本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
邏輯氣隙隔離保存庫 (預覽)
注意
從 2023 年 8 月 9 日開始,將 AWS Backup 提供使用邏輯氣隙保管庫的預覽。若要註冊此預覽版,請透過電子郵件傳送要求至 <aws-backup-vault-preview@amazon .com>
。
我們可能會在預覽期間和之後變更或調整功能。當服務全面推出 (GA) 後,將無法再使用預覽期間提供的資料和組態。 AWS 建議您在預覽版中使用測試資料,不要使用生產資料。
概觀
AWS Backup 正在預覽可將備份複本儲存在其他儲存庫中的次要類型的 Vault。邏輯氣隙隔離保存庫是一種特製的保存庫,不但在備份文件庫功能外提供了加強安全功能,還能夠共用其他帳戶和組織的保存庫存取權,以便在發生需要快速還原資源的事件時,能有更快、更靈活的復原時間 (RTO)。
邏輯上的空氣密封保存庫配備了額外的保護功能:這些文件庫中的每個文件庫都使用 AWS 自有的密鑰進行加密,並且每個文件庫都在合規模式下設置了文件庫鎖定。
您可以選擇跨組織和帳戶共用邏輯氣隙隔離保存庫,以便在需要時,可以從共用保存庫的帳戶還原儲存在其中的備份。
預覽期間,在邏輯氣隙隔離保存庫中儲存資料不另收取額外費用。即使在邏輯氣隙隔離保存庫中的所有備份副本都不收費,但標準備份文件庫和跨區域副本中的備份仍將按公告費率收費 (請參閱定價
使用案例
邏輯氣隙隔離保存庫是資料保護策略中的次要保存庫。當您希望擁有具有下列特性的備份文件庫時,此保存庫有助於加強組織的保留和復原能力:
在合規模式下使用保存庫鎖定自動設定
-
包含可與非備份建立帳戶外之其他帳戶共用並從中還原的備份
使用 AWS 擁有的密鑰進行加密
邏輯氣隙隔離保存庫支援的資源包括
Amazon EC2
Amazon EBS
Amazon S3
Amazon EFS
Amazon RDS
邏輯氣隙隔離保存庫預覽僅在美國東部 (維吉尼亞北部) 區域提供。因為此功能目前僅適用於一個區域,所以預覽期間不支援跨區域副本。
與標準備份文件庫之比較和對比
備份儲存庫是中使用的主要和標準儲存庫類型 AWS Backup。備份建立後,每個備份都會儲存在備份文件庫中。您可以指派資源型政策管理儲存在保存庫中的備份,例如儲存在保存庫中的備份生命週期。
邏輯氣隙隔離保存庫是特製的保存庫,具有額外的安全性並可彈性共用,能加快復原時間 (RTO)。此保存庫會儲存最初建立並儲存在標準備份文件庫中的備份副本。
備份文件庫可以使用金鑰加密,這是限制特定使用者存取權的安全機制。這些金鑰可由客戶管理或 AWS 管理。此外,備份文件庫還可以利用保存庫鎖定加強保護;邏輯氣隙隔離保存庫在合規模式下即配備保存庫鎖定。
如果在建立初始資源時未手動變更金 AWS KMS 鑰或設定為客戶管理金鑰 (CMK),則無法將備份複製到邏輯上無法將備份複製到邏輯上的空氣密封保存庫。
功能 | 備份文件庫 | 邏輯氣隙隔離保存庫 (預覽) |
---|---|---|
備份建立時會儲存為復原點 |
備份建立時不會儲存在此保存庫 |
|
可以儲存資源的初始備份和備份副本 |
可以儲存來自其他保存庫的備份副本 |
|
可選擇使用金鑰加密 (客戶管理或 AWS 管理) 可選擇是否使用保存庫鎖定功能來進行鎖定 |
使用 AWS 擁有的金鑰加密 在合規模式下一律使用保存庫鎖定功能進行鎖定 |
|
共用性 |
存取可以透過政策和 AWS Organizations 管理 不相容 AWS Resource Access Manager |
可以選擇是否使用 AWS RAM 跨帳戶共用 |
擁有保存庫的同一帳戶可以還原備份 |
如果保存庫與其他帳戶共用,則可由非備份擁有帳戶的其他帳戶還原備份 |
|
適用於所有 AWS Backup 營運地區 |
預覽期間於美國東部 (維吉尼亞北部) 區域提供 |
|
可以存儲包含所有 AWS Backup 支持資源的備份 |
可以儲存包含 Amazon EC2、Amazon EBS、Amazon EFS、Amazon S3 或 Amazon RDS 資料的備份 |
從主控台建立邏輯氣隙隔離保存庫
重要
保管庫建立之後,保管庫的名稱和類型,以及最長和最短保留期限即無法變更,而且保存庫鎖定也無法移除。
