Amazon 데이터 수명 주기 관리자 - Amazon Elastic Compute Cloud

Amazon 데이터 수명 주기 관리자

Amazon 데이터 수명 주기 관리자를 사용하여 EBS 스냅샷 및 EBS-backed AMI의 생성, 보존 및 삭제를 자동화할 수 있습니다. 스냅샷 및 AMI 관리를 자동화하면 다음과 같은 이점이 있습니다.

  • 정기적인 백업 일정을 실행하여 중요한 데이터를 보호합니다.

  • 정기적으로 새로 고칠 수 있는 표준화된 AMI를 생성합니다.

  • 감사 기관이나 내부 규정 준수 부서에서 요구하는 백업을 보관합니다.

  • 오래된 백업을 삭제하여 스토리지 비용을 절감합니다.

  • 격리된 계정에 데이터를 백업하는 재해 복구 백업 정책을 생성합니다.

Amazon CloudWatch Events 및 AWS CloudTrail의 모니터링 기능을 Amazon 데이터 수명 주기 관리자와 조합하면 추가 비용 없이 Amazon EC2 인스턴스 및 개별 EBS 볼륨의 완벽한 백업 솔루션을 얻을 수 있습니다.

중요

다른 방법으로 생성된 스냅샷 또는 AMI를 관리하는 데는 Amazon 데이터 수명 주기 관리자를 사용할 수 없습니다.

인스턴스 스토어 기반 AMI의 생성, 보존 및 삭제 자동화에는 Amazon 데이터 수명 주기 관리자를 사용할 수 없습니다.

Amazon 데이터 수명 주기 관리자 작동 방식

다음은 Amazon 데이터 수명 주기 관리자의 핵심 요소입니다.

스냅샷

스냅샷은 EBS 볼륨에서 데이터를 백업하는 기본 방법입니다. 스토리지 비용을 절약하기 위해 이전 스냅샷 이후로 변경된 볼륨 데이터만 연속 스냅샷에 증분식으로 포함시킵니다. 특정 볼륨의 스냅샷 시리즈에서 스냅샷 하나를 삭제하면 해당 스냅샷에 고유한 데이터만 제거됩니다. 캡처된 볼륨 기록의 나머지는 보존됩니다.

자세한 내용은 Amazon EBS 스냅샷 섹션을 참조하십시오.

EBS-backed AMI

Amazon Machine Image(AMI)는 인스턴스를 시작하는 데 필요한 정보를 제공합니다. 동일한 구성의 인스턴스가 여러 개 필요할 때는 한 AMI에서 여러 인스턴스를 시작할 수 있습니다. Amazon 데이터 수명 주기 관리자는 EBS-backed AMI만 지원합니다. EBS-backed AMI에는 소스 인스턴스에 연결된 각 EBS 볼륨에 대한 스냅샷이 포함됩니다.

자세한 내용은 Amazon 머신 이미지(AMI) 섹션을 참조하십시오.

대상 리소스 태그

Amazon 데이터 수명 주기 관리자는 리소스 태그를 사용하여 백업할 EBS 볼륨을 식별합니다. 태그란 사용자가 AWS 리소스(Amazon EC2 인스턴스, EBS 볼륨 및 스냅샷 포함)에 할당할 수 있는 사용자 지정 가능한 메타데이터입니다. Amazon 데이터 수명 주기 관리자 정책(나중에 설명)은 단일 태그를 사용하여 백업용 인스턴스 또는 볼륨 대상을 지정합니다. 여러 정책을 실행하려면 복수의 태그를 인스턴스 또는 볼륨에 할당할 수 있습니다.

'\' 또는 '=' 문자는 태그 키에 사용할 수 없습니다.

자세한 내용은 Amazon EC2 리소스 태깅 섹션을 참조하십시오.

