, dass die Richtlinie für den Zugriff auf den Zieltresor das Quellkonto zulässt.
• Stelle sicher, dass du die Tag-Richtlinie der Organisation richtig konfiguriert hast.

Lösung

Wichtig: Wenn du ein Backup zum ersten Mal in eine neue Region oder kontoübergreifend kopierst, kopiert AWS Backup das Backup vollständig. Wenn ein Dienst inkrementelle Backups unterstützt, sind nachfolgende Kopien des Backups in derselben Region oder demselben Konto inkrementell. AWS Backup verschlüsselt deine Kopie mit dem vom Kunden verwalteten Schlüssel deines Zieltresors. Für das kontoübergreifende Kopieren sind entsprechende Autorisierungen und Berechtigungen zwischen den Quell- und Zielkonten erforderlich.

Weitere Informationen findest du unter Verschlüsselung für Kopien eines Backups auf ein anderes Konto oder eine andere AWS-Region.

Überprüfe die Mitgliedskonten deiner Organisation

Wenn sich deine Quell- und Zielkonten nicht in derselben Organisation befinden, erhältst du die folgende Fehlermeldung:

"Copy job failed. Both source and destination account must be a member of the same organization."

Um dieses Problem zu beheben, migriere eines deiner Konten zu derselben Organisation wie das andere Konto.

Prüfe, ob der Ressourcentyp die Kopieraktion unterstützt

Stelle sicher, dass der AWS-Service für deine Ressourcen konto- und regionsübergreifende Backups unterstützt. Eine Liste der Features, die die AWS-Services für AWS Backup unterstützen, findest du unter Verfügbarkeit von Features nach Ressourcen. Eine Liste der Features, die nach Regionen verfügbar sind, findest du unter Verfügbarkein von Features nach AWS-Regionen.

Wenn deine Ressource keine Kopieraktion unterstützt, die sowohl konto- als auch regionsübergreifende Kopiersicherungen durchführt, erhältst du eine Fehlermeldung, die der folgenden ähnelt:

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

Die folgenden Dienste unterstützen die Kopieraktion nicht, um sowohl konto- als auch regionsübergreifende Backups durchzuführen:

• Amazon Relational Database Service (Amazon RDS)
• Amazonas Aurora
• Amazon DocumentDB (mit MongoDB-Kompatibilität)
• Amazon Neptune

Für die oben genannten Dienste musst du entweder ein kontoübergreifendes Backup oder ein regionsübergreifendes Backup durchführen. Für Amazon DynamoDB musst du DynamoDB mit den erweiterten Features von AWS Backup aktivieren, um kontoübergreifende Backups durchzuführen.

Überprüfe die Verschlüsselungskriterien

Wenn dein kontoübergreifender Backup-Auftrag aufgrund von Verschlüsselungsproblemen fehlschlägt, erhältst du eine der folgenden Fehlermeldungen:

"Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied."

-oder-

"Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

Gehe wie folgt vor, um diese Probleme zu beheben:

1. Erstelle ein neues Backup der Ressource.
2. Stelle die Ressource wieder her und wähle einen vom Kunden verwalteten AWS KMS-Schlüssel aus.
3. Erstelle ein neues Backup der wiederhergestellten Ressource.
4. Führe die kontoübergreifende Kopie durch.

Für Ressourcen, die AWS Backup nicht vollständig verwaltet, verwenden die Backups denselben AWS-KMS-Schlüssel wie die Quellressource. Bei vollständig verwalteten Ressourcen verwenden die Backups den Verschlüsselungsschlüssel des Backup-Tresors.

Weitere Informationen findest du unter Verschlüsselung für Backups in AWS Backup.

Hinweis: AWS Backup unterstützt kein kontoübergreifendes Kopieren mit von AWS verwalteten Schlüsseln für Ressourcen, die AWS Backup nicht vollständig verwaltet.

Überprüfe die Quell-KMS-Schlüsselrichtlinie

Wenn die AWS-KMS-Schlüsselrichtlinie des Quellkontos das Zielkonto nicht zulässt, erhältst du eine der folgenden Fehlermeldungen:

"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

-oder-

"AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK."

Um diese Probleme zu lösen, füge der Quell-AWS-KMS-Schlüsselrichtlinie Berechtigungen für das Zielkonto hinzu.

Verwende die folgende Beispielrichtlinie:

{  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Hinweis: Ersetze SourceAccountID durch deine Quellkonto-ID und DestinationAccountID durch deine Zielkonto-ID.

Üperprüfe die Zugriffsrichtlinie für den Zugriff auf den Zieltresor

Wenn du den AWS Backup-Zieltresor nicht mit dem Quellkonto geteilt hast, erhältst du die folgende Fehlermeldung:

"Access Denied trying to call AWS Backup service"

Um dieses Problem zu beheben, füge der Zieltresor-Zugriffsrichtlinie Berechtigungen für dein Quellkonto hinzu.

Verwende die folgende Beispielrichtlinie:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Hinweis: Ersetze SourceAccountID durch deine Quellkonto-ID.

Überprüfe die Tag-Richtlinie deiner Organisation

AWS Backup kopiert Tags von Ressourcen auf Wiederherstellungspunkte. Wenn du beispielsweise ein Amazon Elastic Block Store (Amazon EBS)-Volume sicherst, kopiert AWS Backup Tags in den Snapshot. Weitere Informationen findest du unter Kopieren von Tags während einer Wiederherstellung.

Wenn dein kontoübergreifender Backup-Auftrag aufgrund einer falschen Tag-Richtlinie fehlschlägt, erhältst du eine der folgenden Fehlermeldungen:

"We are unable to copy resource tags to your backup because of the Internal Failure"

-oder-

"The tag policy does not allow the specified value for the following tag key: 'xyz'"

Um diese Probleme zu lösen:

• Vergewissere dich, dass deine Tags den Best Practices für das Taggen entsprechen.
• Stelle sicher, dass die Ressourcen-Tags mit dem Tag in den Tag-Richtlinien übereinstimmen.