Gerenciador de ciclo de vida de dados da Amazon - Amazon Elastic Compute Cloud

Gerenciador de ciclo de vida de dados da Amazon

Você pode usar o Gerenciador de ciclo de vida de dados da Amazon para automatizar a criação, a retenção e a exclusão de snapshots do EBS e de AMIs apoiadas pelo EBS. Quando você automatiza o gerenciamento de snapshot e AMI, isso ajuda a:

  • Proteger dados valiosos impondo uma programação regular de backup.

  • Crie AMIs padronizadas que podem ser atualizadas em intervalos regulares.

  • Reter os backups conforme exigido por auditores ou pelas regras de conformidade interna.

  • Reduzir os custos de armazenamento ao excluir backup obsoletos.

  • Criar políticas de backup de recuperação de desastres que fazem backup de dados em contas isoladas.

Quando combinado com os recursos de monitoramento do Eventos do Amazon CloudWatch e do AWS CloudTrail, o Gerenciador de ciclo de vida de dados da Amazon oferece uma solução completa de backup para instâncias de Amazon EC2 e volumes do EBS sem custo adicional.

Importante

O Gerenciador de ciclo de vida de dados da Amazon não pode ser usado para gerenciar snapshots ou AMIs criados por qualquer outro meio.

O Gerenciador de ciclo de vida de dados da Amazon não pode ser usado para automatizar a criação, retenção e exclusão de AMIs com armazenamento de instâncias.

Como Gerenciador de ciclo de vida de dados da Amazon funciona

Veja a seguir os elementos de chaves do Gerenciador de ciclo de vida de dados da Amazon.

Snapshots do

Os snapshots são o principal meio de fazer backup de dados de volumes do EBS. Para economizar custos de armazenamento, os snapshots sucessivos são incrementais, contendo apenas os dados do volume que mudaram desde o snapshot anterior. Quando você exclui um snapshot de uma série de snapshots de um volume, somente os dados exclusivos daquele snapshot são removidos. Os dados restantes do histórico capturado do volume são preservados.

Para obter mais informações, consulte Snapshots do Amazon EBS.

AMIs apoiadas pelo EBS

Uma Imagem de máquina da Amazon (AMI) fornece as informações necessárias para iniciar uma instância. Você pode executar várias instâncias em uma única AMI quando precisa de várias instâncias com a mesma configuração. O Gerenciador de ciclo de vida de dados da Amazon é compatível somente com AMIs apoiadas pelo EBS. AMIs apoiadas pelo EBS incluem um snapshot para cada volume do EBS associado à instância de origem.

Para obter mais informações, consulte Imagens de máquina da Amazon (AMIs).

Tags de recurso de destino

O Gerenciador de ciclo de vida de dados da Amazon usa tags de recursos para identificar os recursos para fazer backup. As tags são metadados personalizáveis que você pode atribuir aos recursos da AWS (inclusive a volumes do Amazon EC2 e snapshots). Uma política do Gerenciador de ciclo de vida de dados da Amazon (descrita posteriormente) segmenta uma instância ou um volume para backup usando uma única tag. Várias tags podem ser atribuídas a uma instância ou volume se você quiser executar várias políticas neles.

Não é possível usar o caractere “\” ou “=” em uma chave de tag.

Para obter mais informações, consulte Marcar com tag os recursos do Amazon EC2.

Tags do Gerenciador de ciclo de vida de dados da Amazon

O Gerenciador de ciclo de vida de dados da Amazon aplica as seguintes tags a todos os snapshots e AMIs criados por uma política a fim de distingui-los dos snapshots e AMIS criados por outros meios:

  • aws:dlm:lifecycle-policy-id

  • aws:dlm:lifecycle-schedule-name

  • aws:dlm:expirationTime

  • dlm:managed

Você também pode especificar tags personalizadas para aplicar durante a criação de um snapshot e AMIs. Não é possível usar o caractere “\” ou “=” em uma chave de tag.

As tags de destino que o Gerenciador de ciclo de vida de dados da Amazon usa para associar os volumes à política podem ser aplicadas opcionalmente aos snapshots criados pela política. Da mesma forma, as tags de destino usadas para associar instâncias a uma política de AMI podem, opcionalmente, ser aplicadas às AMIs criadas pela política.

Políticas de ciclo de vida

Uma política de ciclo de vida consiste nessas configurações principais:

  • Tipo de política—Define o tipo de recursos que a política pode gerenciar. O Gerenciador de ciclo de vida de dados da Amazon suporta dois tipos de políticas de ciclo de vida:

    • Política de ciclo de vida de snapshot—Usada para automatizar o ciclo de vida dos snapshots do EBS. Essas políticas podem direcionar volumes e instâncias do EBS.