Amazon 데이터 수명 주기 관리자 태그

Amazon 데이터 수명 주기 관리자는 정책에 따라 생성된 모든 스냅샷 및 AMI에 다음 태그를 적용하여 다른 방법으로 생성된 스냅샷 및 AMI와 구분합니다.

  • aws:dlm:lifecycle-policy-id

  • aws:dlm:lifecycle-schedule-name

  • aws:dlm:expirationTime

  • dlm:managed

스냅샷 및 AMI를 생성할 때 사용자 지정 태그가 적용되도록 지정할 수도 있습니다. '\' 또는 '=' 문자는 태그 키에 사용할 수 없습니다.

필요한 경우 Amazon 데이터 수명 주기 관리자에서 볼륨을 스냅샷 정책에 연결할 때 사용되는 대상 태그를 정책에 의해 생성된 스냅샷에 적용할 수 있습니다. 마찬가지로 인스턴스를 AMI 정책에 연결하는 데 사용되는 대상 태그를 정책에 의해 생성된 AMI에 선택적으로 적용할 수 있습니다.

수명 주기 정책

수명 주기 정책은 다음의 핵심 설정으로 이루어집니다.

  • 정책 유형— 정책으로 관리할 수 있는 리소스의 유형을 정의합니다. Amazon 데이터 수명 주기 관리자는 두 가지 유형의 수명 주기 정책을 지원합니다.

    • 스냅샷 수명 주기 정책—EBS 스냅샷의 수명 주기를 자동화하는 데 사용됩니다. 이러한 정책은 EBS 볼륨 및 인스턴스를 대상으로 지정할 수 있습니다.

    • EBS-backed AMI 수명 주기 정책—EBS-backed AMI의 수명 주기를 자동화하는 데 사용됩니다. 이러한 정책은 인스턴스만 대상으로 지정할 수 있습니다.

    • 교차 계정 복사 이벤트 정책—계정 간 스냅샷 복사를 자동화하는 데 사용됩니다. 이 정책 유형은 계정 간 스냅샷을 공유하는 EBS 스냅샷 정책과 함께 사용해야 합니다.

  • 리소스 유형—정책의 대상이 되는 리소스의 유형을 정의합니다. 스냅샷 수명 주기 정책은 인스턴스 또는 볼륨을 대상으로 지정할 수 있습니다. VOLUME을 사용하여 개별 볼륨의 스냅샷을 생성하거나 INSTANCE를 사용하여 인스턴스에 연결된 모든 볼륨의 다중 볼륨 스냅샷을 생성합니다. 자세한 내용은 다중 볼륨 스냅샷 섹션을 참조하세요. AMI 수명 주기 정책은 인스턴스만 대상으로 지정할 수 있습니다. 대상 인스턴스에 연결된 모든 볼륨의 스냅샷을 포함하는 하나의 AMI가 생성됩니다.

  • 대상 태그—정책의 대상으로 지정할 EBS 볼륨 또는 Amazon EC2 인스턴스에 할당해야 하는 태그를 지정합니다.

  • 일정—스냅샷 또는 AMI를 생성할 시작 시간과 간격입니다. 지정된 시작 시간 후 1시간 내에 첫 번째 스냅샷 또는 AMI 생성 작업이 시작됩니다. 후속 스냅샷 또는 AMI 생성 작업은 예약된 시간으로부터 1시간 이내에 시작됩니다. 정책은 최대 4개의 일정(하나의 필수 일정과 최대 3개의 선택적 일정)을 가질 수 있습니다. 자세한 내용은 정책 일정 섹션을 참조하세요.

  • 보존—스냅샷 또는 AMI의 보존 방법을 지정합니다. 총 개수(개수 기반) 또는 수명(수명 기반)을 기준으로 스냅샷 또는 AMI를 보존할 수 있습니다. 스냅샷 정책의 경우 보존 임계값에 도달하면 가장 오래된 스냅샷이 삭제됩니다. AMI 정책의 경우 보존 임계값에 도달하면 가장 오래된 AMI의 등록이 취소되고 해당 백업 스냅샷이 삭제됩니다.

