Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Por que minha cópia entre contas do AWS Backup falha?

7 minuto de leitura
0

Quero solucionar a falha da tarefa de cópia entre contas.

Breve descrição

Para solucionar uma falha na cópia entre contas, verifique as seguintes configurações:

  • Verifique se as contas de origem e de destino pertencem à mesma organização da AWS.
  • Verifique se o tipo de recurso oferece suporte à cópia entre contas nas regiões da AWS especificadas.
  • Verifique os critérios de criptografia do backup da conta de origem.
  • Verifique se a política de chave do AWS Key Management Service (AWS KMS) de origem permite a conta de destino.
  • Verifique se a política de acesso ao cofre de destino permite a conta de origem.
  • Verifique a configuração da política de tags da organização da AWS.

Resolução

As contas de origem e de destino devem fazer parte da mesma organização da AWS

Se as contas de origem e de destino não estiverem na mesma organização da AWS, talvez você receba o seguinte erro:

“A tarefa de cópia falhou. Tanto a conta de origem quanto a de destino devem ser membros da mesma organização.”

Tipos de recursos e regiões da AWS aceitos para cópias entre contas

Verifique se os seus recursos são aceitos para backup entre contas e se o recurso de backup entre contas está disponível na região da AWS escolhida:

Se o seu recurso não oferece suporte a uma ação de cópia única que faz backups entre regiões e entre contas, talvez você receba o seguinte erro:

“A tarefa de cópia de us-west-2 para us-east-1 não pode ser iniciada para recursos do RDS. O recurso não é compatível com o tipo de recurso fornecido.”

Os serviços a seguir não oferecem suporte a uma ação de cópia única que faz backups entre regiões e entre contas. Você pode escolher o backup entre regiões ou entre contas:

  • Amazon Relational Database Service (Amazon RDS)
  • Amazon Aurora
  • Amazon DocumentDB (compatível com MongoDB)
  • Amazon Neptune

Para o Amazon DynamoDB, você deve ativar o DynamoDB com recursos avançados do AWS Backup para executar backups entre contas.

Criptografia do AWS Backup de origem

Para recursos que não são totalmente gerenciados pelo AWS Backup, os backups usam a mesma chave do KMS do recurso de origem.

Para recursos totalmente gerenciados pelo AWS Backup, os backups são criptografados com a chave de criptografia do cofre de backup.

Para obter detalhes adicionais, consulte Criptografia de backups no AWS Backup.

A cópia entre contas com chaves do KMS gerenciadas pela AWS não é compatível com recursos que não são totalmente gerenciados pelo AWS Backup. Para obter a lista de recursos que não são totalmente gerenciados pelo AWS Backup, consulte Disponibilidade de recursos por recurso.

Se a sua tarefa de backup entre contas falhar devido ao uso de chaves do KMS gerenciadas pela AWS, talvez você veja um erro semelhante ao seguinte:

“A tarefa de cópia falhou porque o cofre de backup de destino está criptografado com a chave gerenciada do serviço de backup padrão. O conteúdo desse cofre não pode ser copiado. Somente o conteúdo de um cofre de backup criptografado por uma chave mestra do cliente (CMK) pode ser copiado.”

-ou-

“Os snapshots criptografados com a AWS Managed CMK não podem ser compartilhados. Especifique outro snapshot. (Serviço: AmazonEC2; Código do Status: 400; Código de erro: InvalidParameter; Request ID: ; Proxy: null)”

Não é possível alterar a chave de criptografia de um recurso. Você deve recriar o recurso usando um dos backups. Em seguida, durante o processo de restauração, você pode alterar a chave de criptografia do recurso para uma chave gerenciada pelo cliente do AWS KMS. Depois de alterar a chave de criptografia, você poderá fazer um backup e a cópia do recurso entre contas.

Política de chave do KMS de origem

Para executar as operações de criptografia necessárias durante uma cópia entre contas, a política de chave do KMS da conta de origem deve permitir a conta de destino na política de chave do KMS. Para recursos que não são totalmente gerenciados pelo AWS Backup, a chave do KMS de origem é a chave do KMS do recurso. Para recursos totalmente gerenciados pelo AWS Backup, a chave do KMS de origem é a chave do cofre de backup.

Se a política de chave do KMS da conta de origem não permitir a conta de destino, você receberá um erro semelhante ao seguinte:

“A chave KMS do source de origem não existe, não está habilitada ou você não tem permissão para acessá-la”

-ou-

“Falha na cópia do instantâneo da AMI com erro: O ID da chave fornecido não está acessível. Você deve ter permissões DescribeKey na CMK padrão.”

Para resolver os erros anteriores, você deve permitir a conta de destino na política de chave do KMS de origem. Isso permite que a conta de destino extraia os backups da conta de origem.

Para permitir a conta de destino na política de chave do KMS, use uma política de chave semelhante ao exemplo a seguir:

Observação: para usar essa política, substitua SourceAccountID pela ID da conta do AWS de sua conta de origem. Além disso, substitua DestinationAccountID pela ID da conta do AWS de sua conta de destino.

{
  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Política de acesso do cofre de destino

Se o cofre do AWS Backup de destino não for compartilhado com a conta de origem, talvez você receba o seguinte erro:

“Acesso negado ao tentar ligar para o serviço de backup da AWS”

Para resolver esse erro, permita sua conta de origem na política de acesso do cofre de destino. O exemplo de política a seguir permite sua conta de origem na política de acesso do cofre de destino:

Observação: para usar essa política, substitua SourceAccountID pela ID da conta do AWS de origem.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Política de tags da organização da AWS

Em geral, o AWS Backup copia as tags dos recursos para seus pontos de recuperação. Por exemplo, quando você faz backup de um volume do Amazon Elastic Block Store (Amazon EBS), o AWS Backup copia as tags para o snapshot resultante. Para mais informações, consulte Como copiar tags em backups.

Se a sua tarefa de backup entre contas falhar devido a uma política de chave, talvez você receba erros semelhantes aos seguintes:

“Não conseguimos copiar etiquetas de recursos para seu backup devido à falha interna”

-ou-

“A política de tags não permite o valor especificado para a seguinte chave de tag: 'xyz'”

Esses erros podem estar relacionados à política de tags de uma organização da AWS na qual as contas da AWS de origem e de destino são adicionadas como contas-membro. Se você está usando uma política de tags, verifique o seguinte para ver se há problemas que podem impedir um backup entre contas:

AWS OFICIAL
AWS OFICIALAtualizada há um ano