기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
논리적 에어 갭 처리 저장소(평가판)
참고
2023년 8월 9일부터 논리적으로 에어 AWS Backup 갭이 있는 저장소를 사용할 수 있는 미리 보기를 제공합니다. <이 평가판에 등록하려면 aws-backup-vault-preview 이메일을 통해 @amazon .com으로 요청을 보내십시오.>
평가판 기간 도중 및 이후에 기능이 변경되거나 조정될 수 있습니다. 서비스가 GA(정식 출시)되면 평가판 중에 제공된 데이터 및 구성은 더 이상 사용할 수 없게 됩니다. AWS 는 평가판에서는 프로덕션 데이터 대신 테스트 데이터를 사용할 것을 권장합니다.
개요
AWS Backup 백업 사본을 다른 저장소에 저장할 수 있는 보조 유형의 저장소를 미리 보는 중입니다. 논리적 에어 갭 처리 저장소는 백업 저장소의 보안 기능을 강화하는 것 외에도 다른 계정 및 조직에 대한 저장소 액세스를 공유할 수 있는 기능을 제공하는 특수 저장소입니다. 이를 통해 리소스의 신속한 복원이 필요한 사고 발생 시 복구 시간(RTO)을 더 빠르고 유연하게 조정할 수 있습니다.
논리적으로 에어 갭 저장소에는 추가 보호 기능이 탑재되어 있습니다. 각 저장소는 AWS 소유 키로 암호화되며 각 저장소에는 규정 준수 모드로 설정된 저장소 잠금이 있습니다.
필요한 경우, 조직 및 계정 간에 논리적 에어 갭 처리 저장소를 공유하도록 선택하여 저장소를 공유하는 계정에서 저장소에 저장된 백업을 복원하도록 할 수 있습니다.
평가판 기간에는 논리적 에어 갭 처리 저장소에 저장해도 추가 요금이 부과되지 않습니다. 논리적 에어 갭 처리 저장소에 있는 백업 복사본에는 요금이 청구되지 않더라도, 표준 백업 저장소 및 교차 리전 복사본의 백업에는 여전히 게시된 요금(가격
사용 사례
논리적 에어 갭 처리 저장소는 데이터 보호 전략의 일환으로 사용되는 보조 저장소입니다. 이 저장소는 다음과 같은 백업용 저장소가 필요한 경우, 조직의 보존 및 복구 기능을 향상하는 데 도움이 될 수 있습니다.
규정 준수 모드에서 저장소 잠금으로 자동 설정됨
-
백업을 생성한 계정이 아닌 다른 계정에서 공유하고 복원할 수 있는 백업이 포함됨
소유 키로 암호화된 상태로 제공됩니다. AWS
논리적 에어 갭 처리 저장소에서 지원되는 리소스는 다음과 같습니다.
Amazon EC2
Amazon EBS
Amazon S3
Amazon EFS
Amazon RDS
논리적 에어 갭 처리 저장소의 평가판은 미국 동부(버지니아 북부) 리전에서만 사용할 수 있습니다. 이 기능은 현재 한 리전에서만 제공되므로, 이 평가판 기간에는 교차 리전 복사가 지원되지 않습니다.
표준 백업 저장소와 비교 및 대조
백업 저장소는 에서 사용되는 기본 및 표준 유형의 AWS Backup저장소입니다. 백업이 생성될 때 각 백업은 백업 저장소에 저장됩니다. 리소스 기반 정책을 할당하여 저장소에 저장된 백업을 관리(예: 저장소 내에 저장된 백업의 수명 주기)할 수 있습니다.
논리적 에어 갭 처리 저장소는 복구 시간(RTO) 단축을 위한 추가적인 보안 및 유연한 공유 기능을 갖춘 특수 저장소입니다. 이 저장소에는 표준 백업 저장소 내에 최초로 생성 및 저장되었던 백업 복사본이 저장됩니다.
