Membuat salinan cadangan di seluruh Akun AWS - AWS Backup
Menyiapkan cadangan lintas akunMenjadwalkan pencadangan lintas akunMelakukan pencadangan lintas akun sesuai permintaanKunci enkripsi dan salinan lintas akunMemulihkan cadangan dari satu Akun AWS ke yang lainBerbagi brankas cadangan dengan akun lain AWSMengonfigurasi akun Anda sebagai akun tujuanPertimbangan keamanan untuk pencadangan lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat salinan cadangan di seluruh Akun AWS

Dengan menggunakan AWS Backup, Anda dapat mencadangkan hingga beberapa Akun AWS sesuai permintaan atau secara otomatis sebagai bagian dari rencana pencadangan terjadwal. Gunakan cadangan lintas akun jika Anda ingin menyalin cadangan dengan aman ke satu atau lebih Akun AWS di organisasi Anda untuk alasan operasional atau keamanan. Jika cadangan asli Anda terhapus, Anda dapat menyalin cadangan dari akun tujuannya ke akun sumbernya, lalu memulai pemulihan. Sebelum Anda dapat melakukan ini, Anda harus memiliki dua akun milik organisasi yang sama dalam AWS Organizations layanan. Untuk informasi selengkapnya, lihat Tutorial: Membuat dan mengonfigurasi organisasi di Panduan Pengguna Organizations.

Di akun tujuan, Anda harus membuat brankas cadangan. Kemudian, Anda menetapkan kunci terkelola pelanggan untuk mengenkripsi cadangan di akun tujuan, dan kebijakan akses berbasis sumber daya untuk memungkinkan mengakses sumber daya yang ingin AWS Backup Anda salin. Di akun sumber, jika sumber daya Anda dienkripsi dengan kunci yang dikelola pelanggan, Anda harus membagikan kunci yang dikelola pelanggan ini dengan akun tujuan. Anda kemudian dapat membuat rencana cadangan dan memilih akun tujuan yang merupakan bagian dari unit organisasi Anda AWS Organizations.

Saat Anda menyalin cadangan ke akun silang untuk pertama kalinya, AWS Backup salin cadangan secara penuh. Secara umum, jika layanan mendukung pencadangan tambahan, salinan cadangan berikutnya di akun yang sama bersifat inkremental. AWS Backup mengenkripsi ulang salinan Anda menggunakan kunci terkelola pelanggan dari brankas tujuan Anda.

Persyaratan

  • Sebelum Anda mengelola sumber daya Akun AWS di beberapa akun AWS Backup, akun Anda harus milik organisasi yang sama dalam AWS Organizations layanan.

  • Sebagian besar sumber daya yang didukung oleh AWS Backup dukungan cadangan lintas akun. Untuk spesifik, lihat Ketersediaan fitur berdasarkan sumber daya.

  • Sebagian besar AWS Wilayah mendukung pencadangan lintas akun. Untuk spesifik, lihat Ketersediaan fitur oleh Wilayah AWS.

  • AWS Backup tidak mendukung salinan lintas akun untuk penyimpanan di tingkatan dingin.

Menyiapkan cadangan lintas akun

Apa yang Anda butuhkan untuk membuat cadangan lintas akun?

  • Akun sumber

    Akun sumber adalah akun tempat AWS sumber daya produksi dan cadangan utama Anda berada.

    Pengguna akun sumber memulai operasi pencadangan lintas akun. Pengguna atau peran akun sumber harus memiliki API izin yang sesuai untuk memulai operasi. Izin yang sesuai mungkin kebijakan AWS terkelolaAWSBackupFullAccess, yang memungkinkan akses penuh ke AWS Backup operasi, atau kebijakan terkelola pelanggan yang memungkinkan tindakan sepertiec2:ModifySnapshotAttribute. Untuk informasi selengkapnya tentang jenis kebijakan, lihat Kebijakan AWS Backup Terkelola.

  • Akun tujuan

    Akun tujuan adalah akun tempat Anda ingin menyimpan salinan cadangan Anda. Anda dapat memilih lebih dari satu akun tujuan. Akun tujuan harus berada di organisasi yang sama dengan akun sumber di AWS Organizations.

    Anda harus “Izinkan” kebijakan akses backup:CopyIntoBackupVault untuk brankas cadangan tujuan Anda. Tidak adanya kebijakan ini akan menolak upaya untuk menyalin ke akun tujuan.

