跨越建立備份副本 AWS 帳戶 - AWS Backup
設定跨帳戶備份排程跨帳戶備份執行隨需跨帳戶備份加密金鑰和跨帳戶副本將備份從一個還原 AWS 帳戶 到另一個與其他 AWS 帳戶共用備份保存庫將您的帳戶設定為目的地帳戶跨帳戶備份的安全考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨越建立備份副本 AWS 帳戶

使用時 AWS Backup,您可以根據需要備份多個 AWS 帳戶 ,也可以自動備份為排程備份計劃的一部分。如果您基於營運或安全性考量,想要將備份安全地複製到組織 AWS 帳戶 中的一或多個備份,請使用跨帳戶備份。如果不小心刪除您的原始備份,您可以將備份從其目的地帳戶複製到其來源帳戶,然後啟動還原。您必須在 AWS Organizations 服務中有兩個屬於同一組織的帳戶,才能執行這項操作。如需詳細資訊,請參閱《Organizations 使用指南》中的《教學課程:建立和設定組織》。

在您的目的地帳戶中,您必須建立備份保存庫。然後,您可以指派客戶管理的金鑰來加密目標帳戶中的備份,以及以資源為基礎的存取政策, AWS Backup 以允許存取您要複製的資源。在來源帳戶中,如果您的資源使用客戶自管金鑰加密,您必須與目的地帳戶共用此客戶自管金鑰。然後,您可以建立備份計畫,並選擇屬於 AWS Organizations中組織單位的目的地帳戶。

當您第一次將備份複製到跨帳戶時,請完整 AWS Backup 複製備份。一般而言,如果服務支援增量備份,則相同帳戶中該備份的後續副本為增量備份。 AWS Backup 使用目的地保管庫的客戶管理金鑰重新加密您的副本。

要求

  • AWS 帳戶 在中管理多個資源之前 AWS Backup,您的帳戶必須屬於 AWS Organizations 服務中的相同組織。

  • 支持的大多數資源都 AWS Backup 支持跨帳戶備份。如需詳細規格,請參閱各資源的功能可用性

  • 大部分 AWS 地區都支援跨帳戶備份。如需詳細規格,請參閱功能可用性 AWS 區域

  • AWS Backup 不支援冷層儲存的跨帳戶副本。

設定跨帳戶備份

建立跨帳戶備份需要哪些項目?

  • 來源帳戶

    來源帳戶是生產 AWS 資源和主要備份所在的帳戶。

    來源帳戶使用者會起始跨帳戶備份操作。來源帳號使用者或角色必須具有適當的API權限才能起始作業。適當的權限可能是受 AWS 管理的策略AWSBackupFullAccess,它可以完全訪問 AWS Backup 操作,或者允許執行諸如此類操作的客戶管理策略ec2:ModifySnapshotAttribute。如需政策類型的詳細資訊,請參閱《AWS Backup 受管政策》。

  • 目的地帳戶

    目的地帳戶是您要保留備份複本的帳戶。您可以選擇多個目的地帳戶。目的地帳戶必須與 AWS Organizations中的來源帳戶位於同一組織。

    您必須「允許」目的地備份保存庫的存取政策 backup:CopyIntoBackupVault。如果沒有此政策,嘗試複製到目的地帳戶會遭到拒絕。

  • 中的管理帳戶 AWS Organizations

    管理帳戶是您組織中的主要帳戶 (由 AWS Organizations定義),可用來管理各 AWS 帳戶間的跨帳戶備份。若要使用跨帳戶備份,您也必須啟用服務信任。啟用服務信任之後,您可以使用組織中的任何帳戶作為目的地帳戶。從目的地帳戶,您可以選擇要用於跨帳戶備份的保存庫。