백업 저장소는 의도한 사용자의 액세스를 제한하는 보안 메커니즘인 키로 암호화할 수 있습니다. 이러한 키는 고객이 AWS 관리하거나 관리할 수 있습니다. 또한 백업 저장소는 저장소 잠금을 통해 훨씬 더 안전하게 보호할 수 있습니다. 논리적 에어 갭 처리 저장소는 규정 준수 모드의 저장소 잠금이 탑재되어 있습니다.
초기 리소스를 생성할 때 AWS KMS 키를 수동으로 변경하거나 고객 관리 키 (CMK) 로 설정하지 않은 경우 백업을 논리적으로 간격이 있는 저장소에 복사할 수 없습니다.
| 기능 | 백업 저장소 | 논리적 에어 갭 처리 저장소(평가판) |
|---|---|---|
백업이 생성되면 복구 시점으로 저장됨 |
백업은 생성 시 이 저장소에 저장되지 않음 |
|
리소스의 최초 백업 및 백업 복사본을 저장할 수 있음 |
다른 저장소의 백업 복사본을 저장할 수 있음 |
|
|
선택적으로 키로 암호화할 수 있음 (고객 관리 또는 관리) AWS 선택에 따라 저장소 잠금을 사용하여 잠그기 가능 |
AWS 소유한 키로 암호화됩니다. 규정 준수 모드에서는 항상 저장소 잠금을 사용하여 잠김 |
|
공유 기능 |
정책 및 AWS Organizations를 통해 액세스를 관리할 수 있음 다음과 호환되지 않음 AWS Resource Access Manager |
선택에 따라 AWS RAM을 사용하여 계정 간에 공유할 수 있음 |
저장소를 소유한 동일한 계정으로 백업을 복원할 수 있음 |
저장소를 별도의 계정과 공유할 경우, 백업을 소유한 계정과는 다른 계정으로 백업을 복원할 수 있음 |
|
AWS Backup 운영 중인 모든 지역에서 사용 가능 |
평가판 기간에는 미국 동부(버지니아 북부) 리전에서만 사용 가능 |
|
AWS Backup 지원되는 모든 리소스가 포함된 백업을 저장할 수 있습니다. |
Amazon EC2, Amazon EBS, Amazon EFS, Amazon S3 또는 Amazon RDS 데이터가 포함된 백업을 저장할 수 있음 |
콘솔에서 논리적 에어 갭 처리 저장소 생성
중요
저장소를 생성한 후에는 저장소 이름, 저장소 유형, 최소 및 최대 보존 기간을 변경할 수 없으며 저장소 잠금도 제거할 수 없습니다.
서비스가 일반 사용 가능 상태가 되면 미리 보기 중에 제공된 데이터 및 구성을 더 이상 사용할 수 없게 됩니다. AWS 미리 보기에서는 프로덕션 데이터 대신 테스트 데이터를 사용할 것을 권장합니다.
https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. 탐색 창에서 저장소를 선택합니다.
두 가지 유형의 저장소가 모두 표시됩니다. 새 저장소 생성을 선택합니다.
-
백업 저장소의 이름을 입력합니다. 저장소에 저장할 내용이 잘 반영되도록 저장소의 이름을 지정하거나 필요한 백업을 보다 쉽게 검색할 수 있도록 만들 수 있습니다. 예를 들어, 이름을
FinancialBackups로 지정할 수 있습니다. 논리적 에어 갭 처리 저장소의 라디오 버튼을 선택합니다.
-
최소 보존 기간을 설정합니다.
이 값(일, 월 또는 년)은 이 저장소에 백업을 보존할 수 있는 가장 짧은 기간입니다. 보존 기간이 이 값보다 짧은 백업은 이 저장소에 복사할 수 없습니다.
-
최대 보존 기간을 설정합니다.
이 값(일, 월 또는 년)은 이 저장소에 백업을 보존할 수 있는 가장 긴 기간입니다. 보존 기간이 이 값보다 큰 백업은 이 저장소에 복사할 수 없습니다.
(선택 사항) 논리적 에어 갭 처리 저장소를 검색하고 식별하는 데 도움이 되는 태그를 추가합니다. 예를 들어,
BackupType:Financial태그를 추가할 수 있습니다.저장소 생성을 선택합니다.
