AWS Backup에서 크로스 계정 복사가 실패하는 이유는 무엇입니까?

간략한 설명

AWS 계정 전체에서 복사 작업이 실패하는 문제를 해결하려면 다음 구성을 확인하십시오.

• 소스 및 대상 계정이 AWS Organizations의 동일한 조직에 속하는지 확인합니다.
• 리소스 유형이 지정된 AWS 리전에서 크로스 계정 복사를 지원하는지 확인합니다.
• 소스 계정 백업의 암호화 기준을 검토합니다.
• AWS Key Management Service(AWS KMS) 키 정책이 대상 계정을 허용하는지 확인합니다.
• 대상 볼트 액세스 정책이 소스 계정을 허용하는지 확인합니다.
• 조직의 태그 정책을 올바르게 구성했는지 확인합니다.

해결 방법

중요: 사용자가 백업을 새 리전이나 계정 전체에 처음으로 복사하는 경우 AWS Backup은 전체 백업을 복사합니다. 서비스가 증분 백업을 지원하는 경우 동일한 리전 또는 계정에 있는 백업의 후속 사본은 증분 백업입니다. AWS Backup은 대상 볼트의 고객 관리형 키로 사본을 암호화합니다. 크로스 계정 복사를 위해서는 소스 계정과 대상 계정 간의 적절한 권한 부여 및 권한이 필요합니다.

자세한 내용은 다른 계정 또는 AWS 리전에 대한 백업 사본 암호화를 참조하십시오.

조직의 멤버 계정 확인

소스 계정과 대상 계정이 같은 조직에 속하지 않는 경우 다음과 같은 오류 메시지가 나타납니다. 

"Copy job failed. Both source and destination account must be a member of the same organization."

이 문제를 해결하려면 계정 중 하나를 다른 계정과 동일한 조직으로 마이그레이션하십시오.

리소스 유형이 복사 작업을 지원하는지 확인

리소스의 AWS 서비스가 크로스 계정 및 교차 리전 백업을 지원하는지 확인하십시오. AWS 서비스가 AWS Backup에 지원하는 기능 목록은 리소스별 기능 사용 가능성을 참조하십시오. 리전별로 사용할 수 있는 기능 목록은 AWS 리전별 기능 사용 가능성을 참조하십시오.

리소스가 크로스 계정 및 교차 리전 사본 백업을 모두 수행하는 복사 작업을 지원하지 않는 경우 다음과 비슷한 오류 메시지가 표시됩니다.

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

다음 서비스는 크로스 계정 및 교차 리전 백업을 모두 수행하는 복사 작업을 지원하지 않습니다.

• Amazon Relational Database Service(RDS)
• Amazon Aurora
• Amazon DocumentDB(MongoDB 호환)
• Amazon Neptune

위 서비스의 경우 크로스 계정 백업 또는 교차 리전 백업을 수행해야 합니다. Amazon DynamoDB의 경우, 크로스 계정 백업을 수행하려면 AWS Backup의 고급 기능이 포함된 DynamoDB를 켜야 합니다.

암호화 기준 검토

암호화 문제로 인해 크로스 계정 백업 작업이 실패하면 다음 오류 메시지 중 하나가 표시됩니다.

"Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied."

-또는-

"Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

이러한 문제를 해결하려면 다음 단계를 완료하십시오.

1. 리소스의 새 백업을 생성합니다.
2. 리소스를 복원하고 AWS KMS 고객 관리형 키를 선택합니다.
3. 복원된 리소스의 새 백업을 생성합니다.
4. 크로스 계정 복사를 수행합니다.

AWS Backup에서 완전히 관리하지 않는 리소스의 백업은 소스 리소스와 동일한 AWS KMS 키를 사용합니다. 완전 관리형 리소스의 백업은 백업 볼트의 암호화 키를 사용합니다.

자세한 내용은 AWS Backup의 백업 암호화를 참조하십시오.

참고: AWS Backup은 AWS Backup에서 완전히 관리하지 않는 리소스에 AWS 관리형 키를 사용한 크로스 계정 복사를 지원하지 않습니다.

소스 KMS 키 정책 확인

소스 계정의 AWS KMS 키 정책이 대상 계정을 허용하지 않는 경우 다음 오류 메시지 중 하나가 표시됩니다.

"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

-또는-

"AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK."

이러한 문제를 해결하려면 소스 AWS KMS 키 정책에 대상 계정에 대한 권한을 추가하십시오.

다음 예제 정책을 사용하십시오.

{  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

참고: SourceAccountID를 소스 계정 ID로 바꾸고 DestinationAccountID를 대상 계정 ID로 바꾸십시오.

대상 볼트 액세스 정책 확인

대상 AWS Backup 볼트를 소스 계정과 공유하지 않은 경우 다음 오류 메시지가 표시됩니다.

"Access Denied trying to call AWS Backup service"

이 문제를 해결하려면 소스 계정에 대한 권한을 대상 볼트 액세스 정책에 추가하십시오.

다음 예제 정책을 사용하십시오.

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

참고: SourceAccountID를 해당 소스 계정 ID로 바꾸십시오.

조직의 태그 정책 확인

AWS Backup은 리소스의 태그를 복구 시점으로 복사합니다. 예를 들어 Amazon Elastic Block Store(Amazon EBS) 볼륨을 백업하면 AWS Backup이 스냅샷에 태그를 복사합니다. 자세한 내용은 복원 중 태그 복사를 참조하십시오.

잘못된 태그 정책으로 인해 크로스 계정 백업 작업이 실패하면 다음 오류 메시지 중 하나가 표시됩니다.

"We are unable to copy resource tags to your backup because of the Internal Failure"

-또는-

"The tag policy does not allow the specified value for the following tag key: 'xyz'"

이러한 문제를 해결하려면 다음을 수행하십시오.

• 태그가 태깅 모범 사례를 따르는지 확인합니다.
• 리소스 태그가 태그 정책에 있는 태그와 일치하는지 확인합니다.