    • Política de ciclo de vida da AMI apoiada pelo EBS—Usada para automatizar o ciclo de vida das AMIs suportadas pelo EBS. Essas políticas só podem direcionar instâncias.

    • Política de eventos de cópia entre contas—Usada para automatizar a cópia de snapshots entre contas. Esse tipo de política deve ser usado em conjunto com uma política de snapshot do EBS que compartilha snapshots entre contas.

  • Tipo de recurso—Define tipos de recursos que são direcionados pela política. As políticas de ciclo de vida do snapshot podem direcionar instâncias ou volumes. Use VOLUME para criar snapshots de volumes individuais ou use INSTANCE para criar snapshots de vários volumes de todos os volumes associados a uma instância. Para obter mais informações, consulte Snapshots de vários volumes. As políticas de ciclo de vida da AMI só podem direcionar instâncias. Uma AMI é criada que inclui snapshots de todos os volumes associados à instância de destino.

  • Tags de destino—Especifica as tags que devem ser associadas a um volume do EBS ou a uma instância do Amazon EC2 a ser gerenciada pela política.

  • Programações— As horas de início e os intervalos para a criação de snapshots ou AMIs. A primeira operação de criação de snapshot ou AMI começa uma hora após o horário de início especificado. As operações de criação de snapshot ou AMI subsequentes começam uma hora após o horário programado. Uma política pode ter até quatro programações – uma programação obrigatória e até três programações opcionais. Para obter mais informações, consulte Programações de política.

  • Retenção—Especifica como os snapshots ou AMIs devem ser retidos. Você pode reter snapshots ou AMIs com base na contagem total (baseada em contagem) ou na idade (baseada na idade). Para políticas de snapshot, quando o limite de retenção é atingido, o snapshot mais antigo é excluído. Para políticas de AMI, quando o limite de retenção é atingido, a AMI mais antiga é cancelada e seus snapshots de backup são excluídos.

Por exemplo, você pode criar uma política com configurações semelhantes às seguintes:

  • Gerencia todos os volumes do EBS que têm uma tag com uma chave de account e um valor de finance.

  • Cria snapshots a cada 24 horas em 0900 UTC.

  • Mantém apenas os cinco snapshots mais recentes.

  • Inicia a criação de snapshot o mais tardar em 0959 UTC a cada dia.

Programações de política

As programações de política definem quando os snapshots ou AMIS são criados pela política. As políticas podem ter até quatro programações — uma obrigatória e até três opcionais.

Adicionar várias programações a uma única política permite que você crie snapshots ou AMIs em frequências diferentes usando a mesma política. Por exemplo, você pode criar uma única política que cria snapshots diários, semanais, mensais e anuais. Isso elimina a necessidade de gerenciar várias políticas.

Para cada programação, você pode definir a frequência, configurações de restauração rápida de snapshot (somente políticas de ciclo de vida do snapshot), regras de cópia entre regiões e tags. As tags atribuídas a uma programação são automaticamente atribuídas aos snapshots ou AMIs criados quando a programação é acionada. Além disso, o Gerenciador de ciclo de vida de dados da Amazon atribui automaticamente uma tag gerada pelo sistema com base na frequência da programação a cada snapshot ou AMI.

Cada programação é acionada individualmente com base na frequência. Se várias programações forem acionadas ao mesmo tempo, o Gerenciador de ciclo de vida de dados da Amazon criará apenas um snapshot ou AMI e aplicará as configurações de retenção da programação que tem o período de retenção mais alto. As tags de todas as programações acionadas são aplicadas ao snapshot ou a AMI.

  • (Somente políticas de ciclo de vida de snapshot) Se mais de uma das programações acionadas estiver habilitada para restauração rápida de snapshot, o snapshot será habilitado para restauração rápida de snapshot em todas as zonas de disponibilidade especificadas em todas as programações acionadas. As configurações de retenção mais altas das programações acionadas são usadas para cada zona de disponibilidade.

  • Se mais de uma das programações acionadas estiver habilitada para cópia entre regiões, o snapshot ou a AMI serão copiados para todas as regiões especificadas em todas as programações acionadas. O período de retenção mais alto das programações acionadas é aplicado.

Considerações para o Gerenciador de ciclo de vida de dados da Amazon

Sua conta da AWS tem as seguintes cotas relacionadas ao Gerenciador de ciclo de vida de dados da Amazon:

  • Você pode criar até 100 políticas de ciclo de vida por região.

  • Você pode adicionar até 45 tags por recurso.

As seguintes considerações se aplicam a políticas de ciclo de vida:

  • Uma política não começa a criar snapshots até você definir o status de ativação como habilitado. Você pode configurar uma política de forma que ela fique habilitada no momento da criação.

  • A primeira operação de criação de snapshot ou AMI começa uma hora após o horário de início especificado. As operações de criação de snapshot ou AMI subsequentes começam uma hora após o horário programado.

