Warum schlägt meine kontoübergreifende Kopie in AWS Backup fehl?

Lesedauer: 6 Minute
0

Ich möchte herausfinden, warum mein kontoübergreifender Kopierauftrag fehlschlägt.

Kurzbeschreibung

Überprüfen Sie die folgenden Konfigurationen, um eine fehlgeschlagene kontoübergreifende Kopie zu beheben:

  • Stellen Sie sicher, dass Ihre Quell- und Zielkonten derselben AWS-Organisation gehören.
  • Stellen Sie sicher, dass der Ressourcentyp das kontenübergreifende Kopieren in den angegebenen AWS-Regionen unterstützt.
  • Überprüfen Sie die Verschlüsselungskriterien für die Sicherung Ihres Quellkontos.
  • Stellen Sie sicher, dass die Quellschlüsselrichtlinie des AWS Key Management Service (AWS KMS) das Zielkonto zulässt.
  • Stellen Sie sicher, dass die Richtlinie für den Zugriff auf den Zieltresor das Quellkonto zulässt.
  • Überprüfen Sie die Konfiguration der AWS-Organization-Tag-Richtlinie.

Lösung

Quell- und Zielkonten müssen Teil derselben AWS-Organisation sein

Wenn sich Ihre Quell- und Zielkonten nicht in derselben AWS-Organisation befinden, wird möglicherweise der folgende Fehler angezeigt:

„Der Kopierauftrag ist fehlgeschlagen. Sowohl das Quell- als auch das Zielkonto müssen Mitglied derselben Organisation sein“.

Unterstützte Ressourcentypen und AWS-Regionen für kontoübergreifende Kopien

Stellen Sie sicher, dass Ihre Ressourcen für kontoübergreifendes Backup unterstützt werden und ob die kontoübergreifende Backup-Funktion in der von Ihnen ausgewählten AWS-Region verfügbar ist:

Wenn Ihre Ressource keine einzige Kopieraktion unterstützt, die sowohl regionsübergreifende als auch kontoübergreifende Backups durchführt, wird möglicherweise der folgende Fehler angezeigt:

„Der Kopierauftrag von us-west-2 nach us-east-1 kann für RDS-Ressourcen nicht initiiert werden. Die Funktion wird für den angegebenen Ressourcentyp nicht unterstützt“.

Die folgenden Dienste unterstützen keine einzige Kopieraktion, die sowohl regionsübergreifende als auch kontoübergreifende Backups durchführt. Sie können entweder regionsübergreifendes oder kontoübergreifendes Backup wählen:

  • Amazon Relational Database Service (Amazon RDS)
  • Amazonas Aurora
  • Amazon DocumentDB (mit MongoDB-Kompatibilität)
  • Amazonas Neptun

Für Amazon DynamoDB müssen Sie DynamoDB mit den erweiterten Funktionen von AWS Backup aktivieren, um kontoübergreifende Backups durchzuführen.

Quelle: AWS Backup-Verschlüsselung

Für die Ressourcen, die nicht vollständig von AWS Backup verwaltet werden, verwenden die Backups denselben KMS-Schlüssel wie die Quellressource.

Für die Ressourcen, die vollständig von AWS Backup verwaltet werden, werden die Backups mit dem Verschlüsselungsschlüssel des Backup-Tresors verschlüsselt.

Weitere Informationen finden Sie unter Verschlüsselung für Backups in AWS Backup.

Kontoübergreifendes Kopieren mit von AWS verwalteten KMS-Schlüsseln wird für Ressourcen, die nicht vollständig von AWS Backup verwaltet werden, nicht unterstützt. Eine Liste der Ressourcen, die nicht vollständig von AWS Backup verwaltet werden, finden Sie unter Funktionsverfügbarkeit nach Ressourcen.

Wenn Ihr kontoübergreifender Backup-Job aufgrund der Verwendung von von AWS verwalteten KMS-Schlüsseln fehlschlägt, wird möglicherweise ein Fehler ähnlich dem folgenden angezeigt:

„Der Kopierauftrag ist fehlgeschlagen, weil der Ziel-Backup-Tresor mit dem vom Backup-Dienst verwalteten Standardschlüssel verschlüsselt ist. Der Inhalt dieses Tresors kann nicht kopiert werden. Nur der Inhalt eines mit einem Kundenmasterschlüssel (CMK) verschlüsselten Backup-Tresors darf kopiert werden.“

-oder-

„Mit dem AWS Managed CMK verschlüsselte Snapshots können nicht geteilt werden. Geben Sie einen anderen Snapshot an. (Service: Amazon EC2; Statuscode: 400; Fehlercode: InvalidParameter; Request ID: ; Proxy: null)"

Sie können den Verschlüsselungsschlüssel einer Ressource nicht ändern. Sie müssen die Ressource mithilfe eines der Backups neu erstellen. Anschließend können Sie während des Wiederherstellungsvorgangs den Verschlüsselungsschlüssel der Ressource in einen vom Kunden von AWS KMS verwalteten Schlüssel ändern. Nachdem Sie den Verschlüsselungsschlüssel geändert haben, können Sie eine Sicherungskopie und eine kontenübergreifende Kopie für die Ressource erstellen.

