Ongoing service disruptions

For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?

¿Por qué falla mi copia entre cuentas en AWS Backup?

7 minutos de lectura

Quiero solucionar los problemas por los que falla mi trabajo de copia entre cuentas en AWS Backup.

Descripción corta

Para solucionar los problemas por los que tu trabajo de copia falla en todas las cuentas de AWS, comprueba las siguientes configuraciones:

Confirma que tus cuentas de origen y destino pertenecen a la misma organización en AWS Organizations.
Asegúrate de que el tipo de recurso admite la copia entre cuentas en las regiones de AWS especificadas.
Revisa los criterios de cifrado de la copia de seguridad de tu cuenta de origen.
Confirma que la política de claves de AWS Key Management Service (AWS KMS) de origen permite la cuenta de destino.
Comprueba que la política de acceso al almacén de destino incluye la cuenta de origen.
Asegúrate de haber configurado correctamente la política de etiquetas de la organización.

Resolución

Importante: Cuando copias una copia de seguridad en una nueva región o entre cuentas por primera vez, AWS Backup copia la copia de seguridad en su totalidad. Si un servicio admite copias de seguridad incrementales, las copias subsiguientes de la copia de seguridad en la misma región o cuenta son incrementales. AWS Backup cifra su copia con la clave administrada por el cliente de tu almacén de destino. La copia entre cuentas requiere la autorización y los permisos adecuados entre las cuentas de origen y destino.

Para obtener más información, consulta Cifrado para obtener copias de una copia de seguridad en una cuenta o región de AWS diferente.

Comprobación de las cuentas de miembros de la organización

Si tus cuentas de origen y destino no están en la misma organización, recibirás el siguiente mensaje de error:

"Copy job failed. Both source and destination account must be a member of the same organization."

Para resolver este problema, migra una de tus cuentas a la misma organización que la otra cuenta.

Comprobar si el tipo de recurso admite la acción de copia

Asegúrate de que el servicio de AWS para tus recursos admite copias de seguridad entre cuentas y entre regiones. Para obtener una lista de las características que los servicios de AWS admiten para AWS Backup, consulta Disponibilidad de características por recurso. Para obtener una lista de las características disponibles por región, consulta Disponibilidad de características por región de AWS.

Si tu recurso no admite una acción de copia que realice copias de seguridad entre cuentas y entre regiones, recibirás un mensaje de error similar al siguiente:

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

Los siguientes servicios no admiten la acción de copia para realizar copias de seguridad entre cuentas y entre regiones:

Amazon Relational Database Service (Amazon RDS)
Amazon Aurora
Amazon DocumentDB (compatible con MongoDB)
Amazon Neptune

Para los servicios anteriores, debes realizar una copia de seguridad entre cuentas o entre regiones. En el caso de Amazon DynamoDB, debes activar DynamoDB con las características avanzadas de AWS Backup para realizar copias de seguridad entre cuentas.

Revisión de los criterios de cifrado

Si el trabajo de copia de seguridad entre cuentas falla debido a problemas de cifrado, recibirás uno de los siguientes mensajes de error:

"Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied."

Alternativa:

"Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

Para resolverlo, sigue estos pasos:

Crea una nueva copia de seguridad del recurso.
Restaura el recurso y selecciona una clave administrada por el cliente de AWS KMS.
Crea una nueva copia de seguridad del recurso restaurado.
Realiza la copia entre cuentas.

En el caso de los recursos que AWS Backup no administra por completo, las copias de seguridad utilizan la misma clave de AWS KMS que el recurso de origen. En el caso de los recursos totalmente administrados, las copias de seguridad utilizan la clave de cifrado del almacén de copias de seguridad.

Para obtener más información, consulta Cifrado de copias de seguridad en AWS Backup.

Nota: AWS Backup no admite la copia entre cuentas con claves administradas de AWS para recursos que AWS Backup no administra por completo.

Comprobación de la política de claves de KMS de origen

Si la política de claves de AWS KMS de la cuenta de origen no permite la cuenta de destino, recibirás uno de los siguientes mensajes de error:

"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

Alternativa:

"AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK."

Para resolver estos problemas, agrega los permisos de la cuenta de destino a la política de claves de AWS KMS de origen.

Usa el siguiente ejemplo de política:

{  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Nota: Sustituye SourceAccountID por el ID de la cuenta de origen y DestinationAccountID por el ID de la cuenta de destino.

Comprobación de la política de acceso al almacén de destino

Si no has compartido el almacén de AWS Backup de destino con la cuenta de origen, recibirás el siguiente mensaje de error:

"Access Denied trying to call AWS Backup service"

Para resolver este problema, agrega los permisos de tu cuenta de origen a la política de acceso al almacén de destino.

Usa el siguiente ejemplo de política:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Nota: Sustituye SourceAccountID por el ID de tu cuenta de origen.

Comprobación de la política de etiquetas de la organización

AWS Backup copia las etiquetas de los recursos a los puntos de recuperación. Por ejemplo, si realizas una copia de seguridad de un volumen de Amazon Elastic Block Store (Amazon EBS), AWS Backup copia las etiquetas en la instantánea. Para obtener más información, consulta Copia de etiquetas durante una restauración.

Si tu trabajo de copia de seguridad entre cuentas falla debido a una política de etiquetas incorrecta, recibirás uno de los siguientes mensajes de error:

"We are unable to copy resource tags to your backup because of the Internal Failure"

Alternativa:

"The tag policy does not allow the specified value for the following tag key: 'xyz'"

Para resolver estos problemas:

Confirma que tus etiquetas siguen las prácticas recomendadas de etiquetado.
Verifica que las etiquetas de recursos coincidan con la etiqueta que aparece en las políticas de etiquetas.

Temas: Storage
Etiquetas: AWS Backup
Idioma: Español

OFICIAL DE AWSActualizada hace 7 meses

Sin comentarios

Contenido relevante

¿Cómo eliminar un Relational Database Service Backup Storage?
jpinilla
preguntada hace un año
Problema de Conexión entre MySQL Externo y AWS
Levi Hernandez
preguntada hace un año
Problema con el registro de mi cuenta.
Brayan Leonardo Alvarez Reyes
preguntada hace un año
bncert-tool en Lightsail falla con error de DNS, aunque la configuración parece correcta
Matias
preguntada hace 7 meses
Seguridad entre dos instancias de EC2
cesar_hernandez
preguntada hace 6 meses
¿Cómo soluciono los errores "Access denied" en las operaciones de copia entre cuentas en AWS Backup?
OFICIAL DE AWSActualizada hace 4 meses
¿Cómo soluciono los trabajos de copia de seguridad fallidos en AWS Backup?
OFICIAL DE AWSActualizada hace 4 meses
¿Cómo puedo solucionar los problemas relacionados con una política sobre copias de seguridad que no crea trabajos en mis cuentas de miembro de una organización?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo puedo solucionar el error «Access Denied trying to call AWS Backup service» cuando intento crear una copia entre cuentas en AWS Backup?
OFICIAL DE AWSActualizada hace 10 meses