為什麼我的跨帳戶複製在 AWS Backup 中失敗？

簡短描述

若要對跨 AWS 帳戶的複製作業失敗的原因進行疑難排解，請檢查以下組態：

• 確認您的來源帳戶和目的地帳戶屬於 AWS Organizations 中的相同組織。
• 確保資源類型支援在指定的 AWS 區域中進行跨帳戶複製。
• 檢查來源帳戶備份的加密準則。
• 確認來源 AWS Key Management Service (KMS) 金鑰政策允許目的地帳戶。
• 確認目的地保存庫存取政策是否允許來源帳戶。
• 確保您已正確設定組織的標籤政策。

解決方法

**重要：**當您首次將備份複製到新區域或跨帳戶時，AWS Backup 會完整複製該備份。如果服務支援增量備份，則相同區域或帳戶中的後續備份複本將是增量備份。AWS Backup 會使用目的地保存庫的客戶自管金鑰加密您的複本。跨帳戶複製需要來源帳戶與目的地帳戶之間具有適當的授權和權限。

如需詳細資訊，請參閱對備份到不同帳戶或 AWS 區域的複本進行加密。

檢查您組織的會員帳戶

如果您的來源帳戶和目的地帳戶不屬於同一組織，您會收到以下錯誤訊息：

"Copy job failed. Both source and destination account must be a member of the same organization."

若要解決此問題，請將您的一個帳戶移轉到與另一個帳戶相同的組織。

檢查資源類型是否支援複製動作

確保您資源的 AWS 服務支援跨帳戶和跨區域備份。如需 AWS 服務支援 AWS Backup 的功能清單，請參閱依資源提供的功能。如需依區域提供的功能清單，請參閱依 AWS 區域提供的功能。

如果您的資源不支援執行跨帳戶和跨區域複製備份的複製動作，那麼您將收到類似於以下內容的錯誤訊息：

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

以下服務不支援執行跨帳戶和跨區域備份的複製動作：

• Amazon Relational Database Service (Amazon RDS)
• Amazon Aurora
• Amazon DocumentDB (with MongoDB compatibility)
• Amazon Neptune

對於上述服務，您必須執行跨帳戶備份或跨區域備份。對於 Amazon DynamoDB，您必須開啟具有 AWS Backup 進階功能的 DynamoDB，才能執行跨帳戶備份。

查看加密標準

如果您的跨帳戶備份作業因加密問題而失敗，那麼您會收到以下其中一個錯誤訊息：

"Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied."

-或-

"Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

若要解決這些問題，請完成以下步驟：

1. 建立資源的新備份。
2. 還原資源，然後選取 AWS KMS 客戶自管金鑰。
3. 建立已還原資源的新備份。
4. 執行跨帳戶複製。

對於 AWS Backup 未完全受管資源，備份會使用與來源資源相同的 AWS KMS key。對於完全受管的資源，備份會使用備份保存庫的加密金鑰。

如需詳細資訊，請參閱 AWS Backup 中備份的加密。

**注意：**對於 AWS Backup 未完全受管的資源，AWS Backup 不支援使用 AWS 受管金鑰進行跨帳戶複製。

檢查來源 KMS 金鑰政策

如果來源帳戶的 AWS KMS key 政策不允許目的地帳戶，您將收到下列其中一個錯誤訊息：

"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

-或-

"AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK."

若要解決這些問題，請在來源 AWS KMS key 政策新增目的地帳戶的權限。

使用以下範例政策：

{  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

**注意：**將 SourceAccountID 替換為您的來源帳戶 ID，並將 DestinationAccountID 替換為您的目的地帳戶 ID。

檢查目的地保存庫存取政策

如果您沒有與來源帳戶共用目的地 AWS Backup 保存庫，則會收到下列錯誤訊息：

"Access Denied trying to call AWS Backup service"

若要解決此問題，請將來源帳戶的權限新增至目的地保存庫存取政策。

使用以下範例政策：

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

**注意：**將 SourceAccountID 替換為您的來源帳戶 ID。

檢查您組織的標籤政策

AWS Backup 會將標籤從資源複製到復原點。例如，如果您備份 Amazon Elastic Block Store (Amazon EBS) 磁碟區，則 AWS Backup 會將標籤複製到快照。如需詳細資訊，請參閱還原期間複製標籤。

如果您的跨帳戶備份作業因標籤政策不正確而失敗，那麼您會收到以下其中一個錯誤訊息：

"We are unable to copy resource tags to your backup because of the Internal Failure"

-或-

"The tag policy does not allow the specified value for the following tag key: 'xyz'"

若要解決這些問題：

• 確認您的標籤遵循標籤最佳實務。
• 確認資源標籤是否與標籤政策中的標籤相符。