如何排查在 AWS Backup 中备份 Amazon EBS 卷时出现的问题？

解决方法

AccessDeniedException 错误

当 EBS 卷缺少 AWS Backup 所需的 AWS Identity and Access Management (IAM) 权限时，您会收到以下错误消息：

"AccessDeniedException: User: arn:aws:sts::123456789012:role/AWSBackupIAMRole is not authorized to perform: ec2:CreateSnapshot on resource: arn:aws:ec2:region:account:volume/vol-####"

要解决此问题，请完成以下步骤：

编辑您的 IAM 策略，添加以下 ec2:CreateSnapshot、ec2:DeleteSnapshot、ec2:DescribeVolumes 和 ec2:DescribeSnapshots 权限：

    {
      "Sid" : "EBSResourcePermissions",
      "Effect" : "Allow",
      "Action" : [
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot",
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots"
      ],
      "Resource" : [
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },

对于加密卷，请将以下 AWS Key Management Service (AWS KMS) 权限添加到您的 IAM 策略中：

     "kms:Decrypt",
     "kms:Encrypt",
     "kms:GenerateDataKey",
     "kms:ReEncryptTo",
     "kms:ReEncryptFrom",
     "kms:GenerateDataKeyWithoutPlaintext",
     "kms:DescribeKey",
     "kms:CreateGrant"

重试备份作业。

ResourceNotFoundException 错误

在以下场景中，您会收到 "ResourceNotFoundException: Unable to locate resource volume/vol-####" 错误消息：

• 您删除了 EBS 卷。
• EBS 卷所在的 AWS 区域或 AWS 账户与备份作业运行的区域或账户不同。

如果您删除了 EBS 卷，则创建一个新的 EBS 卷。请务必在运行备份作业的区域或账户中创建卷。

如果您的 EBS 卷不在运行备份任务的区域或账户中，请执行以下操作：

验证 EBS 卷是否与备份作业位于不同的区域或账户

要检查您的 EBS 卷是否与备份作业位于同一区域，请完成以下步骤：

1. 打开 Amazon Elastic Compute Cloud (Amazon EC2) 控制台。
2. 在导航窗格中，选择 Volumes（卷）。
3. 在导航栏中，选择与备份作业所在区域相匹配的区域。
4. 在搜索框中，输入您的卷 ID。
5. 确认该卷存在并处于 Available（可用）或 In-use（正在使用）状态。

要检查您的 EBS 卷是否与备份作业位于同一账户，请完成以下步骤：

1. 打开 Amazon EC2 控制台。
2. 在导航窗格中，选择 Snapshots（快照）。
3. 在 Snapshots（快照）部分的菜单上，选择 Owned by me（我的快照）。
4. 检查 EBS 资源。

要将您的 EBS 卷移至与备份作业相同的区域或账户，请完成以下步骤：

1. 创建 EBS 卷的快照。
2. 复制快照到备份作业运行的区域或账户。
3. 从复制的快照创建新卷。
4. 将新卷附加到您的实例。

备份作业卡滞或失败

要解决备份作业卡滞或失败的问题，请执行以下操作：

• 检查您所在区域的 EBS 快照总数，确定是否已达到该区域的快照配额。Amazon EBS 为每个区域和每个账户提供 100,000 个备份配额。
• 确保您的 AWS KMS 密钥允许 AWS Backup 使用您的备份保管库。AWS KMS 密钥策略需要以下 AWS KMS 权限：kms:createGrant、kms:generateDataKey 和 kms:decrypt。
• 确认您有可用卷。AWS Backup 只能为可用或正在使用的卷创建快照。

要排查导致备份作业卡滞或失败的其他问题，请参阅如何对 AWS Backup 中失败的备份作业进行故障排除？

EBS 快照节流错误

当您并行执行过多 EBS 备份并超过最大并发快照服务配额时，您会收到以下错误消息：

• "ThrottlingException: Rate exceeded"
• "Image creation throttled due to maximum number of concurrent snapshots on an EBS volume error."

要解决此问题并避免流量突增，请执行以下操作错开或重新安排备份作业：

• 为了分散负载，请将资源分配给不同的备份计划。例如，您可以按标签、环境或优先级拆分资源。
• 在非冲突的时段内运行按需备份，避免干扰计划的备份作业。
• 监控并发性以检测快照突发情况。

要识别并发突发，请完成以下步骤：

1. 打开 AWS Backup 控制台。
2. 在导航窗格中，选择 Jobs（作业），然后选择 Backup jobs（备份作业）选项卡。
3. 在搜索筛选条件中，输入 Resource type : EBS（资源类型：EBS）。
4. 查看备份作业的 Creation time（创建时间）列，了解同一时间启动的快照作业数。
5. 如果多个作业在同一分钟内启动，请调整备份时段或 cron 表达式，使备份计划在不同的时间启动。

要识别来自 AWS Backup 和其他自动化源（如脚本）的快照创建请求，请查询 AWS CloudTrail 中的 CreateSnapshot 和 CreateSnapshots 事件。

相关信息

AWS Backup 故障排除

使用 AWS 角色控制对备份的访问权限

AWS Backup 中的备份加密