예를 들어 다음과 유사한 설정을 사용하여 정책을 생성할 수 있습니다.

  • 키가 account이고 값이 finance인 태그가 있는 모든 EBS 볼륨을 관리합니다.

  • 24시간 간격으로 0900 UTC에 스냅샷을 생성합니다.

  • 최근 5개의 스냅샷만 보존합니다.

  • 매일 0959 UTC 이전에 스냅샷 생성을 시작합니다.

정책 일정

정책 일정은 정책에 따라 스냅샷 또는 AMI가 생성되는 시기를 정의합니다. 정책은 최대 4개의 일정(하나의—필수 일정과 최대 3개의 선택적 일정)을 가질 수 있습니다.

단일 정책에 여러 일정을 추가하면 동일한 정책을 사용하여 서로 다른 빈도로 스냅샷 또는 AMI를 생성할 수 있습니다. 예를 들어, 일별, 주별, 월별 및 연도별 스냅샷을 생성하는 단일 정책을 생성할 수 있습니다. 이렇게 하면 여러 정책을 관리할 필요가 없습니다.

각 일정에 대해 빈도, 빠른 스냅샷 복원 설정(스냅샷 수명 주기 정책만 해당), 교차 리전 복사 규칙 및 태그를 정의할 수 있습니다. 일정에 할당된 태그는 일정이 트리거될 때 생성된 스냅샷 또는 AMI에 자동으로 할당됩니다. 또한 Amazon 데이터 수명 주기 관리자는 일정의 빈도에 따라 각 스냅샷 또는 AMI에 시스템 생성 태그를 자동으로 할당합니다.

각 일정은 빈도에 따라 개별적으로 트리거됩니다. 여러 일정이 동시에 트리거되는 경우 Amazon 데이터 수명 주기 관리자는 하나의 스냅샷 또는 AMI만 생성하고 보존 기간이 가장 높은 일정의 스냅샷 보존 설정을 적용합니다. 트리거된 모든 일정의 태그가 스냅샷 또는 AMI에 적용됩니다.

  • (스냅샷 수명 주기 정책에만 해당) 빠른 스냅샷 복원에 대해 트리거된 일정 중 두 개 이상이 활성화된 경우, 트리거된 모든 일정에 지정된 모든 가용 영역에서 빠른 스냅샷 복원에 대해 스냅샷이 활성화됩니다. 트리거된 일정의 가장 높은 보존 설정이 각 가용 영역에 사용됩니다.

  • 교차 리전 복사에 대해 트리거된 일정이 중 두 개 이상이 활성화된 경우, 트리거된 모든 일정에 지정된 모든 리전에 스냅샷 또는 AMI가 복사됩니다. 트리거된 일정의 가장 높은 보존 기간이 적용됩니다.

Amazon 데이터 수명 주기 관리자에 대한 고려 사항

AWS 계정에는 Amazon 데이터 수명 주기 관리자와 관련하여 다음과 같은 할당량이 있습니다.

  • 리전마다 최대 100개의 수명 주기 정책을 생성할 수 있습니다.

  • 리소스당 최대 45개의 태그를 추가할 수 있습니다.

다음은 수명 주기 정책에서 고려할 사항입니다.

  • 정책의 활성화 상태를 활성으로 설정해야 정책이 스냅샷 또는 AMI를 생성하기 시작합니다. 생성과 동시에 활성화되도록 정책을 구성할 수 있습니다.

  • 지정된 시작 시간 후 1시간 내에 첫 번째 스냅샷 또는 AMI 생성 작업이 시작됩니다. 후속 스냅샷 또는 AMI 생성 작업은 예약된 시간으로부터 1시간 이내에 시작됩니다.

