Perché la mia copia multi-account non va a buon fine in Backup AWS?

7 minuti di lettura

Desidero risolvere i problemi per cui il mio processo di copia multi-account non va a buon fine.

Breve descrizione

Per risolvere il problema di una copia multi-account non riuscita, verifica le seguenti configurazioni:

Verifica che gli account di origine e di destinazione appartengano alla stessa organizzazione AWS.
Verifica che il tipo di risorsa supporti la copia multi-account nelle regioni AWS specificate.
Verifica i criteri di crittografia per il backup dell'account di origine.
Verifica che la policy della chiave del Servizio di gestione delle chiavi AWS (AWS KMS) di origine consenta l'accesso all'account di destinazione.
Verifica che la policy di accesso al vault di destinazione consenta l'accesso all'account di origine.
Verifica la configurazione delle policy di tag dell'organizzazione AWS.

Soluzione

Gli account di origine e di destinazione devono appartenere alla stessa organizzazione AWS

Se i tuoi account di origine e di destinazione non si trovano nella stessa organizzazione AWS, potresti visualizzare il seguente errore:

"Processo di copia non riuscito. Gli account di origine e di destinazione devono appartenere alla stessa organizzazione."

Tipi di risorse e regioni AWS supportati per le copie multi-account

Verifica che le tue risorse siano supportate per il backup multi-account e se la funzionalità di backup multi-account è disponibile nella regione AWS prescelta:

Per un elenco delle risorse supportate da Backup AWS, consulta Disponibilità delle funzionalità per risorsa.
Per un elenco delle funzionalità supportate nelle regioni AWS da Backup AWS, consulta Disponibilità delle funzionalità per regione AWS.

Se la tua risorsa non supporta un'unica azione di copia che esegue backup sia tra regioni che tra account, potresti visualizzare il seguente errore:

“Il processo di copia da us-west-2 a us-east-1 non può essere avviato per le risorse RDS. La funzionalità non è supportata per il tipo di risorsa fornito."

I seguenti servizi non supportano un'unica azione di copia che esegue sia il backup tra regioni che il backup tra account. Puoi scegliere solo il backup tra regioni o quello tra account:

Amazon Relational Database Service (Amazon RDS)
Amazon Aurora
Amazon DocumentDB (compatibile con MongoDB)
Amazon Neptune

Per Amazon DynamoDB, devi attivare DynamoDB con le funzionalità avanzate di Backup AWS per eseguire backup tra account.

Crittografia dell'origine di Backup AWS

Per le risorse che non sono completamente gestite da Backup AWS, i backup utilizzano la stessa chiave KMS della risorsa di origine.

Per le risorse completamente gestite da Backup AWS, i backup sono crittografati con la chiave di crittografia del vault di backup.

Per ulteriori dettagli, consulta Crittografia per i backup in AWS Backup.

La copia tra account con chiavi KMS gestite da AWS non è supportata per le risorse che non sono completamente gestite da Backup AWS. Per l'elenco delle risorse che non sono completamente gestite da Backup AWS, consulta Disponibilità delle funzionalità per risorsa.

Se il tuo processo di backup tra account fallisce a causa dell'utilizzo di chiavi KMS gestite da AWS, potresti visualizzare un errore simile al seguente:

“Processo di copia non riuscito perché l'archivio di backup di destinazione è crittografato con la chiave gestita del servizio di backup predefinita. Il contenuto di questo vault non può essere copiato. È possibile copiare solo il contenuto di un archivio di backup crittografato da una chiave master del cliente (CMK)."

-oppure-

“Le istantanee crittografate con AWS Managed CMK non possono essere condivise. Specifica un'altra istantanea. (Service: AmazonEC2; Status Code: 400; Error Code: InvalidParameter; Request ID: ; Proxy: null)"

Non puoi modificare la chiave di crittografia di una risorsa. Devi ricreare la risorsa utilizzando uno dei backup. Quindi, durante il processo di ripristino, potrai modificare la chiave di crittografia della risorsa con una chiave gestita dal cliente AWS KMS. Dopo aver modificato la chiave di crittografia, puoi eseguire un backup e una copia tra account per la risorsa.

