Comment résoudre les problèmes liés à l'échec des tâches de sauvegarde dans AWS Backup ?

Brève description

Il n’est pas possible de réessayer une tâche de sauvegarde qui a échoué.

Si un plan de sauvegarde planifié active une tâche de sauvegarde, AWS Backup crée une nouvelle tâche de sauvegarde pour la ressource lors de la prochaine exécution planifiée. Si vous activez une tâche de sauvegarde manuelle ou à la demande, vous devez effectuer une nouvelle requête StartBackupJob pour sauvegarder la ressource.

Remarque : Si l’exécution de la tâche de sauvegarde de votre ressource échoue, consultez la section Pourquoi mes plans de sauvegarde planifiée dans AWS Backup ne sont-ils pas exécutés ?

Pour consulter le statut d'une tâche de sauvegarde, utilisez des outils de surveillance ou exécutez la commande describe-backup-job de l’interface de la ligne de commande AWS (AWS CLI). Le message d'état fournit des informations de dépannage pour la tâche de sauvegarde ayant échoué.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l'interface AWS CLI.

Résolution

Résoudre les problèmes d'autorisation IAM

L'un des messages d'erreur suivants s'affiche en cas de problème lié aux autorisations relatives à un rôle Gestion des identités et des accès AWS (AWS IAM) :

• « You are not authorized to perform this operation »
• « Backup job failed because of insufficient privileges »
• Autres erreurs liées aux autorisations

Pour résoudre un problème lié aux autorisations, assurez-vous de remplir les conditions suivantes pour le rôle IAM qui crée vos sauvegardes :

• Vous avez inclus AWS Backup en tant qu'entité approuvée dans la politique d’approbation de votre rôle IAM afin qu'AWS Backup puisse assumer ce rôle.
• Votre politique gérée par le client contient des autorisations d'accès pour les services AWS avec lesquels votre tâche de sauvegarde interagit.
• Vous avez ajouté des autorisations AWS Key Management Service (AWS KMS) au rôle de sauvegarde. Le rôle doit disposer au moins des autorisations KmsDecrypt, KmsCreateGrant et KmsGenerateDataKey.
  Remarque : Vérifiez que la stratégie de clé AWS KMS comporte l’Amazon Resource Name (ARN) arn:aws:iam::111122223333:root du principal. Si vous n'incluez pas l'ARN du principal IAM, le principal IAM ne peut pas accéder à la clé. Si la politique IAM refuse l'accès à la clé, il n'est pas nécessaire d'inclure l'ARN principal de l'IAM.

Remarque : Si vous utilisez le rôle IAM par défaut créé par AWS Backup, celui-ci dispose d'autorisations via les politiques gérées par AWS AWSBackupServiceRolePolicyForBackup et AWSBackupServiceRolePolicyForRestores.

AWS Backup peut créer les rôles IAM AWSBackupDefaultServiceRole et AWSServiceRoleForBackup avec des autorisations et des cas d'utilisation différents. Assurez-vous d’utiliser le rôle IAM approprié. Lorsque vous créez un plan de sauvegarde ou activez une tâche de sauvegarde manuelle, choisissez le rôle AWSBackupDefaultServiceRole par défaut.

Remarque : Il est recommandé d'utiliser AWSBackupDefaultServiceRole pour créer une sauvegarde Amazon Simple Storage Service (Amazon S3). Pour connaître le rôle par défaut permettant d'effectuer des actions sur les ressources S3, consultez la section Autorisations et politiques pour la sauvegarde et la restauration d'Amazon S3.

Résoudre les problèmes liés à l'achèvement de la tâche de sauvegarde

L'un des messages d'erreur suivants s'affiche lorsqu'une tâche de sauvegarde n'est pas terminée à temps :

• « Backup Job did not complete within completion window »
• « An AWS Backup job failed to complete in time »

Lorsqu'une tâche de sauvegarde échoue en raison de l'une des erreurs précédentes, la tâche affiche également l’état EXPIRÉ. Pour résoudre ces problèmes, consultez la section Pourquoi ma tâche de sauvegarde se trouve-t-elle à l’état EXPIRÉ dans AWS Backup ?

Vous pouvez également utiliser le paramètre Terminer dans pour spécifier une fenêtre de sauvegarde dans la configuration de vos règles de sauvegarde. Définissez une durée plus longue pour le paramètre Terminer dans afin de vous assurer que vos tâches de sauvegarde se terminent à temps.