  • 在 AWS Backup 主控台中啟用跨帳戶備份

如需安全的資訊,請參閱《跨帳戶備份的安全考量》。

若要使用跨帳戶備份,您必須啟用跨帳戶備份功能。然後,您必須在目的地備份保存庫中「允許」存取政策 backup:CopyIntoBackupVault

啟用跨帳戶備份

  1. 使用您的 AWS Organizations 管理帳戶認證登入。跨帳戶備份只能透過這些憑證啟用或停用。

  2. 請在以下位置開啟 AWS Backup 主控台。 https://console.aws.amazon.com/backup

  3. 我的帳戶 中,選擇 設定

  4. 針對 跨帳戶備份,選擇 啟用

  5. 備份保存庫 中,選擇您的目的地保存庫。

    對於跨帳戶複本,來源儲存庫和目標儲存庫位於不同的帳戶中。視需要切換至擁有目標帳戶的帳號。

  6. 存取政策 區段中,「允許」backup:CopyIntoBackupVault。例如,選擇 新增許可,然後選擇 允許從組織存取備份保存庫。除此之外的任何跨帳戶操作都backup:CopyIntoBackupVault將被拒絕。

  7. 現在,您組織中的任何帳戶都可以與同一組織中的任何其他帳戶共用其備份保存庫的內容。如需詳細資訊,請參閱 與其他 AWS 帳戶共用備份保存庫。若要限制哪些帳戶可以接收其他帳戶備份保存庫的內容,請參閱《將您的帳戶設定為目的地帳戶》。

排程跨帳戶備份

您可以使用排程備份計畫跨 AWS 帳戶複製備份。

使用排程備份計畫複製備份

  1. 請在以下位置開啟 AWS Backup 主控台。 https://console.aws.amazon.com/backup

  2. 我的帳戶 中,選擇 備份計畫,然後選擇 建立備份計畫

  3. 建立備份計畫 頁面上,選擇 建立新的計畫

  4. 針對 備份計畫名稱,輸入您的備份計畫名稱。

  5. 備份規則組態 區段中,新增定義備份排程、備份時段和生命週期規則的備份規則。您可以在稍後新增更多備份規則。

    針對 規則名稱,輸入您的規則名稱。

  6. 排程 區段的 頻率 下,選擇您要進行備份的頻率。

  7. 針對 備份時段,選擇 使用備份時段預設值 (建議)。您可以自訂備份時段。

  8. 針對 備份保存庫,從清單中選擇一個保存庫。此備份的復原點將會儲存在此保存庫中。您可以建立新的備份保存庫。

  9. 產生複本 - 選用 區段中,輸入下列值:

    目的地區域

    選擇備份副本 AWS 區域 的目的地。您的備份將會複製到此區域。您可以將每個副本的新副本規則新增至新的目的地。

    複製到其他帳戶的保存庫

    切換以選擇此選項。選取時,該選項會變成藍色。將會出現「外部儲存庫 ARN」選項。

    外部儲存庫 ARN

    輸入目標帳戶的 Amazon 資源名稱(ARN)。這ARN是包含帳號 ID 及其的字串 AWS 區域。 AWS Backup 會將備份複製到目標帳戶的保管庫。「目的地」區域清單會自動更新為外部儲存庫中的「區域」ARN。

    針對 允許存取備份保存庫,選擇 允許。然後在開啟的精靈中選擇 允許

    AWS Backup 需要訪問外部帳戶的權限才能將備份複製到指定的值。此精靈會顯示以下提供此存取權限的範例政策。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    轉換至冷儲存