  • 대상 태그를 변경하거나 삭제하여 정책을 수정하면 그러한 태그가 연결된 EBS 볼륨 또는 인스턴스가 더 이상 해당 정책으로 관리되지 않습니다.

  • 정책의 일정 이름을 수정하면 예전의 일정 이름으로 생성된 스냅샷 또는 AMI에 더 이상 해당 정책이 적용되지 않습니다.

  • 새 시간 간격을 사용하도록 시간 기반 보존 일정을 수정하는 경우 변경 후 생성된 새 스냅샷 또는 AMI에만 새 간격이 사용됩니다. 새로운 일정은 변경 전에 생성된 스냅샷 또는 AMI의 보존 일정에 영향을 주지 않습니다.

  • 정책을 생성한 후에는 개수 기반에서 시간 기반으로 정책의 보존 일정을 변경할 수 없습니다. 이렇게 변경하려면 새 정책을 생성해야 합니다.

  • 수명 기반 보존 일정이 포함된 정책을 비활성화하면 만료되도록 설정된 스냅샷 또는 AMI가 정책이 비활성화된 동안 무기한 보존됩니다. 스냅샷을 삭제하거나 수동으로 AMI를 등록 취소해야 합니다. 정책을 다시 활성화하고 보존 기간이 만료되면 Amazon 데이터 수명 주기 관리자가 스냅샷 삭제 또는 AMI 등록 취소를 재개합니다.

  • 개수 기반 보존이 포함된 정책이 적용되는 리소스를 삭제하는 경우 이전에 생성된 스냅샷은 더 이상 정책으로 관리되지 않습니다. 더 이상 필요하지 않은 경우 스냅샷을 수동으로 삭제하거나 AMI를 등록 취소해야 합니다.

  • 수명 기반 보존이 포함된 정책이 적용되는 리소스를 삭제하면 정책은 정의된 일정에 따라 마지막 스냅샷 또는 AMI까지 스냅샷을 계속 삭제하거나 AMI 등록을 취소합니다. 더 이상 필요하지 않은 경우 마지막 스냅샷을 수동으로 삭제하거나 마지막 AMI를 등록 취소해야 합니다.

  • EBS 볼륨 또는 Amazon EC2 인스턴스를 백업하도록 여러 정책을 생성할 수 있습니다. EBS 볼륨에 12시간마다 스냅샷을 만드는 정책 A의 대상 태그인 태그 A와 24시간마다 스냅샷을 만드는 정책 B의 대상 태그인 태그 B, 이렇게 두 개의 태그가 있다면 Amazon 데이터 수명 주기 관리자는 양쪽 정책의 일정에 따라 스냅샷을 생성합니다. 여러 일정이 있는 단일 정책을 생성해도 동일한 결과를 얻을 수 있습니다. 예를 들어 태그 A만 대상으로 지정하는 단일 정책을 생성하고 12시간 간격과 24시간 간격의—2개 일정을 지정할 수 있습니다.

  • 인스턴스를 대상으로 지정하는 정책을 생성하는 경우 정책이 생성된 후 새 볼륨이 인스턴스에 연결되면 새로 추가된 볼륨은 다음 정책 실행 시 백업에 포함됩니다. 정책이 실행되면 인스턴스에 연결된 모든 볼륨이 포함됩니다.

  • AMI 수명 주기 정책의 경우 AMI 보존 임계값에 도달하면 가장 오래된 AMI의 등록이 취소되고 해당 백업 스냅샷이 삭제됩니다.

  • 사용자 지정 cron 기반 예약과 수명 기반 또는 개수 기반 보존 규칙이 있는 정책이 단일 스냅샷 또는 AMI만 생성하도록 구성된 경우 이 정책은 보존 임계값에 도달할 때 스냅샷 또는 AMI를 자동으로 삭제하지 않습니다. 더 이상 필요하지 않은 경우 스냅샷을 수동으로 삭제하거나 AMI를 등록 취소해야 합니다.

