AWS Backup에서 교차 계정 복사가 실패하는 이유는 무엇인가요?

간략한 설명

실패한 교차 계정 복사 문제를 해결하려면 다음 구성을 확인합니다.

• 소스 계정과 대상 계정이 동일한 AWS Organization에 속하는지 확인합니다.
• 리소스 유형이 지정된 AWS 리전에서 교차 계정 복사를 지원하는지 확인합니다.
• 소스 계정 백업의 암호화 기준을 확인합니다.
• AWS Key Management Service(AWS KMS) 키 정책이 대상 계정을 허용하는지 확인합니다.
• 대상 볼트 액세스 정책이 소스 계정을 허용하는지 확인합니다.
• AWS Organization 태그 정책 구성을 확인합니다.

해결 방법

소스 계정과 대상 계정이 동일한 AWS Organization에 속해야 합니다

소스 계정과 대상 계정이 동일한 AWS Organization에 속하지 않는 경우 다음 오류가 발생할 수 있습니다.

"복사 작업이 실패했습니다. 원본 계정과 대상 계정은 모두 같은 조직의 구성원이어야 합니다."

교차 계정 복사가 지원되는 리소스 유형 및 AWS 리전

리소스가 교차 계정 백업이 지원되는지, 그리고 선택한 AWS 리전에서 교차 계정 백업 기능을 사용할 수 있는지 확인합니다.

• AWS Backup에 대해 지원되는 리소스 목록은 리소스별 기능 가용성을 참조하세요.
• AWS Backup에 대해 AWS 리전에서 지원되는 기능 목록은 AWS 리전별 기능 가용성을 참조하세요.

리소스가 교차 리전 백업과 교차 계정 백업을 모두 수행하는 단일 복사 작업을 지원하지 않는 경우 다음 오류가 발생할 수 있습니다.

"RDS 리소스에 대해 us-west-2에서 us-east-1로 복사 작업을 시작할 수 없습니다. 제공된 리소스 유형에는 기능이 지원되지 않습니다."

다음 서비스는 교차 리전 백업과 교차 계정 백업을 모두 수행하는 단일 복사 작업을 지원하지 않습니다. 교차 리전 백업 또는 교차 계정 백업을 선택할 수 있습니다.

• Amazon Relational Database Service(RDS)
• Amazon Aurora
• Amazon DocumentDB(MongoDB 호환)
• Amazon Neptune

Amazon DynamoDB의 경우, 교차 계정 백업을 수행하려면 AWS Backup의 고급 기능이 포함된 DynamoDB를 활성화해야 합니다.

소스 AWS Backup 암호화

AWS Backup에서 완전히 관리되지 않는 리소스의 경우, 백업은 소스 리소스와 동일한 KMS 키를 사용합니다.

AWS Backup에서 완전히 관리되는 리소스의 경우, 백업은 백업 볼트의 암호화 키로 암호화됩니다.

자세한 내용은 AWS Backup의 백업 암호화를 참조하세요.

AWS Backup에서 완전히 관리되지 않는 리소스에는 AWS 관리형 KMS 키를 사용한 계정 간 복사가 지원되지 않습니다. AWS Backup에서 완전히 관리되지 않는 리소스 목록은 리소스별 기능 가용성을 참조하세요.

AWS 관리형 KMS 키 사용으로 인해 교차 계정 백업 작업이 실패하는 경우 다음과 비슷한 오류가 발생할 수 있습니다.

"대상 백업 볼트가 기본 백업 서비스 관리 키로 암호화되어 있어 복사 작업에 실패했습니다. 이 보관함의 콘텐츠는 복사할 수 없습니다. 고객 마스터 키(CMK)로 암호화된 백업 볼트의 내용만 복사할 수 있습니다."