설정을 검토합니다. 모든 설정이 의도한 대로 표시되면 논리적 에어 갭 처리 저장소 생성을 선택합니다.
콘솔에서 새 저장소의 세부 정보 페이지로 이동합니다. 저장소 세부 정보가 예상과 같은지 확인합니다.
콘솔에서 논리적 에어 갭 처리 저장소의 세부 정보 보기
https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. 왼쪽 탐색 창에서 저장소를 선택합니다.
-
저장소의 설명 아래에는 이 계정이 소유한 저장소와 이 계정으로 공유하는 저장소라는 두 가지 목록이 있습니다. 저장소를 보려면 원하는 탭을 선택합니다.
-
저장소 이름 아래에서 저장소 이름을 클릭하여 세부 정보 페이지를 엽니다. 요약, 복구 시점, 보호된 리소스, 계정 공유, 액세스 정책, 태그 세부 정보를 볼 수 있습니다.
콘솔의 표준 백업 저장소에서 논리적 에어 갭 처리 저장소로 복사
논리적 에어 갭 처리 저장소는 백업 계획의 복사 작업 대상 또는 온디맨드 복사 작업의 대상만 될 수 있습니다.
복사 작업을 시작하려면 다음과 같은 요소가 있어야 합니다.
백업 저장소
논리적 에어 갭 처리 저장소
Amazon EC2, Amazon EBS, Amazon RDS, Amazon S3 또는 Amazon EFS 데이터가 포함된 백업
-
복사본을 생성하는 데 사용되는 역할을 위한
kms:CreateGrant권한 논리적으로 빈틈이 있는 저장소에 복사 작업의 일환으로 AWS 관리 키로 암호화된 백업은 없습니다.
위 내용을 확인한 후
https://console.aws.amazon.com/backup 에서 AWS Backup 콘솔을 엽니다.
왼쪽 탐색 창에서 저장소를 선택합니다.
-
저장소 세부 정보 페이지에는 해당 저장소 내의 모든 복구 시점이 표시됩니다. 복사하려는 복구 시점 옆에 체크 표시를 합니다.
작업을 선택한 다음, 드롭다운 메뉴에서 복사를 선택합니다.
다음 화면에서 대상의 세부 정보를 입력합니다.
리전을 미국 동부(버지니아 북부)로 설정해야 합니다.
-
대상 백업 저장소 드롭다운 메뉴에 적합한 대상 저장소가 표시됩니다. 유형이
logically air-gapped vault인 항목을 선택합니다.
모든 세부 정보가 기본 설정으로 설정되면 복사를 선택합니다.
콘솔의 작업 페이지에서 복사 작업을 선택하여 현재의 복사 작업을 볼 수 있습니다.
자세한 내용은 백업 복사, 교차 리전 백업, 교차 계정 백업을 참조하세요.
콘솔에서 논리적 에어 갭 처리 저장소 공유
참고
특정 IAM 권한이 있는 계정만 계정 공유를 공유하고 관리할 수 있습니다.
논리적으로 공백이 있는 저장소를 사용자가 지정한 다른 계정과 공유하는 AWS RAM 데 사용할 수 있습니다. 을 (를) 사용하여 AWS RAM공유하려면 다음 사항을 갖추어야 합니다.
액세스할 수 있는 두 개 이상의 계정 AWS Backup
-
공유하려는 계정에 필요한 RAM 권한이 있습니다. 이 절차를 수행하려면
ram:CreateResourceShare권한이 필요합니다.AWSResourceAccessManagerFullAccess정책에는 모든 필요한 RAM 관련 권한이 포함되어 있습니다. 논리적 에어 갭 처리 저장소 1개 이상
논리적 에어 갭 처리 저장소를 공유하려면
https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. 왼쪽 탐색 창에서 저장소를 선택합니다.
-
저장소의 설명 아래에는 이 계정이 소유한 저장소와 이 계정으로 공유하는 저장소라는 두 가지 목록이 있습니다. 저장소를 보려면 원하는 목록을 선택합니다.
