¿Por qué da error mi copia entre cuentas en AWS Backup?

7 minutos de lectura
0

Quiero solucionar el problema que evita que mi trabajo de copia entre cuentas se realice correctamente.

Descripción breve

Para solucionar un error en la copia entre cuentas, compruebe las siguientes configuraciones:

  • Compruebe que sus cuentas de origen y destino pertenecen a la misma organización de AWS.
  • Compruebe que el tipo de recurso admite la copia entre cuentas en las regiones de AWS especificadas.
  • Compruebe los requisitos de cifrado de la copia de seguridad de su cuenta de origen.
  • Compruebe que la política de claves de AWS Key Management Service (AWS KMS) de origen incluye la cuenta de destino.
  • Compruebe que la política de acceso al almacén de destino incluye la cuenta de origen.
  • Compruebe la configuración de la política de etiquetas de AWS Organization.

Resolución

Las cuentas de origen y destino deben formar parte de la misma organización de AWS

Si sus cuentas de origen y destino no están en la misma organización de AWS, es posible que vea el siguiente error:

«Copy job failed. Both source and destination account must be a member of the same organization.»

Tipos de recursos y regiones de AWS compatibles para copias entre cuentas

Compruebe que sus recursos son compatibles con la copia de seguridad entre cuentas y si la característica de copia de seguridad entre cuentas está disponible en la región de AWS que elija:

Si su recurso no admite una acción única de copia que realice tanto copias de seguridad entre regiones como entre cuentas, es posible que aparezca el siguiente error:

«Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type.»

Los siguientes servicios no admiten una acción única de copia que realice tanto copias de seguridad entre regiones como entre cuentas. Puede elegir entre una copia de seguridad entre regiones o entre cuentas:

  • Amazon Relational Database Service (Amazon RDS)
  • Amazon Aurora
  • Amazon DocumentDB (compatible con MongoDB)
  • Amazon Neptuno

En el caso de Amazon DynamoDB, debe activar DynamoDB con las características avanzadas de AWS Backup para realizar copias de seguridad entre cuentas.

Cifrado de AWS Backup de origen

En el caso de los recursos que AWS Backup no administra por completo, las copias de seguridad utilizan la misma clave de KMS que el recurso de origen.

En el caso de los recursos que AWS Backup administra en su totalidad, las copias de seguridad se cifran con la clave de cifrado del almacén de copia de seguridad.

Para obtener más información, consulte Encryption for backups in AWS Backup.

No se admite la copia entre cuentas con claves de KMS administradas por AWS para los recursos que AWS Backup no administre en su totalidad. Para ver la lista de los recursos que AWS Backup no administra en su totalidad, consulte Disponibilidad de características por recurso.

Si se produce un error en el trabajo de copia de seguridad entre cuentas debido al uso de claves de KMS administradas por AWS, es posible que aparezca un error similar al siguiente:

«Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied.»

-o-

«Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)»

No puede cambiar la clave de cifrado de un recurso. Debe volver a crear el recurso utilizando una de las copias de seguridad. A continuación, durante el proceso de restauración, puede cambiar la clave de cifrado del recurso por una clave administrada por el cliente de AWS KMS. Tras cambiar la clave de cifrado, puede realizar una copia de seguridad y una copia entre cuentas del recurso.

Política de claves de KMS de origen

Para realizar las operaciones criptográficas necesarias durante una copia entre cuentas, la política de claves de KMS de la cuenta de origen debe permitir que dicha política incluya la cuenta de destino. Para los recursos que AWS Backup no administra en su totalidad, la clave de KMS de origen es la clave de KMS del recurso. En el caso de los recursos que AWS Backup administra en su totalidad, la clave de KMS de origen es la clave del almacén de copia de seguridad.

Si la política de claves de KMS de la cuenta de origen no incluye la cuenta de destino, aparecerá un error similar al siguiente:

«The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

-o-

«AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK.»

Para resolver los errores anteriores, debe permitir que la política de claves de KMS de origen incluya la cuenta de destino. Esto permite que la cuenta de destino extraiga las copias de seguridad de la cuenta de origen.

Para permitir que la política de claves de KMS incluya la cuenta de destino, utilice una política de claves similar al ejemplo siguiente:

Nota: Para utilizar esta política, sustituya SourceAccountID por el ID de cuenta de AWS de su cuenta de origen. Además, sustituya DestinationAccountID por el ID de cuenta AWS de su cuenta de destino.

{
  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Política de acceso al almacén de destino

Si el almacén de AWS Backup de destino no se comparte con la cuenta de origen, es posible que aparezca el siguiente error:

«Access Denied trying to call AWS Backup service»

Para resolver este error, incluya su cuenta de origen en la política de acceso al almacén de destino. El siguiente ejemplo de política permite que su cuenta de origen se incluya en la política de acceso al almacén de destino:

Nota: Para utilizar esta política, sustituya SourceAccountID por el ID de su cuenta de AWS de origen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Política de etiquetas de AWS Organization

En general, AWS Backup copia las etiquetas de los recursos a sus puntos de recuperación. Por ejemplo, cuando realiza una copia de seguridad de un volumen de Amazon Elastic Block Store (Amazon EBS), AWS Backup copia las etiquetas en la instantánea resultante. Para obtener más información, consulte Copying tags onto backups..

Si se produce un error en el trabajo de copia de seguridad entre cuentas debido a una política de claves, es posible que aparezcan errores similares a los siguientes:

«We are unable to copy resource tags to your backup because of the Internal Failure»

-o-

«The tag policy does not allow the specified value for the following tag key: 'xyz'»

Estos errores pueden estar relacionados con la política de etiquetas de una organización de AWS en la que las cuentas de AWS de origen y destino se agregan como cuentas de miembros. Si utiliza una política de etiquetas, compruebe lo siguiente para detectar problemas que puedan impedir una copia de seguridad entre cuentas:

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 8 meses