Quell-KMS-Schlüsselrichtlinie

Um die erforderlichen kryptografischen Operationen während einer kontenübergreifenden Kopie ausführen zu können, muss die KMS-Schlüsselrichtlinie des Quellkontos das Zielkonto in der KMS-Schlüsselrichtlinie zulassen. Für Ressourcen, die nicht vollständig von AWS Backup verwaltet werden, ist der Quell-KMS-Schlüssel der Ressourcen-KMS-Schlüssel. Für Ressourcen, die vollständig von AWS Backup verwaltet werden, ist der Quell-KMS-Schlüssel der Backup-Vault-Schlüssel.

Wenn die KMS-Schlüsselrichtlinie des Quellkontos das Zielkonto nicht zulässt, wird eine Fehlermeldung ähnlich der folgenden angezeigt:

„Der Quell-Snapshot-KMS-Schlüssel ist nicht vorhanden, ist nicht aktiviert oder Sie haben keine Zugriffsrechte.“

-oder-

„Das Kopieren des AMI-Snapshots ist mit folgendem Fehler fehlgeschlagen: Auf die angegebene Schlüssel-ID kann nicht zugegriffen werden. Sie müssen über DescribeKey-Berechtigungen für das Standard-CMK verfügen.“

Um die oben genannten Fehler zu beheben, müssen Sie das Zielkonto in der Quell-KMS-Schlüsselrichtlinie zulassen. Dadurch kann das Zielkonto die Backups aus dem Quellkonto abrufen.

Um das Zielkonto in der KMS-Schlüsselrichtlinie zuzulassen, verwenden Sie eine Schlüsselrichtlinie, die dem folgenden Beispiel ähnelt:

Hinweis: Um diese Richtlinie zu verwenden, ersetzen Sie sourceAccountId durch die AWS-Konto-ID Ihres Quellkontos. Ersetzen Sie außerdem DestinationAccountID durch die AWS-Konto-ID Ihres Zielkontos.

{
  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Richtlinie für den Zugriff auf den Zieltresor

Wenn der Ziel-AWS-Backup-Vault nicht mit dem Quellkonto geteilt wird, wird möglicherweise der folgende Fehler angezeigt:

„Zugriff verweigert beim Versuch, den AWS Backup-Service aufzurufen“

Um diesen Fehler zu beheben, geben Sie Ihrem Quellkonto die Zugriffsrichtlinie für den Zieltresor zu. Die folgende Beispielrichtlinie erlaubt Ihrem Quellkonto den Zugriff auf die Richtlinie für den Zieltresor:

Hinweis: Um diese Richtlinie zu verwenden, ersetzen Sie SourceAccountID durch Ihre AWS-Quellkonto-ID.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Kennzeichnungsrichtlinie der AWS-Organisation

Im Allgemeinen kopiert AWS Backup Tags von den Ressourcen auf Ihre Wiederherstellungspunkte. Wenn Sie beispielsweise ein Amazon Elastic Block Store (Amazon EBS) -Volume sichern, kopiert AWS Backup Tags in den resultierenden Snapshot. Weitere Informationen finden Sie unter Tags in Backups kopieren.

Wenn Ihr kontoübergreifender Backup-Job aufgrund einer wichtigen Richtlinie fehlschlägt, treten möglicherweise Fehler wie die folgenden auf:

„Aufgrund des internen Fehlers können wir keine Ressourcen-Tags in Ihr Backup kopieren“

-oder-

„Die Tag-Richtlinie erlaubt den angegebenen Wert für den folgenden Tag-Schlüssel nicht: 'xyz'“

Diese Fehler können mit der Tag-Richtlinie für eine AWS-Organisation zusammenhängen, in der die Quell- und Ziel-AWS-Konten als Mitgliedskonten hinzugefügt werden. Wenn du eine Tag-Richtlinie verwendest, überprüfe die folgenden Punkte auf Probleme, die ein kontoübergreifendes Backup verhindern können:

  • Stellen Sie sicher, dass Ihre Tags den Best Practices entsprechen.
  • Stellen Sie sicher, dass die zu Ihren Ressourcen hinzugefügten Tags genau mit dem in der Tag-Richtlinie beschriebenen Tag übereinstimmen.
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 8 Monaten