    選擇何時將備份副本轉換為冷儲存,以及何時到期 (刪除) 副本。轉移至冷儲存的備份必須在冷儲存中存放至少 90 天之久。在副本轉換至冷儲存後,您就無法變更此值。

    若要查看可轉換至冷儲存的資源清單,請參閱《各資源的功能可用性》表格的「生命週期至冷儲存」部分。會忽略其他資源的冷儲存運算式。

    Expire (到期) 指定在副本刪除建立後的天數。此值必須超過 Transition to cold storage (轉換至冷儲存) 值的 90 天。

    注意

    當備份到期並在生命週期政策中標記為要刪除時, AWS Backup 在接下來的 8 小時內隨機選擇的點刪除備份。此時段有助於確保效能一致。

  10. 選擇 新增至復原點的標籤,將標籤新增至復原點。

  11. 在 EC2 [進階備份設定] 中,選擇 [Windows] VSS 以針對執行的所選協力廠商軟體啟用應用程式感知快照。

  12. 選擇 建立計畫

執行隨需跨帳戶備份

您可以 AWS 帳戶 根據需要將備份複製到其他備份。

視需要複製備份

  1. 請在以下位置開啟 AWS Backup 主控台。 https://console.aws.amazon.com/backup

  2. 針對 我的帳戶,選擇 備份保存庫 以查看您所有列出的備份保存庫。您可以依備份保存庫名稱或標籤進行篩選。

  3. 選擇您要複製之備份的 復原點 ID

  4. 請選擇 Copy (複製)。

  5. 展開 備份詳細資訊 以查看您要複製之復原點的相關資訊。

  6. 複製組態 區段中,從 目的地區域 清單中選擇一個選項。

  7. 選擇 複製到其他帳戶的保存庫。選取時,該選項會變成藍色。

  8. 輸入目標帳戶的 Amazon 資源名稱(ARN)。這ARN是包含帳號 ID 及其的字串 AWS 區域。 AWS Backup 會將備份複製到目標帳戶的保管庫。「目的地」區域清單會自動更新為外部儲存庫中的「區域」ARN。

  9. 針對 允許存取備份保存庫,選擇 允許。然後在開啟的精靈中選擇 允許

    若要建立副本, AWS Backup 需要存取來源帳戶的權限。此精靈會顯示提供此存取權限的範例政策。此政策如下所示。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. 針對 轉換至冷儲存,選擇何時將備份複本轉換至冷儲存,以及複本何時到期 (何時刪除複本)。轉移至冷儲存的備份必須在冷儲存中存放至少 90 天之久。在副本轉換至冷儲存後,您就無法變更此值。

    若要查看可轉換至冷儲存的資源清單,請參閱《各資源的功能可用性》表格的「生命週期至冷儲存」部分。會忽略其他資源的冷儲存運算式。

    Expire (到期) 指定在副本刪除建立後的天數。此值必須超過 Transition to cold storage (轉換至冷儲存) 值的 90 天。

  11. 對於 IAMrole,請指定IAM具有使備份可供複製之權限的角色 (例如預設角色)。複製動作是由目的地帳戶的服務連結角色執行。

  12. 請選擇 Copy (複製)。視您要複製的資源大小而定,此程序可能需要數小時才能完成。複製任務完成時,您會在 任務 選單的 複製任務 索引標籤中看到該複本。

加密金鑰和跨帳戶副本

跨帳戶複製加密金鑰取決於資源類型。具有全面 AWS Backup 管理使用來源備份儲存庫之加密金鑰的資源。客戶管理的KMS金鑰可用於這些資源類型的跨帳戶副本加密。

未完全受管理的資源類型 AWS Backup 具有相同的來源KMS金鑰和資源KMS金鑰。這些未完全受 AWS 管理的資源類型不支援使用受管理KMS金鑰的跨帳戶複製。 AWS Backup

如需跨帳戶複製失敗疑難排解的其他說明,請參閱AWS 知識中心

在跨帳戶複製期間,來源帳戶KMS金鑰策略必須允許金KMS鑰策略上的目標帳戶。

將備份從一個還原 AWS 帳戶 到另一個

AWS Backup 不支援將資源從一個復原 AWS 帳戶 到另一個。不過,您可以將一個帳戶的備份複製到另一個帳戶,然後在該帳戶中還原備份。例如,您無法將帳戶 A 的備份還原至帳戶 B,但可以將帳戶 A 的備份複製到帳戶 B,然後在帳戶 B 中還原備份。

將一個帳戶的備份還原至另一個需要兩個步驟。

將一個帳戶的備份還原至另一個

  1. 將備份從來源複製 AWS 帳戶 到您要還原的帳戶。如需說明,請參閱《設定跨帳戶備份》。

  2. 使用適用於您資源的說明來還原備份。

與其他 AWS 帳戶共用備份保存庫

AWS Backup 可讓您與一或多個帳戶或您的整個組織共用備份保管庫 AWS Organizations。您可以與來源 AWS 帳戶、使用者或IAM角色共用目的地備份儲存庫。

