기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 계정 간에 백업 복사본 생성
참고
여러 AWS 계정 핀의 AWS Backup리소스를 관리하려면 먼저 계정이 AWS Organizations 서비스의 동일한 조직에 속해야 합니다.
를 사용하면 AWS Backup필요에 AWS 계정 따라 여러 개에 백업하거나 예약된 백업 계획의 일부로 자동으로 여러 개에 백업할 수 있습니다. 운영상 또는 보안상의 이유로 조직 내 하나 AWS 계정 이상에 백업을 안전하게 복사하려면 계정 간 백업을 사용하세요. 원본 백업이 실수로 삭제된 경우 대상 계정에서 소스 계정으로 백업을 복사한 다음 복원을 시작할 수 있습니다. 이렇게 하려면 먼저 AWS Organizations 서비스에서 동일한 조직에 속하는 2개의 계정이 있어야 합니다. 자세한 내용은 Organizations 사용 설명서의 자습서: 조직 생성 및 구성을 참조하세요.
대상 계정에서 백업 볼트를 생성해야 합니다. 그런 다음 대상 계정의 백업을 암호화하는 고객 관리 키와 복사하려는 리소스에 대한 액세스를 허용하는 AWS Backup 리소스 기반 액세스 정책을 할당합니다. 소스 계정에서 리소스가 고객 관리형 키로 암호화되는 경우 이 고객 관리형 키를 대상 계정과 공유해야 합니다. 그런 다음 백업 계획을 생성하고 AWS Organizations의 조직 단위에 속하는 대상 계정을 선택할 수 있습니다.
AWS Backup지원되는 대부분의 리소스는 계정 간 백업을 지원합니다. 자세한 내용은 리소스별 기능 가용성 표의 해당 섹션을 참조하세요.
대부분의 AWS 지역에서는 계정 간 백업을 지원합니다. 자세한 내용은 기능 가용성은 다음과 같습니다. AWS 리전 표의 해당 섹션을 참조하세요.
교차 계정 백업 설정
교차 계정 백업을 생성하려면 무엇이 필요한가요?
-
소스 계정
소스 계정은 프로덕션 AWS 리소스와 기본 백업이 있는 계정입니다.
소스 계정 사용자가 교차 계정 백업 작업을 시작합니다. 소스 계정 사용자 또는 역할에 적절한 API 권한이 있어야 작업을 시작할 수 있습니다. 적절한 권한은 작업에 대한 전체 액세스를 허용하는 AWS 관리형
AWSBackupFullAccess정책이나 다음과 같은 AWS Backupec2:ModifySnapshotAttribute작업을 허용하는 고객 관리형 정책일 수 있습니다. 정책 유형에 대한 자세한 내용은 AWS Backup 관리형 정책을 참조하세요. -
대상 계정
대상 계정은 백업 복사본을 보관하려는 계정입니다. 대상 계정을 두 개 이상 선택할 수 있습니다. 대상 계정은 AWS Organizations의 소스 계정과 동일한 조직에 있어야 합니다.
대상 백업 볼트에 대한 액세스 정책
backup:CopyIntoBackupVault를 ‘허용’해야 합니다. 이 정책이 없으면 대상 계정으로의 복사 시도가 거부됩니다. -
의 관리 계정 AWS Organizations
관리 계정은 AWS Organizations에서 정의한 대로 AWS 계정간에 교차 계정 백업을 관리하는 데 사용하는 조직의 기본 계정입니다. 교차 계정 백업을 사용하려면 서비스 신뢰도 활성화해야 합니다. 서비스 신뢰를 활성화한 후에는 조직의 모든 계정을 대상 계정으로 사용할 수 있습니다. 대상 계정에서 교차 계정 백업에 사용할 볼트를 선택할 수 있습니다.
-
AWS Backup 콘솔에서 교차 계정 백업 활성화
보안에 대한 자세한 내용은 교차 계정 백업을 위한 보안 고려 사항 단원을 참조하세요.