저장소 이름 아래에서 논리적 에어 갭 처리 저장소의 이름을 클릭하여 세부 정보 페이지를 엽니다.
계정 공유 창에 저장소를 공유 중인 계정이 표시됩니다.
다른 계정과 공유를 시작하거나 이미 공유 중인 계정을 편집하려면 공유 관리를 선택합니다.
AWS RAM 공유 관리를 선택하면 콘솔이 열립니다. RAM을 사용하여 리소스를 공유하는 단계는 AWS AWS RAM에 리소스 공유 만들기를 참조하십시오.
적절한 권한이 있는지 확인합니다. 백업 관리자 IAM 정책 [AWSBackupFullAccessram:CreateResourceShare
공유를 수신하기 위한 초대를 수락하도록 초대된 계정은 12시간 이내에 초대를 수락해야 합니다. AWS RAM 사용 설명서의 리소스 공유 초대 수락 및 거부를 참조하세요.
공유 단계가 완료되고 수락되면 계정 공유 = "공유함 - 아래 계정 공유 표 참조" 아래에 저장소 요약 페이지가 표시됩니다.
콘솔을 사용하여 논리적 에어 갭 처리 저장소에서 백업 복원
논리적 에어 갭 처리 저장소에 저장된 백업을 저장소를 소유한 계정이나 저장소를 공유한 계정으로 복원할 수 있습니다.
복구 시점을 복원하는 방법에 대한 자세한 내용은 백업 복원을 참조하세요.
콘솔을 사용하여 논리적 에어 갭 처리 저장소 삭제
중요
서비스가 일반 사용 가능 상태가 되면 미리 보기 중에 제공된 데이터 및 구성을 더 이상 사용할 수 없게 됩니다. AWS 미리 보기에서는 프로덕션 데이터 대신 테스트 데이터를 사용할 것을 권장합니다.
저장소를 삭제하려면 백업 저장소 삭제를 참조하세요. 저장소에 백업(복구 시점)이 아직 포함되어 있는 경우 저장소를 삭제할 수 없습니다. 삭제 작업을 시작하기 전에 저장소에 백업이 남아 있지 않은지 확인하세요.
CLI/API를 통한 논리적 에어 갭 처리 저장소
를 AWS CLI 사용하여 논리적으로 에어 갭이 있는 저장소의 작업을 프로그래밍 방식으로 수행할 수 있습니다. 각 CLI는 해당 CLI가 시작된 AWS 서비스에 따라 다릅니다. 공유와 관련된 명령은 앞에 aws ram이 추가되고, 다른 모든 명령은 앞에 aws backup이 추가됩니다.
생성
아래의 CLI 명령 샘플 CreateLogicallyAirGappedBackupVault를 수정하여 논리적 에어 갭 처리 백업 저장소를 생성할 수 있습니다.
aws backup create-logically-air-gapped-backup-vault \ --region us-east-1 \ --backup-vault-namesampleName\ --min-retention-days7\ --max-retention-days35\ --creator-request-id123456789012-34567-8901// optional
세부 정보 보기
아래의 CLI 명령 샘플 DescribeBackupVault를 수정하여 저장소에 대한 세부 정보를 얻을 수 있습니다.
aws backup describe-backup-vault \ --region us-east-1 \ --backup-vault-nametestvaultname
공유
참고
충분한 IAM 권한이 있는 계정만 계정 공유를 공유하고 관리할 수 있습니다.
사용자가 리소스를 공유하는 데 도움이 되는 서비스인 AWS Resource Access Manager(RAM)을 통해 논리적 에어 갭 처리 저장소를 공유할 수 있습니다.
AWS RAM CLI 명령을 사용합니다. create-resource-share 이 명령에 대한 액세스는 충분한 권한이 있는 관리자 계정에만 제공됩니다. CLI 단계는 Creating a resource share in AWS RAM을 참조하세요.
1~4단계는 논리적 에어 갭 처리 저장소를 소유한 계정을 사용하여 수행됩니다. 5~8단계는 논리적 에어 갭 처리 저장소를 공유할 계정을 사용하여 수행됩니다.