  • Akun manajemen di AWS Organizations

    Akun manajemen adalah akun utama di organisasi Anda, sebagaimana didefinisikan oleh AWS Organizations, yang Anda gunakan untuk mengelola cadangan lintas akun di seluruh akun Anda Akun AWS. Untuk menggunakan cadangan lintas akun, Anda juga harus mengaktifkan kepercayaan layanan. Setelah mengaktifkan kepercayaan layanan, Anda dapat menggunakan akun apa pun di organisasi sebagai akun tujuan. Dari akun tujuan Anda, Anda dapat memilih brankas mana yang akan digunakan untuk pencadangan lintas akun.

  • Aktifkan pencadangan lintas akun di konsol AWS Backup

Untuk informasi tentang keamanan, lihatPertimbangan keamanan untuk pencadangan lintas akun.

Untuk menggunakan cadangan lintas akun, Anda harus mengaktifkan fitur pencadangan lintas akun. Kemudian, Anda harus “Izinkan” kebijakan akses backup:CopyIntoBackupVault ke brankas cadangan tujuan Anda.

Aktifkan pencadangan lintas akun

  1. Masuk menggunakan kredensi akun AWS Organizations manajemen Anda. Pencadangan lintas akun hanya dapat diaktifkan atau dinonaktifkan menggunakan kredensil ini.

  2. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  3. Di Akun saya, pilih Pengaturan.

  4. Untuk pencadangan lintas akun, pilih Aktifkan.

  5. Di brankas Cadangan, pilih brankas tujuan Anda.

    Untuk salinan lintas akun, brankas sumber dan brankas tujuan berada di akun yang berbeda. Beralih ke akun yang memiliki akun tujuan, jika perlu.

  6. Di bagian Kebijakan akses, “Izinkan”backup:CopyIntoBackupVault. Misalnya, pilih Tambahkan izin, lalu Izinkan akses ke brankas Cadangan dari organisasi. Setiap tindakan lintas akun selain backup:CopyIntoBackupVault akan ditolak.

  7. Sekarang, akun apa pun di organisasi Anda dapat membagikan konten brankas cadangan mereka dengan akun lain di organisasi Anda. Untuk informasi selengkapnya, lihat Berbagi brankas cadangan dengan akun lain AWS. Untuk membatasi akun mana yang dapat menerima konten brankas cadangan akun lain, lihat. Mengonfigurasi akun Anda sebagai akun tujuan

Menjadwalkan pencadangan lintas akun

Anda dapat menggunakan rencana cadangan terjadwal untuk menyalin cadangan. Akun AWS

Untuk menyalin cadangan menggunakan rencana cadangan terjadwal

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di Akun Saya, pilih Paket Cadangan, lalu pilih Buat paket Cadangan.

  3. Pada halaman Buat Rencana Cadangan, pilih Buat paket baru.

  4. Untuk nama paket Backup, masukkan nama untuk paket cadangan Anda.

  5. Di bagian Konfigurasi aturan Backup, tambahkan aturan cadangan yang menentukan jadwal cadangan, jendela cadangan, dan aturan siklus hidup. Anda dapat menambahkan lebih banyak aturan cadangan nanti.

    Untuk nama Aturan, masukkan nama untuk aturan Anda.

  6. Di bagian Jadwal di bawah Frekuensi, pilih seberapa sering Anda ingin cadangan diambil.

  7. Untuk jendela Backup, pilih Gunakan default jendela cadangan (disarankan). Anda dapat menyesuaikan jendela cadangan.

  8. Untuk Backup vault, pilih vault dari daftar. Poin pemulihan untuk cadangan ini akan disimpan di brankas ini. Anda dapat membuat brankas cadangan baru.

  9. Di bagian Hasilkan salinan - opsional, masukkan nilai berikut:

    Wilayah Tujuan

    Pilih tujuan Wilayah AWS untuk salinan cadangan Anda. Cadangan Anda akan disalin ke Wilayah ini. Anda dapat menambahkan aturan salinan baru per salinan ke tujuan baru.

    Salin ke brankas akun lain

    Beralih untuk memilih opsi ini. Opsi berubah menjadi biru saat dipilih. ARNOpsi External vault akan muncul.

