如何在 AWS Backup 中對失敗的備份作業進行疑難排解？

簡短描述

您無法重試已失敗的備份作業。

如果排程備份計畫啟動備份作業，AWS Backup 會在下一個排程執行時期為該資源建立新的備份作業。如果您啟用手動或隨需備份作業，則必須提出新的 StartBackupJob 請求來備份資源。

**注意：**如果您的資源備份作業未能執行，請參閱為什麼我的 AWS Backup 排程備份計畫沒有執行？

若要查看備份作業的狀態，請使用監控工具或執行 describe-backup-job AWS Command Line Interface (AWS CLI) 命令。狀態訊息會提供失敗備份作業的疑難排解資訊。

**注意：**如果您在執行 AWS CLI 命令時收到錯誤，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確認您使用的是最新的 AWS CLI 版本。

解決方法

解決 IAM 權限問題

當 AWS Identity and Access Management (IAM) 角色發生權限問題時，您可能會收到以下其中一個錯誤訊息：

• 「You are not authorized to perform this operation」
• 「Backup job failed because of insufficient privileges」
• 或其他與權限相關的錯誤

若要解決權限問題，請確保用於建立備份的 IAM 角色符合以下要求：

• 您已在 IAM 角色的信任政策中將 AWS Backup 納入受信任實體，使 AWS Backup 能夠承擔該角色。
• 您的客戶管理政策包含備份作業互動之 AWS 服務的存取權限。
• 您已將 AWS Key Management Service (KMS) 權限新增至備份角色。角色至少必須具備 KmsDecrypt、KmsCreateGrant 以及 KmsGenerateDataKey 權限。
  **注意：**請確認 AWS KMS 金鑰政策包含 Principal arn:aws:iam::111122223333:root Amazon Resource Name (ARN)。如果未包含 IAM 主體 ARN，那麼 IAM 主體將無法存取該金鑰。如果 IAM 政策拒絕對金鑰的存取，則不需要包含 IAM 主體 ARN。

**注意：**如果您使用 AWS Backup 建立的預設 IAM 角色，則該角色會透過 AWSBackupServiceRolePolicyForBackup 和 AWSBackupServiceRolePolicyForRestores AWS 管理政策取得權限。

AWS Backup 建立了 AWSBackupDefaultServiceRole 與 AWSServiceRoleForBackup IAM 角色，兩者擁有不同權限和用途。請確保您使用正確的 IAM 角色。在建立備份計畫或啟動手動備份作業時，請選擇預設的 AWSBackupDefaultServiceRole 角色。

**注意：**最佳實務是使用 AWSBackupDefaultServiceRole 來建立 Amazon Simple Storage Service (Amazon S3) 備份。若要讓預設角色能對 S3 資源執行動作，請參閱 Amazon S3 備份與還原的權限與政策。

解決備份作業完成的問題

當備份作業未能如期完成時，您可能會收到以下其中一個錯誤訊息：

• 「Backup Job did not complete within completion window」
• 「An AWS Backup job failed to complete in time」

當備份作業因上述錯誤失敗時，該作業也會顯示 EXPIRED (過期) 狀態。若要解決這些問題，請參閱 為什麼我的備份作業在 AWS Backup 中顯示過期狀態？

您也可以使用 Complete within (完成時間) 參數在您的備份規則組態中指定備份時段。將 Complete within (完成時間) 參數設為較長的時間，以確保備份作業能如期完成。

**注意：**Complete within (完成時間) 參數設定了備份必須完成的時段。AWS Backup 完成備份作業所需的時間會有所不同。如果備份資源的資料傳輸未能在 Complete within (完成時間) 時段內完成，AWS Backup 將停止備份作業。此時，備份作業會顯示 EXPIRED (過期) 狀態。

解決生命週期問題

當備份保存庫設有 MaxRetentionDays 和 MinRetentionDays 的保存庫鎖定時，您可能會收到以下錯誤訊息：

「Backup job failed because the lifecycle is outside the valid range for backup vault」

當保留期限未落在指定的最大與最小保留期間內時，您會限制在保存庫中建立備份。

若要解決此問題，請在備份計畫中更改備份保留設定，使其在指定範圍內進行。或更新保存庫鎖定的保留期間組態。

解決 VMware 備份問題

當執行 VMware 備份時，您可能會收到以下其中一個錯誤訊息：

• 「Unsupported disk size detected during backup creation.Aborted backup job」
• 「Failed to process backup data during backup data processing.Aborted backup job」

若要解決上述錯誤訊息，請採取以下措施：

• 確認 AWS Backup 支援您的 VMware 虛擬機器 (VM)。
• 開啟所有必要的連接埠，使 AWS Backup 閘道能夠連線主機並備份您的 VM。然後，確認您已正確設定閘道裝置上的 DNS 伺服器。
• 如果您將 VM 的磁碟模式設為 independent-persistent 或 independent-non persistent，請將模式改為相依於所有磁碟。AWS Backup 僅支援相依於所有磁碟。
• 檢查 VM 的虛擬磁碟大小。AWS Backup 僅支援 1 KiB 倍數的 VM 虛擬磁碟大小。若要對備份失敗的 VM 進行進行疑難排解，請執行 fdisk -l 命令。如需更多資訊，請參閱 Red Hat 網站上的使用 fdisk 管理 Linux 分區。

解決 AWS KMS 錯誤

當發生 AWS KMS key 錯誤時，您會收到以下其中一個錯誤訊息：

• 「FAILED - KMS key is either disabled or pending deletion or access to KMS key is denied」
• 「KMS key access denied error」
• 「KMS validation error」

若要解決上述問題，請採取以下措施：

• 對於不支援完整 AWS Backup 管理的資源，請檢查您是否已刪除用來加密資源的 AWS KMS key。如果您已刪除該金鑰，請建立新的 AWS KMS key。
• 對於支援完整 AWS Backup 管理的資源，請檢查您是否已刪除用來加密目的地備份保存庫的 AWS KMS key。如果您已刪除該金鑰，請建立新的 AWS KMS key。
• 請檢查您是否已停用 AWS KMS key。如果您已停用該金鑰，請重新啟用並再次建立備份作業。
• 如果 AWS KMS key 正處於待刪除狀態，請取消刪除。
• 請確認與備份作業關聯的 IAM 角色在 AWS KMS key 上具備所需的權限。角色至少必須具備 KmsDecrypt、KmsCreateGrant 以及 KmsGenerateDataKey 權限。

解決 Amazon EC2 的 Windows VSS 備份失敗錯誤

若要解決 Amazon Elastic Compute Cloud (Amazon EC2) 的 Windows Volume Shadow Copy Service (VSS) 備份失敗問題，請採取以下措施：

• 請確保您的 EC2 執行個體設定檔角色或備份角色具備必要的權限。
• 在 EC2 執行個體上安裝最新版的 AWS Systems Manager Agent (SSM Agent) 與 AWS Tools for PowerShell。若要安裝 SSM Agent，請參閱 GitHub 網站上的 amazon-ssm-agent。
• 請檢查系統資源，以判斷 Windows VSS 備份是否因系統在建立快照時過於繁忙而逾時。
• 請檢查 C:\ProgramData\Amazon\SSM\Logs 中的 SSM Agent 日誌，以疑難排解快照程序期間發生的問題。