다음은 스냅샷 수명 주기 정책과 빠른 스냅샷 복원에 적용되는 고려 사항입니다.

  • 빠른 스냅샷 복원에 대해 활성화된 스냅샷은 수명 주기 정책을 삭제 또는 비활성화하거나, 수명 주기 정책에 대한 빠른 스냅샷 복원을 비활성화하거나, 가용 영역에 대한 빠른 스냅샷 복원을 비활성화하더라도 활성화된 상태로 유지됩니다. 이러한 스냅샷에 대한 빠른 스냅샷 복원을 수동으로 비활성화할 수 있습니다.

  • 빠른 스냅샷 복원을 활성화하고 빠른 스냅샷 복원에 대해 활성화할 수 있는 최대 스냅샷 수를 초과하는 경우 Amazon 데이터 수명 주기 관리자는 예약된 대로 스냅샷을 생성하지만 빠른 스냅샷 복원에 대해 스냅샷을 활성화하지 않습니다. 빠른 스냅샷 복원에 대해 활성화된 스냅샷을 삭제한 후 Amazon 데이터 수명 주기 관리자가 생성하는 다음 스냅샷은 빠른 스냅샷 복원에 대해 활성화됩니다.

  • 스냅샷에 대해 빠른 스냅샷 복원을 활성화할 때 스냅샷을 최적화하려면 TiB당 60분 걸립니다. Amazon 데이터 수명 주기 관리자에서 다음 스냅샷을 생성하기 전에 각 스냅샷이 완전히 최적화되도록 일정을 생성하는 것이 좋습니다.

  • 특정 가용 영역의 스냅샷에 대해 빠른 스냅샷 복원이 활성화된 1분마다 요금이 청구됩니다. 요금은 최소 1시간으로 비례 청구됩니다. 자세한 내용은 요금 및 결제 섹션을 참조하십시오.

    참고

    수명 주기 정책의 구성에 따라 빠른 스냅샷 복원에 대해 여러 스냅샷을 동시에 활성화할 수 있습니다.

스냅샷 수명 주기 정책 및 다중 연결 지원 볼륨에 적용되는 고려 사항은 다음과 같습니다.

  • 다중 볼륨 스냅샷의 인스턴스 태그를 기반으로 수명 주기 정책을 생성할 때 Amazon 데이터 수명 주기 관리자에서는 연결된 각 인스턴스에 대해 볼륨의 스냅샷을 시작합니다. 타임스탬프 태그를 사용하여 연결된 인스턴스에서 생성된 시간 일관성 있는 스냅샷 집합을 식별합니다.

계정 간에 스냅샷을 공유할 때는 다음 사항을 고려해야 합니다.

  • 암호화되지 않았거나 고객 관리형 CMK를 사용하여 암호화된 스냅샷만 공유할 수 있습니다.

  • 기본 EBS 암호화 키로 암호화된 스냅샷은 공유할 수 없습니다.

  • 암호화된 스냅샷을 공유하는 경우 소스 볼륨을 암호화하는 데 사용된 CMK도 대상 계정과 공유해야 합니다. 자세한 내용은 AWS Key Management Service Developer Guide다른 계정의 사용자가 CMK를 사용하도록 허용을 참조하십시오.

교차 계정 복사 이벤트 정책에는 다음 고려 사항이 적용됩니다.

  • 암호화되지 않았거나 고객 관리형 CMK를 사용하여 암호화된 스냅샷만 복사할 수 있습니다.

  • Amazon 데이터 수명 주기 관리자 외부에서 공유되는 스냅샷을 복사하는 교차 계정 복사 이벤트 정책을 생성할 수 있습니다.

  • 대상 계정의 스냅샷을 암호화하려면 교차 계정 복사 이벤트 정책에 대해 선택한 IAM 역할에 필요한 CMK를 사용할 수 있는 권한이 있어야 합니다.