    Brankas eksternal ARN

    Masukkan Nama Sumber Daya Amazon (ARN) dari akun tujuan. ARNIni adalah string yang berisi ID akun dan nya Wilayah AWS. AWS Backup akan menyalin cadangan ke brankas akun tujuan. Daftar wilayah Tujuan secara otomatis diperbarui ke Wilayah di brankas ARN eksternal.

    Untuk Izinkan akses brankas Cadangan, pilih Izinkan. Kemudian pilih Izinkan di wizard yang terbuka.

    AWS Backup membutuhkan izin untuk mengakses akun eksternal untuk menyalin cadangan ke nilai yang ditentukan. Wizard menunjukkan contoh kebijakan berikut yang menyediakan akses ini.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    Transisi ke penyimpanan dingin

    Pilih kapan harus mentransisikan salinan cadangan ke penyimpanan dingin dan kapan harus kedaluwarsa (menghapus) salinannya. Backup yang dialihkan ke penyimpanan dingin harus disimpan dalam penyimpanan dingin minimal 90 hari. Nilai ini tidak dapat diubah setelah salinan dialihkan ke penyimpanan dingin.

    Untuk melihat daftar sumber daya yang dapat Anda transisi ke penyimpanan dingin, lihat bagian “Siklus Hidup ke penyimpanan dingin” pada Ketersediaan fitur berdasarkan sumber daya tabel. Ekspresi cold storage diabaikan untuk sumber daya lain.

    Kedaluwarsa menentukan jumlah hari setelah pembuatan bahwa salinan dihapus. Nilai ini harus lebih besar dari 90 hari di luar nilai Transisi ke penyimpanan dingin.

    catatan

    Saat pencadangan kedaluwarsa dan ditandai untuk dihapus sebagai bagian dari kebijakan siklus hidup Anda, AWS Backup hapus cadangan pada titik yang dipilih secara acak selama 8 jam berikutnya. Jendela ini membantu memastikan kinerja yang konsisten.

  10. Pilih Tag yang ditambahkan ke titik pemulihan untuk menambahkan tag ke titik pemulihan Anda.

  11. Untuk pengaturan cadangan lanjutan, pilih Windows VSS untuk mengaktifkan snapshot sadar aplikasi untuk perangkat lunak pihak ketiga yang dipilih yang sedang berjalan. EC2

  12. Pilih Buat paket.

Melakukan pencadangan lintas akun sesuai permintaan

Anda dapat menyalin cadangan ke permintaan Akun AWS yang berbeda.

Untuk menyalin cadangan sesuai permintaan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Untuk akun Saya, pilih Backup vault untuk melihat semua brankas cadangan Anda terdaftar. Anda dapat memfilter berdasarkan nama atau tag brankas cadangan.

  3. Pilih ID titik pemulihan cadangan yang ingin Anda salin.

  4. Pilih Salin.

  5. Perluas detail Backup untuk melihat informasi tentang titik pemulihan yang Anda salin.

  6. Di bagian Salin konfigurasi, pilih opsi dari daftar wilayah Tujuan.

  7. Pilih Salin ke brankas akun lain. Opsi berubah menjadi biru saat dipilih.

  8. Masukkan Nama Sumber Daya Amazon (ARN) dari akun tujuan. ARNIni adalah string yang berisi ID akun dan nya Wilayah AWS. AWS Backup akan menyalin cadangan ke brankas akun tujuan. Daftar wilayah Tujuan secara otomatis diperbarui ke Wilayah di brankas ARN eksternal.

  9. Untuk Izinkan akses brankas Cadangan, pilih Izinkan. Kemudian pilih Izinkan di wizard yang terbuka.

    Untuk membuat salinan, AWS Backup perlu izin untuk mengakses akun sumber. Wizard menunjukkan contoh kebijakan yang menyediakan akses ini. Kebijakan ini ditampilkan sebagai berikut.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. Untuk Transisi ke penyimpanan dingin, pilih kapan harus mentransisikan salinan cadangan ke penyimpanan dingin dan kapan harus kedaluwarsa (menghapus) salinannya. Backup yang dialihkan ke penyimpanan dingin harus disimpan dalam penyimpanan dingin minimal 90 hari. Nilai ini tidak dapat diubah setelah salinan dialihkan ke penyimpanan dingin.