교차 계정 백업을 사용하려면 교차 계정 백업 기능을 활성화해야 합니다. 그런 다음 대상 백업 볼트에 대한 액세스 정책 backup:CopyIntoBackupVault를 ‘허용’해야 합니다.
교차 계정 백업을 활성화하려면
-
AWS Organizations 관리 계정 자격 증명을 AWS 사용하여 로그인합니다. 교차 계정 백업은 이러한 보안 인증 정보를 사용해서만 활성화 또는 비활성화할 수 있습니다.
https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. -
내 계정에서 설정을 선택합니다.
-
교차 계정 백업에 활성화를 선택합니다.
-
백업 볼트에서 대상 볼트를 선택합니다.
-
액세스 정책 섹션에서
backup:CopyIntoBackupVault를 ‘허용’합니다. 예를 들어 권한 추가를 선택한 다음 조직의 백업 볼트에 대한 액세스 허용을 선택합니다. -
이제 조직의 모든 계정이 조직의 다른 모든 계정과 백업 볼트의 콘텐츠를 공유할 수 있습니다. 자세한 정보는 백업 볼트를 다른 AWS 계정과 공유을 참조하세요. 다른 계정의 백업 볼트의 콘텐츠를 수신할 수 있는 계정을 제한하려면 계정을 대상 계정으로 구성 단원을 참조하세요.
교차 계정 백업 예약
예약 백업 계획을 사용하여 AWS 계정간에 백업을 복사할 수 있습니다.
예약 백업 계획을 사용하여 백업을 복사하려면
https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. -
내 계정에서 백업 계획을 선택한 다음 백업 계획 생성을 선택합니다.
-
백업 계획 생성 페이지에서 새 계획 수립을 선택합니다.
-
백업 계획 이름에 백업 계획의 이름을 입력합니다.
-
백업 규칙 구성 섹션에서 백업 일정, 백업 기간, 수명 주기 규칙을 정의하는 백업 규칙을 추가합니다. 나중에 백업 규칙을 더 추가할 수 있습니다.
규칙 이름에 규칙의 이름을 입력합니다.
-
예약 섹션의 빈도에서 백업을 수행할 빈도를 선택합니다.
-
백업 기간에서 백업 기간 기본값 사용(권장)을 선택합니다. 백업 기간을 사용자 지정할 수 있습니다.
-
백업 볼트의 경우 목록에서 볼트를 선택합니다. 이 백업의 복구 시점은 이 볼트에 저장됩니다. 새 백업 볼트를 생성할 수 있습니다.
-
사본 생성 - 선택 사항 섹션에 다음 값을 입력합니다.
- 대상 리전
-
백업 복사본을 저장할 대상을 AWS 리전 선택합니다. 백업이 이 리전에 복사됩니다. 복사할 때마다 새 복사 규칙을 새 대상에 추가할 수 있습니다.
- 다른 계정의 볼트로 복사
-
토글하여 이 옵션을 선택합니다. 선택하면 옵션이 파란색으로 바뀝니다. 외부 볼트 ARN 옵션이 나타납니다.
- 외부 볼트 ARN
-
대상 계정의 Amazon 리소스 이름(ARN)을 입력합니다. ARN은 계정 ID와 계정 ID가 포함된 문자열입니다. AWS 리전 AWS Backup 백업을 대상 계정의 저장소에 복사합니다. 대상 리전 목록은 외부 볼트 ARN의 리전으로 자동 업데이트됩니다.
백업 볼트 액세스 허용에서 허용을 선택합니다. 그런 다음 열리는 마법사에서 허용을 선택합니다.
AWS Backup 백업을 지정된 값으로 복사하려면 외부 계정에 액세스할 수 있는 권한이 필요합니다. 마법사는 이러한 액세스를 제공하는 다음과 같은 예제 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] } - 콜드 스토리지로 전환
-
백업 복사본을 콜드 스토리지로 전환할 시기와 복사본의 만료(삭제) 시기를 선택합니다. 콜드 스토리지로 전환된 백업은 콜드 스토리지에서 최소 90일 이상 저장되어야 합니다. 복사본이 콜드 스토리지로 전환된 후에는 이 값을 변경할 수 없습니다.