當服務變成「一般可用」時,預覽期間提供的資料和組態將不再可用。 AWS 建議在預覽中使用測試資料,而不是生產資料。
開啟主 AWS Backup 控台,網址為 https://console.aws.amazon.com/backup
。 在導覽窗格中,選取 保存庫。
隨即顯示這兩種類型的保存庫。選取 建立新保存庫。
-
輸入備份文件庫的名稱。您可以為文件庫命名以反映所要儲存的內容,或是讓它更容易搜尋您所需要的備份。例如,您可以將它命名為
FinancialBackups
。 選取 邏輯氣隙隔離保存庫 選項按鈕。
-
設定 最短保留期限。
此值 (天數、月數或年數) 是備份可保留在此保存庫中的最短時間。保留期限短於此值的備份無法複製到此保存庫。
-
設定 最長保留期限。
此值 (天數、月數或年數) 是備份可保留在此保存庫中的最長時間。保留期限長於此值的備份無法複製到此保存庫。
(選用) 新增有助於搜尋及識別邏輯氣隙隔離保存庫的標籤。例如,您可以新增
BackupType:Financial
標籤。選取 建立保存庫。
檢閱設定。如果所有的設定都如預期顯示,請選取 建立邏輯氣隙隔離保存庫。
主控台會帶您前往新保存庫的詳細資訊頁面。確認保存庫詳細資料是否一如預期。
在主控台中檢視邏輯氣隙隔離保存庫的詳細資訊
開啟主 AWS Backup 控台,網址為 https://console.aws.amazon.com/backup
。 在左側導覽窗格中選取 保存庫。
-
在保存庫描述下方會有兩份清單:此帳戶擁有的保存庫和與此帳戶共用的保存庫。選取檢視保存庫所需的索引標籤。
-
在 保存庫名稱 下,按一下保存庫的名稱即可開啟詳細資訊頁面。您可以查看摘要、復原點、受保護的資源、帳號共用、存取政策和標籤詳細資訊。
在主控台中將標準備份文件庫複製到邏輯氣隙隔離保存庫
邏輯氣隙隔離保存庫只能是備份計畫的複製任務目的地目標,或隨選複製任務的目標。
您必須擁有以下項目,才能啟動複製任務
備份文件庫
邏輯氣隙隔離保存庫
包含 Amazon EC2、Amazon EBS、Amazon RDS、Amazon S3 或 Amazon EFS 資料的備份
-
建立副本所使用之角色的
kms:CreateGrant
許可。 將備份作為複製工作的一部分使用 AWS 託管密鑰加密到邏輯空氣密封保管庫
確認上述事項後,
開啟主 AWS Backup 控台,網址為 https://console.aws.amazon.com/backup
。 在左側導覽窗格中選取 保存庫。
-
在保存庫詳細資訊頁面中,會顯示該保存庫的所有復原點。勾選您想要複製的復原點。
選取 動作,然後從下拉式功能表中選取 複製。
在下個畫面中,輸入目的地詳細資訊。
區域必須設定為美國東部 (維吉尼亞北部)
-
目的地備份文件庫下拉式功能表會顯示符合資格的目的地保存庫。選取類型為
logically air-gapped vault
的保存庫
待所有詳細資訊依偏好設定好後,選取 複製。
在主控台的 任務 頁面上,您可以選取 複製 任務,查看目前的複製任務。
從主控台共用邏輯氣隙隔離保存庫
注意
只有具有特定 IAM 權限的帳戶才能共用及管理帳戶共用。
您可以使用與您指 AWS RAM 定的其他帳戶共用邏輯上的空隙保險箱。要使用共享 AWS RAM,請確保您具有以下內容:
可存取的兩個或多個帳戶 AWS Backup
-
打算共用保存庫的帳戶具有必要的 RAM 許可。權限
ram:CreateResourceShare
為此程序必要許可。政策AWSResourceAccessManagerFullAccess
包含所有必要的 RAM 相關許可。 至少一個邏輯氣隙隔離保存庫
共用邏輯氣隙隔離保存庫,請
開啟主 AWS Backup 控台,網址為 https://console.aws.amazon.com/backup
。 在左側導覽窗格中選取 保存庫。
-
在保存庫描述下方會有兩份清單:此帳戶擁有的保存庫和與此帳戶共用的保存庫。選取檢視保存庫所需的清單。
在 保存庫名稱 下,選取邏輯氣隙隔離保存庫的名稱即可開啟詳細資訊頁面。
帳戶共用 窗格會顯示共用此保存庫的帳戶。
若要開始與其他帳戶共用保存庫,或編輯已共用的帳戶,請選取 管理共用。
AWS RAM 主控台會在選取「管理共用」時開啟。如需使用 RAM 共用資源的步驟,請參閱在 AWS RAM 中建立資源共 AWS用。