    Untuk melihat daftar sumber daya yang dapat Anda transisi ke penyimpanan dingin, lihat bagian “Siklus Hidup ke penyimpanan dingin” pada Ketersediaan fitur berdasarkan sumber daya tabel. Ekspresi cold storage diabaikan untuk sumber daya lain.

    Kedaluwarsa menentukan jumlah hari setelah pembuatan bahwa salinan dihapus. Nilai ini harus lebih besar dari 90 hari di luar nilai Transisi ke penyimpanan dingin.

  11. Untuk IAMperan, tentukan IAM peran (seperti peran default) yang memiliki izin untuk membuat cadangan Anda tersedia untuk disalin. Tindakan menyalin dilakukan oleh peran terkait layanan akun tujuan Anda.

  12. Pilih Salin. Bergantung pada ukuran sumber daya yang Anda salin, proses ini bisa memakan waktu beberapa jam untuk menyelesaikannya. Ketika pekerjaan copy selesai, Anda akan melihat salinan di tab Copy jobs di menu Jobs.

Kunci enkripsi dan salinan lintas akun

Kunci enkripsi salinan lintas akun bergantung pada jenis sumber daya. Sumber daya yang telah AWS Backup Manajemen penuh menggunakan kunci enkripsi dari brankas cadangan sumber. KMSKunci terkelola pelanggan dapat digunakan untuk enkripsi salinan lintas akun dari jenis sumber daya ini.

Jenis sumber daya yang tidak sepenuhnya dikelola oleh AWS Backup memiliki kunci sumber dan KMS kunci sumber daya KMS yang sama. Salinan lintas akun dengan KMS kunci AWS terkelola tidak didukung untuk jenis sumber daya ini yang tidak sepenuhnya dikelola oleh AWS Backup.

Untuk bantuan tambahan pemecahan masalah kegagalan penyalinan lintas akun, silakan lihat Pusat Pengetahuan.AWS

Selama penyalinan lintas akun, kebijakan KMS kunci akun sumber harus mengizinkan akun tujuan pada kebijakan KMS utama.

Memulihkan cadangan dari satu Akun AWS ke yang lain

AWS Backup tidak mendukung pemulihan sumber daya dari satu Akun AWS ke yang lain. Namun, Anda dapat menyalin cadangan dari satu akun ke akun lain dan kemudian mengembalikannya di akun itu. Misalnya, Anda tidak dapat memulihkan cadangan dari akun A ke akun B, tetapi Anda dapat menyalin cadangan dari akun A ke akun B, dan kemudian mengembalikannya di akun B.

Memulihkan cadangan dari satu akun ke akun lainnya adalah proses dua langkah.

Untuk mengembalikan cadangan dari satu akun ke akun lainnya

  1. Salin cadangan dari sumber Akun AWS ke akun yang ingin Anda pulihkan. Untuk petunjuk, lihat Menyiapkan cadangan lintas akun.

  2. Gunakan instruksi yang sesuai untuk sumber daya Anda untuk memulihkan cadangan.

Berbagi brankas cadangan dengan akun lain AWS

AWS Backup memungkinkan Anda berbagi brankas cadangan dengan satu atau beberapa akun, atau seluruh organisasi Anda. AWS Organizations Anda dapat membagikan brankas cadangan tujuan dengan sumber AWS Akun, pengguna, atau IAM peran.

Untuk membagikan brankas Cadangan tujuan

  1. Pilih AWS Backup, lalu pilih Backup vaults.

  2. Pilih nama brankas cadangan yang ingin Anda bagikan.

  3. Di panel Kebijakan akses, pilih menu tarik-turun Tambah izin.

  4. Pilih Izinkan akses level akun ke brankas Cadangan. Atau, Anda dapat memilih untuk mengizinkan akses tingkat organisasi atau tingkat peran.

  5. Masukkan accountID akun yang ingin Anda bagikan dengan brankas cadangan tujuan ini.

  6. Pilih Simpan kebijakan.

Anda dapat menggunakan IAM kebijakan untuk membagikan brankas cadangan.

Berbagi brankas cadangan tujuan dengan peran Akun AWS atau IAM

Kebijakan berikut membagikan brankas cadangan dengan nomor akun 4444555566666 dan IAM peran SomeRole dalam nomor 111122223333 akun.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
Bagikan brankas cadangan tujuan unit organisasi di AWS Organizations

Kebijakan berikut membagikan brankas cadangan dengan unit organisasi yang menggunakannya. PrincipalOrgPaths

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
Bagikan brankas cadangan tujuan dengan organisasi di AWS Organizations

Kebijakan berikut membagikan brankas cadangan dengan organisasi dengan PrincipalOrgID “o-a1b2c3d4e5".