  • Se você modificar uma política removendo ou alterando suas tags de destino, os volumes do EBS que possuem essas tags não serão mais afetados pela política.

  • Se você alterar o nome da programação de uma política, os snapshots criados sob o antigo nome da programação não serão mais afetados pela política.

  • Se você modificar uma programação de retenção baseada em tempo para usar um novo intervalo de tempo, o novo intervalo será usado somente para novos snapshots ou AMIs criados após a alteração. A nova programação não afeta a programação de retenção de snapshots ou AMIs criados antes da alteração.

  • Não é possível alterar a programação de retenção de uma política de acordo com a contagem para baseada no tempo após a criação. Para fazer essa alteração, você deve criar uma nova política.

  • Se você desabilitar uma política com uma programação de retenção baseada em idade, os snapshots ou AMIs definidos para expirar enquanto a política estiver desativada serão mantidos indefinidamente. Você deve excluir os snapshots ou cancelar o registro das AMIs manualmente. Quando você habilitar a política novamente, o Gerenciador de ciclo de vida de dados da Amazon retoma a exclusão de snapshots à medida que seus períodos de retenção expiram.

  • Se você excluir o recurso com retenção baseada em contagem ao qual a política se aplica, ela não poderá mais gerenciar os snapshots ou AMIs previamente criados. Você deve excluir manualmente os snapshots ou cancelar o registro das AMIs se eles não forem mais necessários.

  • Se você excluir o recurso ao qual se aplica uma política com retenção baseada na idade, a política continuará excluindo snapshots ou cancelando o registro de AMIs na programação definida, até o último snapshot ou AMI. Você deve excluir manualmente o último snapshot ou cancelar o registro da última AMI, se ele não for mais necessário.

  • Você pode criar várias políticas para fazer backup de um volume do EBS ou uma instância do Amazon EC2. Por exemplo, se um volume do EBS tem duas tags, onde a tag A é um destino da política A para criar um snapshot a cada 12 horas, e a tag B é um destino da política B para criar um snapshot a cada 24 horas, o Gerenciador de ciclo de vida de dados da Amazon cria snapshots de acordo com as programações de ambas as políticas. Como alternativa, você pode obter o mesmo resultado criando uma única política que tenha várias programações. Por exemplo, você pode criar uma única política que segmenta apenas a tag A, e especificar duas programações—uma para cada 12 horas e uma para cada 24 horas.

  • Se você criar uma política que segmenta instâncias e novos volumes forem associados à instância após a criação da política, os volumes recém-adicionados serão incluídos no backup na próxima execução da política. Todos os volumes associados à instância no momento da execução da política são incluídos.

  • Para políticas de ciclo de vida da AMI, quando o limite de retenção da AMI é atingido, a AMI mais antiga é cancelada e seus snapshots de backup são excluídos.

As seguintes considerações se aplicam às políticas de ciclo de vida e à restauração rápida de snapshots:

  • Um snapshot habilitado para restauração rápida continua habilitado mesmo que você exclua ou desabilite a política de ciclo de vida ou desabilite a restauração rápida de snapshots para a zona de disponibilidade. É possível desabilitar a restauração rápida desses snapshots manualmente.

  • Se você habilitar a recuperação rápida de snapshots e exceder o número máximo de snapshots que podem ser habilitados para restauração rápida de snapshots, o Gerenciador de ciclo de vida de dados da Amazon criará snapshots, mas não os habilitará para restauração rápida. Depois que um snapshot que está habilitado para restauração rápida for excluído, o próximo snapshot que o Gerenciador de ciclo de vida de dados da Amazon criar será habilitado para restauração rápida.

  • Quando você habilita a restauração rápida de um snapshot, são necessários 60 minutos por TiB para otimizar o snapshot. Recomendamos criar uma programação que garanta que cada snapshot seja totalmente otimizados antes que o Gerenciador de ciclo de vida de dados da Amazon crie o próximo snapshot.

  • Você será cobrado por cada minuto em que a restauração rápida de snapshots estiver habilitada para um snapshot em uma determinada zona de disponibilidade. As cobranças são divididas com um mínimo de uma hora. Para obter mais informações, consulte Definição de preço e cobrança.

    nota

    Dependendo da configuração de suas políticas de ciclo de vida, você pode ter vários snapshots habilitados para restauração rápida de snapshots simultaneamente.

As considerações a seguir se aplicam às políticas de ciclo de vida de snapshot e aos volumes habilitados para multi-attach:

  • Ao criar uma política de ciclo de vida com base em tags de instâncias para snapshots de vários volumes, o Gerenciador de ciclo de vida de dados da Amazon inicia um snapshot do volume para cada instância anexada. Use a tag timestamp para identificar o conjunto de snapshots consistentes em relação ao tempo criados das instâncias anexadas.