共用目的地備份保存庫

  1. 選擇 AWS Backup,然後選擇 備份保存庫

  2. 選擇您要共用之備份保存庫的名稱。

  3. 存取政策 窗格中,選擇 新增許可 下拉式清單。

  4. 選擇 允許備份保存庫的帳戶層級存取權限。您也可以選擇允許組織層級或角色層級存取權限。

  5. 輸入您要與此目的地保存庫共用之帳戶的 帳戶 ID

  6. 選擇 儲存政策

您可以使用IAM政策共用備份保管庫。

使用 AWS 帳戶 或IAM角色共用目的地備份儲存庫

下列策略共用具有帳號4444555566666和帳號SomeRole中IAM角色的備份保存庫111122223333

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
在其中共用組織單位的目的地備份保管庫 AWS Organizations

下列政策會使用組織單位的 PrincipalOrgPaths 與其共用備份保存庫。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
與中的組織共用目的地備份保管庫 AWS Organizations

下列政策會與 PrincipalOrgID 為 "o-a1b2c3d4e5" 的組織共用備份保存庫。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

將您的帳戶設定為目的地帳戶

當您第一次使用 AWS Organizations 管理帳戶啟用跨帳戶備份時,成員帳戶的任何使用者都可以將其帳戶設定為目標帳戶。我們建議在中設定下列一或多個服務控制策略 (SCPs), AWS Organizations 以限制您的目的地帳戶。若要深入了解如何將服務控制原則附加至 AWS Organizations 節點,請參閱附加和卸離服務控制政策

使用標籤限制目的地帳戶

當附加至 AWS Organizations 根、OU 或個人帳戶時,此原則會將目的地從根、OU 或帳戶限制複製到只有已標記DestinationBackupVault備份保存庫的帳戶。許可 "backup:CopyIntoBackupVault" 可控制備份保存庫的運作方式,以及在此情況下,哪些目的地備份保存庫有效。使用此政策,搭配套用至已核准目的地保存庫的對應標籤,即可控制跨帳戶複製的目的地,僅限於已核准的帳戶和備份保存庫。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
使用帳戶號碼和保存庫名稱限制目的地帳戶

當附加到 AWS Organizations 根帳戶、OU 或個別帳戶時,此策略會將源自該根、OU 或帳號的副本限制為只有兩個目標帳戶。許可 "backup:CopyFromBackupVault" 可控制備份保存庫中復原點的運作方式,以及在此情況下,該復原點可複製到的目的地。只有在一或多個目的地備份保存庫的名稱開頭為 cab- 時,來源保存庫才允許複製到第一個目的地帳戶 (112233445566)。只有在目的地是名為 fort-knox 的單一備份保存庫時,來源保存庫才允許複製到第二個目的地帳戶 (123456789012)。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
使用中的組織單位限制目的地帳戶 AWS Organizations

當附加至包含來源帳戶的 AWS Organizations 根或 OU 時,或連結至您的來源帳戶時,下列策略會將目標帳戶限制在指定的兩個帳戶內OUs。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

跨帳戶備份的安全考量

在 AWS Backup中執行跨帳戶備份時,請注意下列事項:

  • 目的地保存庫不能是預設保存庫。這是因為預設保存庫使用了無法與其他帳戶共用的金鑰加密。

  • 停用跨帳戶備份之後,跨帳戶備份最多仍可能執行 15 分鐘。這是由於最終一致性所致,即使在停用跨帳戶備份之後,也可能會導致某些跨帳戶任務正在啟動或完成。

  • 如果目的地帳戶稍後離開組織,該帳戶將保留備份。若要避免潛在的資料外洩,請在連接至目的地帳戶的服務控制策略 (SCP) 中對organizations:LeaveOrganization權限設置拒絕權限。如需有關的詳細資訊SCPs,請參閱《組織使用指南》中的〈從組織移除成員帳戶

  • 如果您在跨帳戶複製期間刪除複製工作角色,則複製工作完成時, AWS Backup 無法從來源帳戶取消共用快照。在此情況下,備份任務會完成,但複製任務狀態會顯示為 無法取消共用快照