콜드 스토리지로 전환할 수 있는 리소스 목록을 보려면 리소스별 기능 가용성 표의 ‘콜드 스토리지로 전환 시 수명 주기’를 참조하세요. 다른 리소스에서는 콜드 스토리지 표현식이 무시됩니다.
만료는 복사본 생성 후 삭제될 때까지의 일 수를 지정합니다. 이 값은 콜드 스토리지로 전환 값보다 90일 이상이 커야 합니다.
참고
백업이 만료되고 수명 주기 정책의 일부로 삭제 대상으로 표시되면 다음 8시간 동안 임의로 선택한 시점에서 백업을 AWS Backup 삭제합니다. 이 창은 일관된 성능을 보장하는 데 도움이 됩니다.
-
복구 시점에 태그를 추가하려면 복구 시점에 추가되는 태그를 선택합니다.
-
고급 백업 설정에서 Windows VSS를 선택하여 EC2에서 실행되는 선택된 서드 파티 소프트웨어에 대해 애플리케이션 인식 스냅샷을 활성화합니다.
-
계획 생성을 선택합니다.
온디맨드 교차 계정 백업 수행
필요에 따라 백업을 다른 백업에 복사할 수 있습니다. AWS 계정
온디맨드로 백업을 복사하려면
https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. -
내 계정에서 백업 볼트를 선택하여 모든 백업 볼트를 나열합니다. 백업 볼트 이름 또는 태그를 기준으로 필터링할 수 있습니다.
-
복사하려는 백업의 복구 시점 ID를 선택합니다.
-
복사를 선택합니다.
-
백업 세부 정보를 확장하여 복사 중인 복구 시점에 대한 정보를 확인합니다.
-
복사 구성 섹션의 대상 리전 목록에서 옵션을 선택합니다.
-
다른 계정의 볼트로 복사를 선택합니다. 선택하면 옵션이 파란색으로 바뀝니다.
-
대상 계정의 Amazon 리소스 이름(ARN)을 입력합니다. ARN은 계정 ID와 계정 ID가 포함된 문자열입니다. AWS 리전 AWS Backup 백업을 대상 계정의 저장소에 복사합니다. 대상 리전 목록은 외부 볼트 ARN의 리전으로 자동 업데이트됩니다.
-
백업 볼트 액세스 허용에서 허용을 선택합니다. 그런 다음 열리는 마법사에서 허용을 선택합니다.
사본을 만들려면 원본 계정에 액세스할 수 있는 권한이 AWS Backup 필요합니다. 마법사는 이러한 액세스를 제공하는 예제 정책을 보여줍니다. 이 정책은 다음과 같습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] } -
콜드 스토리지로 전환에서 백업 복사본을 콜드 스토리지로 전환할 시기와 복사본의 만료(삭제) 시기를 선택합니다. 콜드 스토리지로 전환된 백업은 콜드 스토리지에서 최소 90일 이상 저장되어야 합니다. 복사본이 콜드 스토리지로 전환된 후에는 이 값을 변경할 수 없습니다.
콜드 스토리지로 전환할 수 있는 리소스 목록을 보려면 리소스별 기능 가용성 표의 ‘콜드 스토리지로 전환 시 수명 주기’를 참조하세요. 다른 리소스에서는 콜드 스토리지 표현식이 무시됩니다.
만료는 복사본 생성 후 삭제될 때까지의 일 수를 지정합니다. 이 값은 콜드 스토리지로 전환 값보다 90일 이상이 커야 합니다.
-
IAM 역할에서 백업을 복사에 사용할 수 있는 권한이 있는 IAM 역할(예: 기본 역할)을 지정합니다. 복사 작업은 대상 계정의 서비스 연결 역할에 의해 수행됩니다.