-또는-

"AWS 관리형 CMK로 암호화된 스냅샷은 공유할 수 없습니다. 다른 스냅샷을 지정합니다. (서비스: AmazonEC2; 상태 코드: 400; 오류 코드: InvalidParameter; 요청 ID: ; Proxy: null)"

리소스의 암호화 키는 변경할 수 없습니다. 백업 중 하나를 사용하여 리소스를 재생성해야 합니다. 그런 다음 복원 프로세스가 진행되는 동안 리소스의 암호화 키를 AWS KMS 고객 관리형 키로 변경할 수 있습니다. 암호화 키를 변경한 후 리소스에 대한 백업 및 교차 계정 복사를 수행할 수 있습니다.

소스 KMS 키 정책

교차 계정 복사 중에 필요한 암호화 작업을 수행하려면 소스 계정 KMS 키 정책이 KMS 키 정책에서 대상 계정을 허용해야 합니다. AWS Backup에서 완전히 관리되지 않는 리소스의 경우 소스 KMS 키는 리소스 KMS 키입니다. AWS Backup에서 완전 관리되는 리소스의 경우 소스 KMS 키는 백업 볼트 키입니다.

소스 계정 KMS 키 정책이 대상 계정을 허용하지 않는 경우 다음과 비슷한 오류가 발생합니다.

“소스 스냅샷 KMS 키가 존재하지 않거나 활성화되지 않았거나 액세스 권한이 없습니다.”

-또는-

“오류로 인해 AMI 스냅샷 복사가 실패했습니다. 지정된 키 ID에 액세스할 수 없습니다. 기본 CMK에 대한 설명키 권한이 있어야 합니다.“

위의 오류를 해결하려면 소스 KMS 키 정책에서 대상 계정을 허용해야 합니다. 이렇게 하면 대상 계정이 소스 계정에서 백업을 가져올 수 있습니다.

KMS 키 정책에서 대상 계정을 허용하려면 다음 예시와 비슷한 키 정책을 사용하세요.

참고: 이 정책을 사용하려면 SourceAccountID를 소스 계정 AWS 계정 ID로 바꾸세요. 또한 DestinationAccountID를 대상 계정 AWS 계정 ID로 바꾸세요.

{
  "Version": "2012-10-17",
  "Id": "cab-kms-key",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID :root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID :root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::SourceAccountID:root",
          "arn:aws:iam::DestinationAccountID:root"
        ]
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

대상 볼트 액세스 정책

대상 AWS Backup 볼트가 원본 계정과 공유되지 않는 경우 다음 오류가 발생할 수 있습니다.

“AWS 백업 서비스를 호출하려고 하면 액세스가 거부되었습니다.”

이 오류를 해결하려면 대상 볼트 액세스 정책에서 원본 계정을 허용합니다. 다음 예시 정책은 대상 저장소 액세스 정책에서 원본 계정을 허용합니다.

참고: 이 정책을 사용하려면 SourceAccountID를 소스 AWS 계정 ID로 바꾸세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SourceAccountID:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

AWS Organization 태그 정책

일반적으로, AWS Backup은 리소스의 태그를 복구 지점으로 복사합니다. 예를 들어 Amazon Elastic Block Store(Amazon EBS) 볼륨을 백업할 때 AWS 백업은 결과 스냅샷에 태그를 복사합니다. 자세한 내용은 백업에 태그 복사를 참조하세요.

키 정책으로 인해 교차 계정 백업 작업이 실패하면 다음과 비슷한 오류가 발생할 수 있습니다.

“내부 장애로 인해 리소스 태그를 백업에 복사할 수 없습니다.”

-또는-

“태그 정책은 다음 태그 키에 지정된 값을 허용하지 않습니다. 'xyz'”

이러한 오류는 원본 및 대상 AWS 계정이 구성원 계정으로 추가되는 AWS 조직에 대한 태그 정책과 관련이 있을 수 있습니다. 태그 정책을 사용하는 경우 교차 계정 백업을 방해할 수 있는 문제가 있는지 다음을 확인하세요.

• 태그가 모범 사례를 따르는지 확인하세요.
• 리소스에 추가된 태그가 태그 정책에 기술된 정확한 태그와 일치하는지 확인하세요.