AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Por que minha cópia entre contas falha no AWS Backup?

6 minuto de leitura

Quero solucionar o motivo pelo qual minha tarefa de cópia entre contas falhou no AWS Backup.

Breve descrição

Para solucionar o motivo pelo qual sua tarefa de cópia falha nas contas da AWS, verifique as seguintes configurações:

Confirme se suas contas de origem e destino pertencem à mesma organização no AWS Organizations.
Certifique-se de que o tipo de recurso oferece suporte à cópia entre contas nas regiões AWS especificadas.
Verifique os critérios de criptografia do backup da conta de origem.
Confirme se a política de chave do AWS Key Management Service (AWS KMS) de origem permite a conta de destino.
Verifique se a política de acesso ao cofre de destino permite a conta de origem.
Verifique se você configurou corretamente a política de marcação da organização.

Resolução

Importante: quando você copia um backup para uma nova região ou entre contas pela primeira vez, o AWS Backup copia o backup por completo. Se um serviço oferecer suporte a backups incrementais, as cópias subsequentes do backup na mesma região ou conta serão incrementais. O AWS Backup criptografa sua cópia com a chave gerenciada pelo cliente do seu cofre de destino. A cópia entre contas exige autorização e permissões apropriadas entre as contas de origem e de destino.

Para mais informações, consulte Criptografia para cópias de um backup em uma conta diferente ou Região da AWS.

Verificar as contas de membros da organização

Se suas contas de origem e destino não estiverem na mesma organização, você receberá a seguinte mensagem de erro:

"Copy job failed. Both source and destination account must be a member of the same organization."

Para resolver esse problema, migre uma de suas contas para a mesma organização da outra conta.

Verificar se o tipo de recurso suporta a ação de cópia

Certifique-se de que o serviço da AWS para seus recursos ofereça suporte a backups entre contas e regiões. Para obter uma lista dos recursos que os serviços da AWS oferecem suporte para o AWS Backup, consulte Disponibilidade de atributos por recurso. Para obter uma lista dos recursos que estão disponíveis por região, consulte Disponibilidade de atributos por região da AWS.

Se seu recurso não oferecer suporte a uma ação de cópia que realize backups de cópia entre contas e regiões, você receberá uma mensagem de erro semelhante à seguinte:

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

Os serviços a seguir não oferecem suporte à ação de cópia para realizar backups entre contas e regiões:

Amazon Relational Database Service (Amazon RDS)
Amazon Aurora
Amazon DocumentDB (compatível com MongoDB)
Amazon Neptune

Para os serviços anteriores, você deve realizar um backup entre contas ou entre regiões. Para o Amazon DynamoDB, você deve ativar o DynamoDB com recursos avançados do AWS Backup para executar backups entre contas.

Revisar os critérios de criptografia

Se sua tarefa de backup entre contas falhar devido a problemas de criptografia, você receberá uma das seguintes mensagens de erro:

"Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied."

-ou-

"Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

Para resolver esses problemas, conclua as seguintes etapas:

Crie um novo backup do recurso.
Restaure o recurso e selecione uma chave gerenciada pelo cliente do AWS KMS.
Crie um novo backup do recurso restaurado.
Execute a cópia entre contas.

Para recursos que o AWS Backup não gerencia totalmente, os backups usam a mesma chave do AWS KMS do recurso de origem. Para recursos totalmente gerenciados, os backups usam a chave de criptografia do cofre de backup.

Para mais informações, consulte Criptografia para backups em AWS Backup.

Observação: o AWS Backup não oferece suporte à cópia entre contas com chaves gerenciadas pela AWS para recursos que o AWS Backup não gerencia totalmente.

Verificar a política de chaves do KMS de origem

Se a política de chaves do AWS KMS da conta de origem não permitir a conta de destino, você receberá uma das seguintes mensagens de erro:

"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

-ou-

"AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK."

Para resolver esses problemas, adicione permissões para a conta de destino à política de chaves do AWS KMS de origem.

Use a política de exemplo a seguir:

{  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Observação: substitua SourceAccountID pelo ID da conta de origem e DestinationAccountID pelo ID da conta de destino.

Verificar a política de acesso do cofre de destino

Se você não compartilhou o cofre do AWS Backup de destino com a conta de origem, receberá a seguinte mensagem de erro:

"Access Denied trying to call AWS Backup service"

Para resolver esse problema, adicione permissões para sua conta de origem à política de acesso ao cofre de destino.

Use a política de exemplo a seguir:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Observação: substitua SourceAccountID pelo ID da sua conta de origem.

Verificar a política de marcação da organização

O AWS Backup copia marcações de recursos para pontos de recuperação. Por exemplo, se você fizer backup de um volume do Amazon Elastic Block Store (Amazon EBS), o AWS Backup copiará as marcações para o snapshot. Para mais informações, consulte Copiar tags durante uma restauração.

Se sua tarefa de backup entre contas falhar devido a uma política de marcação incorreta, você receberá uma das seguintes mensagens de erro:

"We are unable to copy resource tags to your backup because of the Internal Failure"

-ou-

"The tag policy does not allow the specified value for the following tag key: 'xyz'"

Para resolver esses problemas:

Confirme se suas marcações seguem as práticas recomendadas de marcação.
Verifique se as marcações de recursos correspondem à marcação que está nas políticas de marcação.

Tópicos: Storage
Tags: AWS Backup
Idioma: Português

AWS OFICIALAtualizada há 6 meses

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 3 meses
Conta Free com problema.
Anderson Rodrigues
feita há 4 meses
Ajuda com agendamento de backup por snapshot no DLM (Data Lifecycle Manager
LeadersIT
feita há 6 meses
Pagamento por PIX não reativou minha conta
Assisthemis
feita há 4 meses
Não consigo me logar pela conta principal
Lince Web
feita há um ano
Como soluciono erros “Access denied” para operações de cópia entre contas no AWS Backup?
AWS OFICIALAtualizada há 3 meses
Como resolver o erro “Access Denied trying to call AWS Backup service” ao tentar criar uma cópia entre contas no AWS Backup?
AWS OFICIALAtualizada há 9 meses
Como posso resolver o erro "Given key ID not accessible" ao realizar uma cópia entre contas no AWS Backup?
AWS OFICIALAtualizada há 3 anos
Por que minha tarefa de PITR do AWS Backup falha quando ela se sobrepõe às janelas de manutenção do Amazon RDS?
AWS OFICIALAtualizada há 3 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 5 meses