-
소유한 계정으로 로그인하거나, 소스 계정에 액세스할 수 있는 충분한 보안 인증을 가진 조직의 사용자에게 이 단계를 완료해 달라고 요청합니다.
-
이전에 리소스 공유를 생성했고 추가적인 리소스를 추가하려는 경우, 새 저장소의 ARN과 함께 CLI
associate-resource-share를 대신 사용하세요.
-
-
RAM을 통해 공유할 수 있는 충분한 권한이 있는 역할의 보안 인증을 가져옵니다. 이를 CLI에 입력합니다.
-
이 절차를 수행하려면
ram:CreateResourceShare권한이 필요합니다. AWSResourceAccessManagerFullAccess정책에는 모든 RAM 관련 권한이 포함됩니다.
-
-
논리적 에어 갭 처리 저장소의 ARN을 포함합니다.
-
입력 예
aws ram create-resource-share \ --nameMyLogicallyAirGappedVault\ --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1\ --principals123456789012\ --region us-east-1출력 예:
{ "resourceShare":{ "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name":"MyLogicallyAirGappedVault", "owningAccountId":"123456789012", "allowExternalPrincipals":true, "status":"ACTIVE", "creationTime":"2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00" } }
-
출력에 리소스 공유 ARN을 복사합니다(이후 단계에 필요). 공유를 수신하기 위해 초대하는 계정의 운영자에게 ARN을 제공합니다.
-
리소스 공유 ARN 받기
-
1~4단계를 수행하지 않았다면 수행한 resourceShareArn 사람으로부터 구하십시오.
-
예제:
arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543
-
CLI에서는 수신자 계정의 보안 인증을 수임합니다.
-
get-resource-share-invitations를 사용하여 리소스 공유 초대를 받습니다. 자세한 내용은 AWS RAM 사용 설명서의 Accepting and rejecting invitations를 참조하세요. -
대상(복구) 계정의 초대를 수락합니다.
accept-resource-share-invitation을 사용합니다(reject-resource-share-invitation도 사용 가능).
나열
CLI 명령 ListBackupVaults를 수정하여 계정이 소유하고 있고 계정에 존재하는 모든 저장소를 나열할 수 있습니다.
aws backup list-backup-vaults \ --region us-east-1
논리적 에어 갭 처리 저장소만 나열하려면 파라미터를 추가합니다.
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
계정과 공유된 저장소를 나열하려면 다음을 사용합니다.
aws backup list-backup-vaults \ --region us-east-1 \ --by-shared
Copy
논리적 에어 갭 처리 저장소는 백업의 복사 작업을 위한 대상만 될 수 있으며, 최초 백업 작업의 대상이 될 수 없습니다. StartCopyJob을 사용하여 백업 저장소의 기존 백업을 논리적 에어 갭 처리 저장소에 복사할 수 있습니다.
논리적 에어 갭 처리 저장소에 대한 복사 작업을 생성하는 데 사용되는 역할에는 kms:CreateGrant 권한이 포함되어야 합니다.
CLI 입력 샘플:
aws backup start-copy-job \ --region us-east-1 \ --recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567\ --source-backup-vault-namesourcevaultname\ --destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname\ --iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
복원
논리적 에어 갭 처리 저장소에서 백업이 사용자 계정으로 공유되면 StartRestoreJob을 사용하여 해당 백업을 복원할 수 있습니다. CLI 입력 샘플:
aws backup start-restore-job \ --recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID\ --metadata {\"availabilityzone\":\"us-east-1d\"} \ --idempotency-tokenTokenNumber\ --resource-typeResourceType\ --iam-role arn:aws:iam::number:role/service-role/servicerole\ --region us-east-1
삭제
아래의 CLI 명령 샘플 DeleteBackupVault를 사용하여 저장소를 삭제할 수 있습니다. 저장소는 저장소 내에 백업(복구 시점)이 없는 경우에만 삭제할 수 있습니다.
aws backup delete-backup-vault --region us-east-1 --backup-vault-nametestvaultname
사용 가능한 기타 프로그래밍 옵션은 다음과 같습니다.