-
복사를 선택합니다. 복사하는 리소스의 크기에 따라 이 프로세스를 완료하는 데 몇 시간이 걸릴 수 있습니다. 복사 작업이 완료되면 작업 메뉴의 복사 작업 탭에 복사가 표시됩니다.
교차 계정 백업용 키 참고 사항
AWS 관리 키에서는 계정 간 복사가 지원되지 않습니다. AWS 관리 키의 키 정책은 변경할 수 없으므로 계정 간에 키를 복사할 수 없습니다. 리소스가 AWS 관리 키로 암호화되고 계정 간 복사를 수행하려는 경우 계정 간 복사가 지원되므로 암호화 키를 고객 관리 키로 변경할
한 백업에서 다른 백업으로 복원 AWS 계정
AWS Backup 한 리소스에서 다른 AWS 계정 리소스로의 리소스 복구를 지원하지 않습니다. 하지만 한 계정의 백업을 다른 계정으로 복사한 다음 해당 계정에서 복원할 수 있습니다. 예를 들어 백업을 계정 A에서 계정 B로 복원할 수는 없지만 백업을 계정 A에서 계정 B로 복사한 다음 계정 B에서 복원할 수 있습니다.
백업을 한 계정에서 다른 계정으로 복원하는 절차는 2단계 프로세스입니다.
백업을 한 계정에서 다른 계정으로 복원하려면
-
AWS 계정 원본의 백업을 복원하려는 계정에 복사합니다. 지침은 교차 계정 백업 설정을 참조하세요.
-
리소스에 적절한 지침을 사용하여 백업을 복원합니다.
백업 볼트를 다른 AWS 계정과 공유
AWS Backup 백업 저장소를 하나 이상의 계정과 공유하거나 조직 전체와 공유할 수 AWS Organizations있습니다. 대상 백업 볼트를 소스 AWS 계정, 사용자 또는 IAM 역할과 공유할 수 있습니다.
대상 백업 볼트를 공유하려면
-
AWS Backup을 선택한 다음 백업 볼트를 선택합니다.
-
공유할 백업 볼트의 이름을 선택합니다.
-
액세스 정책 창에서 권한 추가 드롭다운을 선택합니다.
-
백업 볼트에 계정 수준 액세스 허용을 선택합니다. 또는, 조직 수준 또는 역할 수준 액세스를 허용하도록 선택할 수 있습니다.
-
이 대상 백업 볼트와 공유하려는 계정의 AccountID를 입력합니다.
-
정책 저장을 선택합니다.
IAM 정책을 사용하여 백업 볼트를 공유할 수 있습니다.
대상 백업 볼트를 AWS 계정 또는 IAM 역할과 공유
다음 정책은 백업 볼트를 계정 번호 4444555566666 및 계정 번호 111122223333의 IAM 역할 SomeRole과 공유합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::444455556666:root", "arn:aws:iam::111122223333:role/SomeRole" ] }, "Action":"backup:CopyIntoBackupVault", "Resource":"*" } ] }
대상 백업 저장소 (조직 구성 단위) 를 공유합니다. AWS Organizations
다음 정책은 해당 PrincipalOrgPaths 사용하여 조직 단위와 백업 볼트를 공유합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "ForAnyValue:StringLike":{ "aws:PrincipalOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }
대상 백업 저장소를 다음 조직과 공유하십시오. AWS Organizations
다음 정책은 백업 볼트를 PrincipalOrgID ‘o-a1b2c3d4e5’의 조직과 공유합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":[ "o-a1b2c3d4e5" ] } } } ] }
계정을 대상 계정으로 구성
AWS Organizations 관리 계정을 사용하여 처음으로 계정 간 백업을 활성화하면 멤버 계정의 모든 사용자가 자신의 계정을 대상 계정으로 구성할 수 있습니다. 대상 계정을 제한하려면 AWS Organizations 에서 다음 서비스 제어 정책(SCP)을 하나 이상 설정하는 것이 좋습니다. AWS Organizations 노드에 서비스 제어 정책을 연결하는 방법에 대한 자세한 내용은 서비스 제어 정책 연결 및 분리를 참조하십시오.
태그를 사용하여 대상 계정 제한
이 정책은 AWS Organizations 루트, OU 또는 개인 계정에 연결하는 경우 해당 루트, OU 또는 계정의 복사 대상을 사용자가 태깅한 백업 저장소가 있는 계정으로만 제한합니다. DestinationBackupVault 권한 "backup:CopyIntoBackupVault"는 백업 볼트가 작동하는 방식, 그리고 이 경우에는 유효한 대상 백업 볼트를 제어합니다. 이 정책을 승인된 대상 볼트에 적용되는 해당 태그와 함께 사용하여 교차 계정 복사의 대상을 승인된 계정 및 백업 볼트로만 제어할 수 있습니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "Null":{ "aws:ResourceTag/DestinationBackupVault":"true" } } } ] }
계정 번호 및 볼트 이름을 사용하여 대상 계정 제한
이 정책은 AWS Organizations 루트, OU 또는 개별 계정에 연결하는 경우 해당 루트, OU 또는 계정에서 생성되는 복사본을 두 개의 대상 계정으로만 제한합니다. 권한 "backup:CopyFromBackupVault"는 백업 볼트에서 복구 시점이 작동하는 방식, 그리고 이 경우에는 해당 복구 시점을 복사할 수 있는 대상을 제어합니다. 하나 이상의 대상 백업 볼트 이름이 cab-으로 시작하는 경우 소스 볼트가 첫 번째 대상 계정(112233445566)으로의 복사만 허용합니다. 대상이 fort-knox로 이름이 지정된 단일 백업 볼트인 경우 소스 볼트가 두 번째 대상 계정(123456789012)으로의 복사만 허용합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"arn:aws:ec2:*:snapshot/*", "Condition":{ "ForAllValues:ArnNotLike":{ "backup:CopyTargets":[ "arn:aws:backup:*:112233445566:backup-vault:cab-*", "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox" ] } } } ] }
다음 조직 단위를 사용하여 대상 계정을 제한합니다. AWS Organizations
원본 계정이 포함된 AWS Organizations 루트 또는 OU에 연결하거나 원본 계정에 연결할 경우 다음 정책에 따라 대상 계정이 지정된 두 OU 내의 해당 계정으로 제한됩니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"*", "Condition":{ "ForAllValues:StringNotLike":{ "backup:CopyTargetOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }
교차 계정 백업을 위한 보안 고려 사항
AWS Backup에서 교차 계정 백업을 수행할 때는 다음 사항에 유의해야 합니다.
-
대상 볼트는 기본 볼트가 될 수 없습니다. 이는 기본 볼트가 다른 계정과 공유할 수 없는 키로 암호화되어 있기 때문입니다.
-
교차 계정 백업을 비활성화한 후에도 최대 15분 동안 교차 계정 백업이 계속 실행될 수 있습니다. 이는 최종 일관성 때문이며, 교차 계정 백업을 비활성화한 후에도 일부 교차 계정 작업이 시작되거나 완료될 수 있습니다.
-
대상 계정이 나중에 조직을 벗어나는 경우 해당 계정에 백업이 유지됩니다. 잠재적 데이터 유출을 방지하려면 대상 계정에 연결된 서비스 제어 정책(SCP)에서
organizations:LeaveOrganization권한에 거부 권한을 부여하세요. SCP에 대한 자세한 내용은 Organizations 사용 설명서의 조직에서 멤버 계정 제거를 참조하세요. -
계정 간 복사 중에 복사 작업 역할을 삭제하면 복사 작업이 완료될 때 소스 계정에서 스냅샷을 공유 해제할 AWS Backup 수 없습니다. 이 경우 백업 작업은 완료되지만 복사 작업 상태는
스냅샷 공유 취소 실패로 표시됩니다.