Remarque : Le paramètre Terminer dans définit la fenêtre de temps dans laquelle votre sauvegarde doit être terminée. Le temps nécessaire à AWS Backup pour terminer une tâche de sauvegarde varie. Si le transfert de données qui sauvegarde vos ressources ne se termine pas dans la fenêtre de temps Terminer dans, AWS Backup arrête la sauvegarde. Puis, la tâche de sauvegarde affiche l’état EXPIRÉ.

Résoudre les problèmes liés au cycle

Le message d'erreur suivant s'affiche lorsque le coffre-fort de sauvegarde est verrouillé avec MaxRetentionDays et MinRetentionDays :

« Backup job failed because the lifecycle is outside the valid range for backup vault »

Lorsque la conservation n’a pas lieu durant les périodes de conservation maximale et minimale spécifiées, vous limitez la création de sauvegardes dans le coffre-fort.

Pour résoudre ce problème, modifiez la conservation des sauvegardes dans votre plan de sauvegarde afin qu'elle se situe dans la plage spécifiée. Vous pouvez également mettre à jour la configuration de la période de conservation du verrouillage du coffre-fort.

Résoudre les problèmes liés à la sauvegarde VMware

L'un des messages d'erreur suivants s'affiche lorsque vous effectuez une sauvegarde VMware :

• « Unsupported disk size detected during backup creation. Aborted backup job »
• « Failed to process backup data during backup data processing. Aborted backup job »

Pour résoudre les messages d'erreur précédents, procédez comme suit :

• Assurez-vous qu'AWS Backup prend en charge vos machines virtuelles (VM) VMware.
• Ouvrez tous les ports requis pour que la passerelle AWS Backup puisse se connecter à l'hôte et sauvegarder votre machine virtuelle. Puis, vérifiez que vous avez correctement configuré les serveurs DNS sur l'appliance Gateway.
• Si vous définissez les modes de disque sur indépendant-persistant ou indépendant-non persistant sur vos machines virtuelles, modifiez le mode à dépendant de tous les disques. AWS Backup ne prend en charge que le mode dépendant de tous les disques.
• Vérifiez la taille du disque virtuel de vos machines virtuelles. AWS Backup ne prend en charge que des tailles de disque virtuel VM qui sont un multiple de 1 Kio. Pour dépanner une machine virtuelle dont la tâche de sauvegarde a échoué, exécutez la commande fdisk -l. Pour plus d'informations, consultez la page Gestion des partitions sous Linux avec fdisk sur le site Web de Red Hat.

Résoudre les erreurs AWS KMS

Vous recevez l'un des messages d'erreur suivants relatifs à la clé AWS KMS :

• « FAILED - KMS key is either disabled or pending deletion or access to KMS key is denied »
• « KMS key access denied error »
• « KMS validation error »

Pour résoudre les problèmes précédents, procédez comme suit :

• Pour les ressources qui ne prennent pas en charge la gestion complète d'AWS Backup, vérifiez si vous avez supprimé la clé AWS KMS qui chiffre la ressource. Si vous avez supprimé la clé, créez une nouvelle clé AWS KMS.
• Pour les ressources qui prennent en charge la gestion complète des sauvegardes AWS, vérifiez si vous avez supprimé la clé AWS KMS qui chiffre le coffre-fort de sauvegarde de destination. Si vous avez supprimé la clé, créez une nouvelle clé AWS KMS.
• Vérifiez si vous avez désactivé la clé AWS KMS. Si vous avez désactivé la clé, réactivez-la et créez à nouveau la tâche de sauvegarde.
• Si la clé AWS KMS est en attente de suppression, annulez la suppression.
• Vérifiez que le rôle IAM associé à la tâche de sauvegarde dispose des autorisations requises sur la clé AWS KMS. Le rôle IAM doit disposer au moins des autorisations KmsDecrypt, KmsCreateGrant et KmsGenerateDataKey.

Résoudre les erreurs d'échec de sauvegarde de Windows VSS pour Amazon EC2

Pour résoudre les échecs de sauvegarde du service VSS (Volume Shadow Copy Service) de Windows pour Amazon Elastic Compute Cloud (Amazon EC2), procédez comme suit :

• Assurez-vous que votre rôle de profil d'instance EC2 ou votre rôle de sauvegarde dispose des autorisations requises.
• Installez les dernières versions d'AWS Systems Manager Agent (SSM Agent) et des outils AWS pour PowerShell sur vos instances EC2. Pour installer SSM Agent, consultez amazon-ssm-agent sur le site Web GitHub.
• Vérifiez les ressources de votre système pour déterminer si la sauvegarde Windows VSS a expiré parce que le système était trop occupé lorsque vous avez pris l’instantané.
• Consultez les journaux de SSM Agent dans C:\ProgramData\Amazon\SSM\Logs pour résoudre les problèmes qui surviennent lors du processus d’instantané.