確認擁有適當的許可。Backup 管理員 IAM 政策 [AWSBackupFullAccessram:CreateResourceShare
。
獲邀接受共用邀請的帳戶需要 12 小時才能接受邀請。請參閱《AWS RAM 使用者指南》中的<接受與拒絕資源共用邀請>。
如已完成並接受共用步驟,則保存庫摘要頁面會顯示在 Account sharing = “已共用 - 請參閱下方的帳戶共用表” 下。
使用主控台還原邏輯氣隙隔離保存庫中的備份
您可以從擁有保存庫的帳戶或從共用保存庫的任一帳戶,還原儲存在邏輯氣隙隔離保存庫中的備份。
如需如何還原復原點的相關資訊,請參閱還原備份。
使用主控台刪除邏輯氣隙隔離保存庫
重要
當服務變成「一般可用」時,預覽期間提供的資料和組態將不再可用。 AWS 建議在預覽中使用測試資料,而不是生產資料。
請參閱刪除備份文件庫以刪除保存庫。如果保存庫仍包含備份 (復原點) 即無法刪除。在啟動刪除作業之前,請確認保存庫中沒有任何備份。
透過 CLI I/API 執行邏輯氣隙隔離保存庫作業
您可以使用 AWS CLI 以程式設計方式執行邏輯空氣密封儲存庫的作業。每個 CLI 都是其起源所在的 AWS 服務所特有的。與共用相關的命令會在開頭加上 aws ram
,而所有其他命令則應在前面加上 aws backup
。
建立
您可以修改以下的範例 CLI 命令 CreateLogicallyAirGappedBackupVault
,以建立邏輯氣隙隔離備份文件庫:
aws backup create-logically-air-gapped-backup-vault \ --region us-east-1 \ --backup-vault-name
sampleName
\ --min-retention-days7
\ --max-retention-days35
\ --creator-request-id123456789012-34567-8901
// optional
View details (檢視詳細資訊)
您可以修改以下的範例 CLI 命令 DescribeBackupVault
,以取得有關保存庫的詳細資訊:
aws backup describe-backup-vault \ --region us-east-1 \ --backup-vault-name
testvaultname
Share (分享)
注意
只有 IAM 許可足夠的帳戶才能共用及管理帳戶共用。
您可以透過協助使用者共用資源的服務 AWS Resource Access Manager (RAM),共用邏輯氣隙隔離保存庫。
AWS RAM 使用 CLI 指令create-resource-share
。只有許可足夠的管理員帳戶才能存取此命令。如需 CLI 執行步驟,請參閱在 AWS RAM中建立資源共用。
步驟 1 到 4 要以擁有邏輯氣隙隔離保存庫的帳戶執行。步驟 5 到 8 要以共用邏輯氣隙隔離保存庫的帳戶執行。
-
登入擁有保存庫的帳戶,或者要求組織中有足夠認證可存取來源帳戶的使用者完成這些步驟。
-
如過去已建立資源共用,現在希望在其中新增其他資源,請改用 CLI
associate-resource-share
搭配新保存庫的 ARN。
-
-
擷取具有足夠許可的角色認證,以透過 RAM 共用保存庫。將這些內容輸入 CLI。
-
權限
ram:CreateResourceShare
為此程序必要許可。此原則AWSResourceAccessManagerFullAccess包含所有 RAM 相關權限。
-
-
包括邏輯氣隙隔離保存庫的 ARN。
-
範例輸入:
aws ram create-resource-share \ --name
MyLogicallyAirGappedVault
\ --resource-arns arn:aws:backup:us-east-1:123456789012
:backup-vault:test-vault-1
\ --principals123456789012
\ --region us-east-1輸出範例:
{ "resourceShare":{ "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name":"MyLogicallyAirGappedVault", "owningAccountId":"123456789012", "allowExternalPrincipals":true, "status":"ACTIVE", "creationTime":"2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00" } }
-
複製輸出內的資源共用 ARN (後續步驟的必要內容)。將 ARN 交給邀請接受共用的帳戶操作員。
-
取得資源共用 ARN
-
如果您未執行步驟 1 到 4,請向 resourceShareArn 任何人取得。
-
範例:
arn:aws:ram:us-east-1:
123456789012
:resource-share/12345678-abcd-09876543
-
在 CLI 中,擔任收件者帳戶的認證。
-
使用
get-resource-share-invitations
取得資源共用邀請。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的<接受與拒絕邀請>。 -
接受目的地 (復原) 帳戶中的邀請。
清單
您可以修改 CLI 命令 ListBackupVaults
,列出該帳戶擁有並顯示的所有保存庫:
aws backup list-backup-vaults \ --region us-east-1
若僅要列出邏輯氣隙隔離保存庫,請加入參數
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
若要列出與該帳戶共用的保存庫,請使用
aws backup list-backup-vaults \ --region us-east-1 \ --by-shared
Copy (複製)
邏輯氣隙隔離保存庫只能是備份複製任務的目標,不能是啟動備份任務的目標。使用 StartCopyJob
將備份文件庫的現有備份複製到邏輯氣隙隔離保存庫。
正在建立邏輯氣隙隔離保存庫複製任務所用的角色,必須有許可 kms:CreateGrant
。
CLI 輸入範例:
aws backup start-copy-job \ --region us-east-1 \ --recovery-point-arn arn:aws:
resourcetype
:region
::snapshot/snap-12345678901234567
\ --source-backup-vault-namesourcevaultname
\ --destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012
:backup-vault:destinationvaultname
\ --iam-role-arn arn:aws:iam::123456789012
:role/service-role/servicerole
還原
一旦您的帳戶共用了邏輯氣隙隔離保存庫的備份,您就可以使用 StartRestoreJob
還原該備份。CLI 輸入範例:
aws backup start-restore-job \ --recovery-point-arn arn:aws:backup:us-east-1:
accountnumber
:recovery-point:RecoveryPointID
\ --metadata {\"availabilityzone\":\"us-east-1d\"} \ --idempotency-tokenTokenNumber
\ --resource-typeResourceType
\ --iam-role arn:aws:iam::number
:role/service-role/servicerole
\ --region us-east-1
Delete
以下範例 CLI 命令 DeleteBackupVault
可用於刪除保存庫。保存庫只有在保存庫中沒有備份 (復原點) 時才能予以刪除。
aws backup delete-backup-vault --region us-east-1 --backup-vault-name
testvaultname
其他可用的程式化選項包括: