Perché la mia copia tra account in AWS Backup non riesce?

Breve descrizione

Per risolvere il motivo per cui un processo di copia tra account AWS non riesce, controlla le seguenti configurazioni:

• Verifica che gli account di origine e di destinazione appartengano alla stessa organizzazione in AWS Organizations.
• Assicurati che il tipo di risorsa supporti la copia tra account nelle Regioni AWS specificate.
• Rivedi i criteri di crittografia per il backup dell'account di origine.
• Verifica che la policy della chiave del Servizio AWS di gestione delle chiavi (AWS KMS) di origine consenta l'accesso all'account di destinazione.
• Verifica che la policy di accesso al vault di destinazione consenta l'accesso all'account di origine.
• Assicurati di aver configurato correttamente la policy sui tag dell'organizzazione.

Risoluzione

Importante: quando copi un backup in una nuova Regione o tra account per la prima volta, AWS Backup copia il backup per intero. Se un servizio supporta i backup incrementali, le copie successive del backup nella stessa Regione o nello stesso account sono incrementali. AWS Backup crittografa la copia con la chiave gestita dal cliente del vault di destinazione. La copia tra account richiede autorizzazioni appropriate tra gli account di origine e di destinazione.

Per ulteriori informazioni, consulta Crittografia per le copie di un backup su un altro account o Regione AWS.

Controlla gli account dei membri dell'organizzazione

Se gli account di origine e di destinazione non fanno parte della stessa organizzazione, rievi il seguente messaggio di errore:

"Copy job failed. Both source and destination account must be a member of the same organization."

Per risolvere il problema, esegui la migrazione di uno degli account nella stessa organizzazione dell'altro account.

Verifica se il tipo di risorsa supporta l'azione di copia

Assicurati che il servizio AWS per le risorse supporti i backup tra account e Regioni. Per un elenco delle funzionalità supportate dai servizi AWS per AWS Backup, consulta Disponibilità delle funzionalità per risorsa. Per un elenco delle funzionalità disponibili per Regione, consulta Disponibilità delle funzionalità per Regione AWS.

Se la risorsa non supporta un'azione di copia che esegue backup di copie sia tra account che tra Regioni, ricevi un messaggio di errore simile al seguente:

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

Questi servizi non supportano l'azione di copia per eseguire backup sia tra account che tra Regioni:

• Amazon Relational Database Service (Amazon RDS)
• Amazon Aurora
• Amazon DocumentDB (compatibile con MongoDB)
• Amazon Neptune

Per tali servizi, devi eseguire un backup tra account o tra Regioni. Per Amazon DynamoDB, devi attivare DynamoDB con le funzionalità avanzate di Backup AWS per eseguire backup tra account.

Rivedi i criteri di crittografia

Se il processo di backup tra account non riesce a causa di un problema di crittografia, ricevi uno di questi messaggi di errore:

"Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied."

-oppure-

"Snapshots encrypted with the AWS Managed CMK can't be shared. Specify another snapshot. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

Per risolvere il problema, completa i seguenti passaggi:

1. Crea un nuovo backup della risorsa.
2. Ripristina la risorsa e seleziona una chiave gestita dal cliente AWS KMS.
3. Crea un nuovo backup della risorsa ripristinata.
4. Esegui la copia tra account.

Per le risorse che AWS Backup non gestisce completamente, i backup utilizzano la stessa chiave AWS KMS della risorsa di origine. Per le risorse completamente gestite, i backup utilizzano la chiave di crittografia dell'archivio di backup.

Per ulteriori informazioni, consulta Crittografia per i backup in AWS Backup.

Nota: AWS Backup non supporta la copia tra account con chiavi gestite da AWS per risorse che AWS Backup non gestisce completamente.

Controlla la policy della chiave KMS dell'account di origine

Se la policy della chiave AWS KMS dell'account di origine non consente l'account di destinazione, ricevi uno di questi messaggi di errore:

"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

-oppure-

"AMI snapshot copy failed with error: Given key ID is not accessible. You must have DescribeKey permissions on the default CMK."

Per risolvere il problema, aggiungi le autorizzazioni per l'account di destinazione alla policy della chiave AWS KMS dell'account di origine.

Utilizza il seguente esempio di policy:

{  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Nota: sostituisci SourceAccountID con l'ID del tuo account di origine e DestinationAccountID con l'ID del tuo account di destinazione.

Policy di accesso al vault di destinazione

Se non hai condiviso il vault AWS Backup di destinazione con l'account di origine, ricevi il seguente messaggio di errore:

"Access Denied trying to call AWS Backup service"

Per risolvere il problema, aggiungi le autorizzazioni per l'account di origine alla policy di accesso al vault di destinazione.

Utilizza il seguente esempio di policy:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Nota: sostituisci SourceAccountID con l'ID del tuo account di origine.

Controlla la policy sui tag dell'organizzazione

AWS Backup copia i tag dalle risorse ai punti di ripristino. Ad esempio, se esegui il backup di un volume Amazon Elastic Block Store (Amazon EBS), AWS Backup copia i tag nello snapshot. Per ulteriori informazioni, consulta Copia dei tag durante un ripristino.

Se il processo di backup tra account non riesce a causa di una policy sui tag non corretta, ricevi uno di questi messaggi di errore:

"We are unable to copy resource tags to your backup because of the Internal Failure"

-oppure-

"The tag policy does not allow the specified value for the following tag key: 'xyz'"

Per risolvere il problema:

• Verifica che i tag seguano le best practice relative ai tag.
• Verifica che i tag delle risorse corrispondano al tag contenuto nelle policy sui tag.