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

Mengonfigurasi akun Anda sebagai akun tujuan

Saat Anda pertama kali mengaktifkan pencadangan lintas akun menggunakan akun AWS Organizations manajemen Anda, setiap pengguna akun anggota dapat mengonfigurasi akun mereka menjadi akun tujuan. Sebaiknya setel satu atau beberapa kebijakan kontrol layanan berikut (SCPs) AWS Organizations untuk membatasi akun tujuan Anda. Untuk mempelajari selengkapnya tentang melampirkan kebijakan kontrol layanan ke AWS Organizations node, lihat Melampirkan dan melepaskan kebijakan kontrol layanan.

Batasi akun tujuan menggunakan tag

Saat dilampirkan ke AWS Organizations root, OU, atau akun individual, kebijakan ini membatasi tujuan salinan dari root, OU, atau akun tersebut hanya ke akun dengan brankas cadangan yang telah Anda tag. DestinationBackupVault Izin "backup:CopyIntoBackupVault" mengontrol perilaku brankas cadangan dan, dalam hal ini, brankas cadangan tujuan mana yang valid. Gunakan kebijakan ini, bersama dengan tag terkait yang diterapkan pada brankas tujuan yang disetujui, untuk mengontrol tujuan salinan lintas akun hanya ke akun yang disetujui dan brankas cadangan. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
Batasi akun tujuan menggunakan nomor akun dan nama brankas

Saat dilampirkan ke akun AWS Organizations root, OU, atau individu, kebijakan ini membatasi salinan yang berasal dari root, OU, atau akun tersebut hanya ke dua akun tujuan. Izin "backup:CopyFromBackupVault" mengontrol bagaimana titik pemulihan di brankas cadangan berperilaku, dan, dalam hal ini, tujuan tempat Anda dapat menyalin titik pemulihan tersebut. Brankas sumber hanya akan mengizinkan salinan ke akun tujuan pertama (112233445566) jika satu atau beberapa nama brankas cadangan tujuan dimulai dengan. cab- Brankas sumber hanya akan mengizinkan salinan ke akun tujuan kedua (123456789012) jika tujuannya adalah brankas cadangan tunggal bernama. fort-knox

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
Batasi akun tujuan menggunakan unit organisasi di AWS Organizations

Saat dilampirkan ke AWS Organizations root atau OU yang berisi akun sumber Anda, atau saat dilampirkan ke akun sumber Anda, kebijakan berikut membatasi akun tujuan ke akun tersebut dalam dua yang ditentukanOUs.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

Pertimbangan keamanan untuk pencadangan lintas akun

Perhatikan hal-hal berikut saat menggunakan pencadangan lintas akun di: AWS Backup

  • Brankas tujuan tidak bisa menjadi vault default. Ini karena vault default dienkripsi dengan kunci yang tidak dapat dibagikan dengan akun lain.

  • Pencadangan lintas akun mungkin masih berjalan hingga 15 menit setelah Anda menonaktifkan pencadangan lintas akun. Ini karena konsistensi akhirnya, dan mungkin mengakibatkan beberapa pekerjaan lintas akun dimulai atau diselesaikan bahkan setelah Anda menonaktifkan pencadangan lintas akun.

  • Jika akun tujuan meninggalkan organisasi di kemudian hari, akun tersebut akan menyimpan cadangan. Untuk menghindari potensi kebocoran data, letakkan izin penolakan atas organizations:LeaveOrganization izin dalam kebijakan kontrol layanan (SCP) yang dilampirkan ke akun tujuan. Untuk informasi selengkapnyaSCPs, lihat Menghapus akun anggota dari organisasi Anda di Panduan Pengguna Organizations.

  • Jika Anda menghapus peran pekerjaan salin selama salinan lintas akun, tidak AWS Backup dapat membatalkan pembagian snapshot dari akun sumber saat pekerjaan penyalinan selesai. Dalam hal ini, pekerjaan pencadangan selesai, tetapi status pekerjaan salin ditampilkan sebagai Gagal untuk membatalkan pembagian snapshot.