As considerações a seguir se aplicam ao compartilhamento de snapshots entre contas:

  • Você só pode compartilhar snapshots não criptografados ou criptografados usando uma CMK gerenciada pelo cliente.

  • Você não pode compartilhar snapshots criptografados com a chave de criptografia padrão do EBS.

  • Se compartilhar snapshots criptografados, você também deverá compartilhar a CMK usada para criptografar o volume de origem com as contas de destino. Para obter mais informações, consulte Allowing users in other accounts to use a CMK (Como permitir que usuários de outras contas usem uma CMK) no AWS Key Management Service Developer Guide.

As seguintes considerações se aplicam às políticas de eventos de cópia entre contas:

  • Você só pode copiar snapshots não criptografados ou criptografados usando uma CMK gerenciada pelo cliente.

  • Você pode criar uma política de eventos de cópia entre contas que copia snapshots compartilhados fora do Gerenciador de ciclo de vida de dados da Amazon.

  • Se você quiser criptografar snapshots na conta de destino, a função do IAM selecionada para a política de eventos de cópia entre contas deve ter permissão para usar a CMK necessária.

Pré-requisitos

Os seguintes pré-requisitos são exigidos pelo Gerenciador de ciclo de vida de dados da Amazon.

Permissões para Gerenciador de ciclo de vida de dados da Amazon

O Gerenciador de ciclo de vida de dados da Amazon usa as funções do IAM para obter as permissões necessárias para gerenciar snapshots e AMIs em seu nome. O Gerenciador de ciclo de vida de dados da Amazon cria as seguintes funções padrão na primeira vez que você cria uma política de ciclo de vida usando o Console de gerenciamento da AWS.

  • AWSDataLifecycleManagerDefaultRole— função padrão para gerenciar snapshots. Ela é criada na primeira vez que você cria uma política de ciclo de vida de snapshot usando o console.

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement—função padrão para gerenciar AMIs. Ela é criada na primeira vez que você cria uma política de ciclo de vida da AMI usando o console.

Você também pode criar essa função manualmente usando o comando create-default-role. Para --resource-type, especifique uma das seguintes opções, dependendo da função a ser criada:

  • snapshot—para criar a função padrão para gerenciar políticas de ciclo de vida de snapshot

  • image—para criar a função padrão para gerenciar políticas de ciclo de vida da AMI

aws dlm create-default-role --resource-type snapshot|image

Como alternativa, você pode criar funções do IAM personalizadas com as permissões necessárias e selecioná-las ao criar uma política de ciclo de vida.

Para criar uma função do IAM personalizada

  1. Crie funções com as seguintes permissões.

    • Permissões para gerenciar políticas de ciclo de vida de snapshot

      "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" } ] }
    • Permissões para gerenciar políticas de ciclo de vida da AMI

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }] }

    Para obter mais informações, consulte Criar uma função no Guia do usuário do IAM.

  2. Adicione uma relação de confiança às funções.

    1. No console do IAM, selecione Roles (Funções).

    2. Selecione a função que você criou e, em seguida, escolha Trust relationships ( (Relações de confiança).

    3. Escolha Edit Trust Relationship (Editar relação de confiança), adicione a seguinte política e, em seguida, escolha Update Trust Policy (Atualizar política de confiança).

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Permissões para usuários do IAM

Um usuário do IAM deve ter as seguintes permissões para usar o Gerenciador de ciclo de vida de dados da Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole", "iam:ListRoles"], "Resource": "arn:aws:iam::123456789012:role/AWSDataLifecycleManagerDefaultRole" }, { "Effect": "Allow", "Action": "dlm:*", "Resource": "*" }] }

Para obter mais informações, consulte Alteração de permissões para um usuário do IAM no Guia do usuário do IAM.

Permissões para criptografia

Se o volume de origem for criptografado, certifique-se de que as funções padrão do Gerenciador de ciclo de vida de dados da Amazon (awsDataLifecycleManagerDefaultRole e awsDataLifecycleManagerDefaultRoleForamimanagement) tenham permissão para usar as chaves mestras do cliente do AWS KMS (CMKs) usadas para criptografar o volume.

Se você habilitar Cross Region copy (Cópia entre regiões) para snapshots não criptografados ou AMIs apoiadas por snapshots não criptografados e optar por ativar a criptografia na região de destino, certifique-se de que as funções padrão tenham permissão para usar a CMK necessária para executar a criptografia na região de destino.

Se você habilitar a Cross Region copy (Cópia entre regiões) para snapshots criptografados ou AMIs apoiadas por snapshots criptografados, certifique-se de que as funções padrão tenham permissão para usar as CMKs de origem e de destino.

Para obter mais informações, consulte Allowing users in other accounts to use a CMK (Como permitir que usuários de outras contas usem uma CMK) no AWS Key Management Service Developer Guide.