Pourquoi ma copie intercomptes échoue-t-elle dans AWS Backup ?

Lecture de 7 minute(s)
0

Je souhaite résoudre le problème d'échec de ma tâche de copie intercomptes.

Brève description

Pour résoudre les problèmes d'échec de copie intercomptes, vérifiez les configurations suivantes :

  • Vérifiez que vos comptes source et de destination appartiennent bien à la même AWS Organization.
  • Vérifiez que le type de ressource prend bien en charge la copie intercomptes dans les régions AWS spécifiées.
  • Vérifiez les critères de chiffrement pour la sauvegarde de votre compte source.
  • Vérifiez que la stratégie de clé source d'AWS Key Management Service (AWS KMS) intègre bien le compte de destination.
  • Vérifiez que la stratégie d'accès au coffre-fort de destination intègre bien le compte source.
  • Vérifiez la configuration de la stratégie de balise d'AWS Organization.

Résolution

Les comptes source et de destination doivent appartenir à la même AWS Organization

Si vos comptes source et de destination n'appartiennent pas à la même AWS Organization, le message d'erreur suivant peut s'afficher :

« Copy job failed. Both source and destination account must be a member of the same organization. »

Types de ressources et régions AWS pris en charge pour les copies intercomptes

Vérifiez que vos ressources sont prises en charge pour la sauvegarde intercomptes et que la sauvegarde est disponible dans la région AWS que vous avez choisie :

Si votre ressource ne prend pas en charge une action de copie unique qui effectue à la fois des sauvegardes interrégions et intercomptes, le message d'erreur suivant peut s'afficher :

« Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type. »

Les services suivants ne prennent pas en charge une action de copie unique qui effectue à la fois une sauvegarde interrégions et intercomptes. Vous pouvez choisir entre la sauvegarde interrégions et la sauvegarde intercomptes :

  • Amazon Relational Database Service (Amazon RDS)
  • Amazon Aurora
  • Amazon DocumentDB (compatible avec MongoDB)
  • Amazon Neptune

Pour Amazon DynamoDB, vous devez activer DynamoDB avec les fonctions avancées d'AWS Backup pour effectuer des sauvegardes intercomptes.

Chiffrement de l'AWS Backup source

Quand il s'agit de ressources non entièrement gérées par AWS Backup, les sauvegardes utilisent la même clé KMS que la ressource source.

Quand il s'agit de ressources entièrement gérées par AWS Backup, les sauvegardes sont chiffrées à l'aide de la clé de chiffrement du coffre-fort de sauvegarde.

Pour en savoir plus, reportez-vous à Chiffrement pour les sauvegardes dans AWS Backup.

La copie intercomptes avec les clés KMS gérées par AWS n'est pas prise en charge pour les ressources qui ne sont pas entièrement gérées par AWS Backup. Pour consulter la liste des ressources qui ne sont pas entièrement gérées par AWS Backup, reportez-vous à Disponibilité des fonctionnalités par ressource.

Si votre tâche de sauvegarde intercomptes échoue en raison de l'utilisation de clés KMS gérées par AWS, un message d'erreur semblable à celui-ci peut s'afficher :

« Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied. »

-or-

« Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null) »

Vous ne pouvez pas modifier la clé de chiffrement d'une ressource. Vous devez recréer la ressource à partir d'une des sauvegardes. Puis, lors du processus de restauration, vous pouvez changer la clé de chiffrement de la ressource en une clé gérée par le client AWS KMS. Une fois la clé de chiffrement changée, vous pouvez effectuer une sauvegarde et une copie intercomptes pour la ressource.

Stratégie de clé KMS du compte source

Pour effectuer les opérations cryptographiques requises lors d'une copie intercomptes, la stratégie de clé KMS du compte source doit intégrer le compte de destination dans la stratégie de clé KMS. Pour les ressources non entièrement gérées par AWS Backup, la clé KMS source est la clé KMS de la ressource. Pour les ressources entièrement gérées par AWS Backup, la clé KMS source est la clé du coffre-fort de sauvegarde.

Si la stratégie de clé KMS du compte source n'intègre pas le compte de destination, un message d'erreur semblable à celui-ci s'affiche :

« The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it »

-or-

« AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK. »

Pour résoudre les erreurs précédentes, vous devez intégrer le compte de destination dans la stratégie de clé KMS source. Le compte de destination peut ainsi extraire les sauvegardes du compte source.

Pour intégrer le compte de destination dans la stratégie de clé KMS, utilisez une stratégie de clé semblable à celle de l'exemple suivant :

Remarque : Pour utiliser cette stratégie, remplacez SourceAccountID par l'ID du compte AWS de votre compte source. Remplacez également DestinationAccountID par l'ID de votre compte AWS de destination.

{
  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Stratégie d'accès au coffre-fort de destination

Si le coffre-fort AWS Backup de destination n'est pas partagé avec le compte source, le message d'erreur suivant peut s'afficher :

« Access Denied trying to call AWS Backup service »

Pour résoudre cette erreur, intégrez votre compte source dans la stratégie d'accès au coffre-fort de destination. L'exemple de stratégie suivant intègre votre compte source dans la stratégie d'accès au coffre-fort de destination :

Remarque : Pour utiliser cette stratégie, remplacez SourceAccountID par l'ID de votre compte AWS source.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Stratégie d'AWS Organization en matière de balises

En règle générale, AWS Backup copie les balises des ressources vers vos points de récupération. Par exemple, lorsque vous sauvegardez un volume Amazon Elastic Block Store (Amazon EBS), AWS Backup copie les balises dans l'instantané obtenu. Pour plus d'informations, reportez-vous à Copie des balises dans des sauvegardes.

Si votre tâche de sauvegarde intercomptes échoue en raison d'une stratégie de clé, des messages d'erreur semblables à ceux-ci peuvent s'afficher :

« We are unable to copy resource tags to your backup because of the Internal Failure »

-or-

« The tag policy does not allow the specified value for the following tag key: 'xyz' »

Ces erreurs peuvent être associées à la stratégie de balise pour une AWS Organization dans laquelle les comptes AWS source et de destination sont ajoutés en tant que comptes membres. Si vous utilisez une stratégie de balises, vérifiez les points suivants pour détecter les problèmes susceptibles d'empêcher une sauvegarde intercomptes :

  • Assurez-vous que vos balises sont conformes aux bonnes pratiques.
  • Vérifiez que les balises ajoutées à vos ressources correspondent parfaitement à la balise décrite dans la stratégie de balises.
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an