사전 요구 사항

Amazon 데이터 수명 주기 관리자에는 다음과 같은 사전 조건이 필요합니다.

Amazon 데이터 수명 주기 관리자 권한

Amazon 데이터 수명 주기 관리자는 IAM 역할을 사용하여 사용자 대신 스냅샷 및 AMI를 관리하는 데 필요한 권한을 얻습니다. AWS Management 콘솔을 사용하여 수명 주기 정책을 처음 생성하면 Amazon 데이터 수명 주기 관리자에서 다음과 같은 기본 역할이 생성됩니다.

  • AWSDataLifecycleManagerDefaultRole—스냅샷 관리를 위한 기본 역할입니다. 콘솔을 사용하여 스냅샷 수명 주기 정책을 처음 생성할 때 생성됩니다.

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement—AMI 관리를 위한 기본 역할입니다. 콘솔을 사용하여 AMI 수명 주기 정책을 처음 생성할 때 생성됩니다.

다음과 같이 create-default-role 명령을 사용하여 이 역할을 수동으로 생성할 수도 있습니다. --resource-type에서 생성할 역할에 따라 다음 중 하나를 지정합니다.

  • snapshot—스냅샷 수명 주기 정책 관리를 위한 기본 역할을 생성하려면

  • image—AMI 수명 주기 정책 관리를 위한 기본 역할을 생성하려면

aws dlm create-default-role --resource-type snapshot|image

또는 필요한 권한이 있는 사용자 지정 IAM 역할을 생성한 다음, 수명 주기 정책을 생성할 때 이를 선택해도 됩니다.

사용자 지정 IAM 역할을 생성하려면

  1. 다음 권한을 가진 역할을 생성합니다.

    • 스냅샷 수명 주기 정책 관리 권한

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" } ] }
    • AMI 수명 주기 정책 관리 권한

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }] }

    자세한 내용은 IAM 사용 설명서역할 생성을 참조하세요.

  2. 역할에 신뢰 관계를 추가합니다.

    1. IAM 콘솔에서 역할을 선택합니다.

    2. 생성된 역할을 선택하고 [신뢰 관계(Trust relationships)]를 선택합니다.

    3. 신뢰 관계 편집을 선택하고 다음 정책을 추가한 뒤 신뢰 정책 업데이트를 선택합니다.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

IAM 사용자의 권한

IAM 사용자는 다음과 같은 Amazon 데이터 수명 주기 관리자 사용 권한을 가지고 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole", "iam:ListRoles"], "Resource": "arn:aws:iam::123456789012:role/AWSDataLifecycleManagerDefaultRole" }, { "Effect": "Allow", "Action": "dlm:*", "Resource": "*" }] }

자세한 정보는 IAM 사용 설명서에서 IAM 사용자의 권한 변경을 참조하십시오.

암호화 권한

소스 볼륨이 암호화되는 경우 볼륨 암호화에 사용된 AWS KMS 고객 마스터 키(CMK)를 사용할 권한이 Amazon 데이터 수명 주기 관리자 기본 역할(AWSDataLifecycleManagerDefaultRoleAWSDataLifecycleManagerDefaultRoleForAMIManagement)에 있어야 합니다.

암호화되지 않은 스냅샷 또는 암호화되지 않은 스냅샷 기반 AMI에 대해 교차 리전 복사를 활성화하고 대상 리전에서 암호화를 활성화하도록 선택하는 경우 대상 리전에서 암호화를 수행하는 데 필요한 CMK를 사용할 수 있는 권한이 기본 역할에 있어야 합니다.

암호화된 스냅샷 또는 암호화된 스냅샷 기반 AMI에 대해 교차 리전 복사를 활성화하는 경우 소스 및 대상 CMK를 모두 사용할 수 있는 권한이 기본 역할에 있어야 합니다.

자세한 내용은 AWS Key Management Service Developer Guide다른 계정의 사용자가 CMK를 사용하도록 허용을 참조하십시오.