Policy della chiave KMS di origine

Per eseguire le operazioni crittografiche richieste durante una copia tra account, la policy della chiave KMS dell'account di origine deve consentire all'account di destinazione di accedere alla policy della chiave KMS. Per le risorse che non sono completamente gestite da Backup AWS, la chiave KMS di origine è la chiave KMS della risorsa. Per le risorse completamente gestite da Backup AWS, la chiave KMS di origine è la chiave del vault di backup.

Se la policy della chiave KMS dell'account di origine non consente l'account di destinazione, visualizzerai un errore simile al seguente:

“La chiave KMS dell'istantanea di origine non esiste, non è abilitata o non disponi delle autorizzazioni per accedervi"

-oppure-

“La copia dell'istantanea AMI ha avuto esito negativo con un errore: L'ID chiave specificato non è accessibile. È necessario disporre delle autorizzazioni DescribeKey sul CMK predefinito."

Per risolvere gli errori precedenti, devi consentire all'account di destinazione di accedere alla policy della chiave KMS di origine. Ciò consente all'account di destinazione di estrarre i backup dall'account di origine.

Per consentire all'account di destinazione di aderire alla policy della chiave KMS, utilizza una policy della chiave simile a quella dell'esempio seguente:

Nota: per utilizzare questa policy, sostituisci SourceAccountID con l'ID account AWS del tuo account di origine. Inoltre, sostituisci DestinationAccountID con l'ID account AWS del tuo account di destinazione.

{
  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Policy di accesso al vault di destinazione

Se il vault di Backup AWS di destinazione non è condiviso con l'account di origine, potresti visualizzare il seguente errore:

“Accesso negato durante il tentativo di chiamare il servizio Backup AWS"

Per risolvere questo errore, consenti al tuo account di origine di utilizzare la policy di accesso al vault di destinazione. La seguente policy di esempio consente all'account di origine di utilizzare la policy di accesso al vault di destinazione:

Nota: per utilizzare questa policy, sostituisci SourceAccountID con l'ID del tuo account AWS di origine.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

Policy di tag di AWS Organization

In generale, Backup AWS copia i tag dalle risorse ai tuoi punti di ripristino. Ad esempio, quando esegui il backup di un volume Amazon Elastic Block Store (Amazon EBS), Backup AWS copia i tag nell’istantanea risultante. Per ulteriori informazioni, consulta Copiare i tag nei backup.

Se il processo di backup tra account fallisce a causa di una policy della chiave, potresti riscontrare errori simili ai seguenti:

“Impossibile copiare i tag delle risorse nel backup a causa di un errore interno"

-oppure-

“La policy sui tag non consente il valore specificato per la seguente chiave di tag: 'xyz'”

Questi errori potrebbero essere correlati alla policy di tag di un'organizzazione AWS in cui gli account AWS di origine e destinazione vengono aggiunti come account membri. Se utilizzi una policy di tag, verifica quanto segue per individuare eventuali problemi che possono impedire il backup tra account:

Assicurati che i tuoi tag seguano le best practice.
Verifica che i tag aggiunti alle tue risorse corrispondano esattamente ai tag descritti nella policy di tag.

Argomenti

Archiviazione

Tag

AWS Backup

Lingua

Italiano

AWS UFFICIALEAggiornata 10 mesi fa

Contenuto pertinente

Come posso risolvere le azioni correttive non riuscite in AWS Config?
AWS UFFICIALEAggiornata 3 anni fa
Perché la mia connessione di prova AWS Glue non va a buon fine?
AWS UFFICIALEAggiornata 3 anni fa
Il tentativo di caricamento di un file CSV in Amazon Redshift utilizzando COPY non va a buon fine
AWS UFFICIALEAggiornata 2 anni fa
Perché la mia attività di AWS DMS che utilizza PostgreSQL come sorgente non va a buon fine con tutti gli slot di replica in uso?
AWS UFFICIALEAggiornata 6 mesi fa