Copias de seguridad de Amazon S3 - AWS Backup

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Copias de seguridad de Amazon S3

AWS Backup admite la copia de seguridad y la restauración centralizadas de aplicaciones que almacenan datos solo en S3 o junto con otros AWS servicios de bases de datos, almacenamiento y computación. Hay muchas características disponibles para las copias de seguridad de S3, incluido Backup Audit Manager.

Puede utilizar una única política de copias de seguridad AWS Backup para automatizar de forma centralizada la creación de copias de seguridad de los datos de sus aplicaciones. AWS Backup organiza automáticamente las copias de seguridad de diferentes AWS servicios y aplicaciones de terceros en una ubicación centralizada y cifrada (conocida como bóveda de copias de seguridad) para que pueda gestionar las copias de seguridad de toda la aplicación mediante una experiencia centralizada. En el caso de S3, puede crear copias de seguridad continuas y restaurar los datos de las aplicaciones almacenados en S3, así como restaurar las copias de seguridad a una point-in-time ubicación única con un solo clic.

Con él AWS Backup, puede crear los siguientes tipos de copias de seguridad de sus depósitos de S3, incluidos los datos de objetos, las etiquetas, las listas de control de acceso (ACLs) y los metadatos definidos por el usuario:

  • Las copias de seguridad continuas le permiten realizar una restauración a cualquier momento de los últimos 35 días. Las copias de seguridad continuas de un bucket de S3 solo deben configurarse en un plan de copia de seguridad.

    Consulte Recuperación en un momento dado para obtener una lista de los servicios compatibles e instrucciones sobre cómo utilizar AWS Backup para realizar copias de seguridad continuas.

  • Las copias de seguridad periódicas utilizan instantáneas de sus datos para que pueda retenerlos durante un periodo especificado de hasta 99 años. Puede programar copias de seguridad periódicas en frecuencias de 1 hora, 12 horas, 1 día, 1 semana o 1 mes. AWS Backup realiza copias de seguridad periódicas durante el intervalo de copia de seguridad que defina en su plan de copia de seguridad.

    Consulte Crear un plan de respaldo para entender cómo AWS Backup se aplica el plan de respaldo a sus recursos.

Hay copias entre cuentas y regiones disponibles para las copias de seguridad de S3, pero las copias de las copias de seguridad continuas no tienen capacidades de point-in-time restauración.

Las copias de seguridad continuas y periódicas de los buckets de S3 deben residir en el mismo almacén de copias de seguridad.

Para ambos tipos de copia de seguridad, la primera es una copia de seguridad completa, mientras que las copias de seguridad posteriores son incrementales a nivel de objeto.

nota

Debe habilitar el control de versiones de S3 en su bucket de S3 AWS Backup para usarlo en Amazon S3. Se ha mantenido este requisito previo porque en AWS se aconseja el control de versiones en S3 como práctica recomendada para la protección de datos.

Se recomienda establecer un periodo de vencimiento del ciclo de vida para sus versiones de S3. Si no se establece un período de caducidad del ciclo de vida, podría aumentar los costes de S3, ya que se AWS Backup realizan copias de seguridad y se almacenan todas las versiones no vencidas de los datos de S3. Para obtener más información sobre cómo configurar las políticas del ciclo de vida de S3, siga las instrucciones de esta página.

Comparación de tipos de copia de seguridad de S3

Su estrategia de copia de seguridad de los recursos de S3 puede incluir solo copias de seguridad continuas, solo copias de seguridad periódicas (instantáneas) o una combinación de ambas. La siguiente información puede ayudarle a elegir lo que mejor se adapte a su organización:

Solo copias de seguridad continuas:

  • Una vez finalizada la primera copia de seguridad completa de los datos existentes, se realiza un seguimiento de los cambios en los datos del bucket de S3 a medida que se producen.

  • Los cambios registrados le permiten utilizarlos PITR (point-in-time restaurarlos) durante el período de retención de la copia de seguridad continua. Para realizar un trabajo de restauración, elija el momento al que desee realizar la restauración.

  • El periodo de retención de cada copia de seguridad continua es de un máximo de 35 días.

Solo copias de seguridad periódicas (instantáneas), programadas o bajo demanda:

  • AWS Backup escanea todo el depósito de S3, recupera los objetos ACL y las etiquetas de cada objeto e inicia una solicitud Head para cada objeto que estaba en la instantánea anterior pero que no se encontró en la instantánea que se está creando.

  • La copia de seguridad es coherente point-in-time.

  • La fecha y la hora de la copia de seguridad registradas son la hora en la que se AWS Backup completa el recorrido del depósito, no la hora en que se creó la tarea de copia de seguridad.

  • La primera copia de seguridad de un bucket es una copia de seguridad completa. Cada copia de seguridad posterior es incremental y representa el cambio en los datos desde la última instantánea.

  • La instantánea realizada por la copia de seguridad periódica puede tener un periodo de retención de hasta 99 años.

Copias de seguridad continuas combinadas con copias de seguridad periódicas o instantáneas:

  • Una vez finalizada la primera copia de seguridad completa de los datos existentes (cada bucket), se realiza un seguimiento de los cambios en el bucket a medida que se producen.

  • Puede realizar una point-in-time restauración desde un punto de recuperación continuo.

  • Las instantáneas son point-in-time coherentes.

  • Las instantáneas se toman directamente del punto de recuperación continuo, lo que elimina la necesidad de volver a escanear un bucket para facilitar procesos más rápidos.

  • Las instantáneas y los puntos de recuperación continuos comparten un linaje de datos; el almacenamiento de datos entre puntos de recuperación continuos e instantáneas no se duplica.

Clases de almacenamiento de S3 compatibles

AWS Backup le permite hacer copias de seguridad de los datos de S3 almacenados en las siguientes clases de almacenamiento de S3:

  • S3 Standard

  • Estándar S3: acceso poco frecuente (IA)

  • S3 One Zone-IA

  • S3 Glacier Instant Retrieval

  • Clasificación inteligente por niveles S3 (S3) INT

Las copias de seguridad de un objeto de la clase de almacenamiento S3 Intelligent-Tiering () acceden a esos objetos. INT Este acceso hace que S3 Intelligent-Tiering mueva automáticamente esos objetos a Frequent Access.

Las copias de seguridad que acceden a los niveles de acceso poco frecuente, incluidas las clases S3 Standard: Infrequently Access (IA) y S3 One Zone-IA, se transfieren al cargo de almacenamiento de S3 de acceso frecuente (se aplica a los niveles de acceso poco frecuente o Archive Instant Access).

Con la excepción de Glacier Instant Retrieval, no se admiten las clases de almacenamiento archivado.

Para obtener más información sobre los precios de almacenamiento de Amazon S3, consulte los precios de Amazon S3.

Consideraciones AWS Backup para Amazon S3

Tenga en cuenta lo siguiente cuando haga copias de seguridad de recursos de S3:

  • Compatibilidad con metadatos de objetos específicos: AWS Backup admite los siguientes metadatos: etiquetas, listas de control de acceso (ACLs), metadatos definidos por el usuario, fecha de creación original e ID de versión. También puede restaurar todos los datos y metadatos de la copia de seguridad, excepto la fecha de creación original, el ID de la versión, la clase de almacenamiento y las etiquetas electrónicas.

  • Al restaurar un objeto de S3, aplicamos un valor de suma de comprobación, incluso si el objeto original no utilizaba la función de suma de comprobación.

  • El nombre de clave de un objeto de S3 puede estar compuesto por un máximo de UTF 8 cadenas codificables. Se admiten los siguientes caracteres Unicode: #x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF.

    Es posible que los nombres de clave de objeto que incluyan caracteres que no estén en esta lista se excluyan de las copias de seguridad.

  • Transición al almacenamiento en frío: utilice una política de administración AWS Backup del ciclo de vida para definir el plazo de caducidad de las copias de seguridad. No se admite la transición al almacenamiento en frío de las copias de seguridad de S3.

  • No se admiten las copias de seguridad de buckets de S3 con varias versiones del mismo objeto que se crearon en el mismo segundo.

  • En el caso de las copias de seguridad periódicas, AWS Backup hace todo lo posible por realizar un seguimiento de todos los cambios en los metadatos del objeto. Sin embargo, si actualizas una etiqueta o ACL varias veces en un minuto, es AWS Backup posible que no capture todos los estados intermedios.

  • AWS Backup no admite copias de seguridad de SSE-C-encryptedobjetos. AWS Backup tampoco admite copias de seguridad de las configuraciones de los buckets, incluida la política, los ajustes, el nombre o el punto de acceso del bucket.

  • AWS Backup no admite copias de seguridad de S3 en adelante AWS Outposts.

  • CloudTrail registro: si registra eventos de lectura de datos, debe tener CloudTrail registros en un depósito de destino diferente. Si guardas CloudTrail los registros en el depósito que ellos registran, se produce un bucle infinito que puede provocar cargos inesperados.

    Para obtener más información, consulte los eventos de datos en la Guía del CloudTrail usuario.

  • Registro de acceso al servidor: si habilita el registro de acceso al servidor, debe enviar los registros a un depósito de destino diferente. Si guardas estos registros en el depósito en el que se registran, se crea un bucle infinito. Para obtener más información, consulte Habilitar el registro de acceso al servidor Amazon S3.

Intervalos de conclusión de la copia de seguridad de S3

La siguiente tabla muestra ejemplos de buckets de varios tamaños para ayudarle a estimar el tiempo de conclusión de la copia de seguridad completa inicial de un bucket de S3. Los tiempos de copias de seguridad variarán según el tamaño, el contenido, la configuración y los ajustes de cada bucket.

Tamaño del bucket Número de objetos Tiempo estimado para completar la copia de seguridad inicial
425 GB (gigabytes) 135 millones 31 horas
800 TB (terabytes) 670 millones 38 horas
6 PB (petabytes) 5000 millones 100 horas
370 TB (terabytes) 7500 millones 180 horas

Permisos y políticas para la copia de seguridad y restauración de Amazon S3

Para realizar copias de seguridad, copiar y restaurar los recursos de S3, debe tener las políticas correctas en su rol. Para agregar estas políticas, vaya a Políticas administradas de AWS. Añada la AWSBackupServiceRolePolicyForS3Backupy AWSBackupServiceRolePolicyForS3Restorea las funciones que desee utilizar para realizar copias de seguridad y restaurar los buckets de S3.

Si no tiene suficientes permisos, solicite al administrados de la cuenta administrativa (admin) de su organización que agregue las políticas a los roles previstos.

Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del IAMusuario.

AWS Backup para S3 se basa en la recepción de eventos de S3 a través de Amazon EventBridge. Si este ajuste está deshabilitado en la configuración de notificaciones del bucket de S3, se detendrán las copias de seguridad continuas de esos buckets con el ajuste desactivado. Para obtener más información, consulte Uso EventBridge.

Prácticas recomendadas y consideraciones de costo para las copias de seguridad de S3

Prácticas recomendadas

Para buckets con más de 300 millones de objetos:

  • En el caso de los buckets con más de 300 millones de objetos, la velocidad de copia de seguridad puede alcanzar hasta 17 000 objetos por segundo durante la copia de seguridad completa inicial del bucket (las copias de seguridad incrementales tendrán una velocidad diferente); las copias de seguridad de los buckets que contengan menos de 300 millones de objetos tendrán una velocidad cercana a los 1000 objetos por segundo.

  • Se recomienda realizar copias de seguridad continuas.

  • Si está previsto que el ciclo de vida de las copias de seguridad sea de más de 35 días, también puede habilitar copias de seguridad instantáneas para el bucket en el mismo almacén en el que se almacenan las copias de seguridad continuas.

Consideraciones de costos

  • Las políticas de ciclo de vida de S3 incluyen una característica opcional denominada Eliminar marcadores de eliminación de objetos vencidos. Cuando esta característica está desactivada, los marcadores de eliminación, que a veces son millones, vencen sin un plan de depuración. Cuando se hace una copia de seguridad de los buckets sin esta característica, hay dos problemas que afectan al tiempo y al costo:

    • Se hacen copias de seguridad de los marcadores de eliminación, al igual que de los objetos. El tiempo de copia de seguridad y el tiempo de restauración pueden verse afectados en función de la proporción entre objetos y marcadores de eliminación.

    • Cada objeto y marcador del que se haga una copia de seguridad tiene un costo mínimo. Cada marcador de eliminación se cobra igual que un objeto de 128 KB.

  • En el caso de las cuentas que realizan copias de seguridad al menos a diario o con mayor frecuencia, puede ser beneficioso desde el punto de vista económico el uso de copias de seguridad continuas si los datos de las copias de seguridad sufren cambios mínimos entre las copias de seguridad.

  • Los buckets más grandes que no cambian con frecuencia pueden beneficiarse de las copias de seguridad continuas, ya que esto puede reducir los costos cuando los escaneos de todo el bucket junto con numerosas solicitudes por objeto no necesitan realizarse en objetos preexistentes (objetos que permanecen inalterados desde la copia de seguridad anterior).

  • Los buckets que contengan más de 100 millones de objetos y que tengan una tasa de eliminación pequeña en comparación con el tamaño total de la copia de seguridad pueden beneficiarse desde el punto de vista económico de un plan de copia de seguridad que incluya tanto una copia de seguridad continua con un periodo de retención de 2 días como instantáneas con una retención más prolongada.

  • El tiempo de copia de seguridad periódica (instantánea) se alinea con el inicio del proceso de copia de seguridad cuando no es necesario escanear los buckets. No es necesario realizar escaneos en un bucket que contenga copias de seguridad continuas e instantáneas, ya que en estos casos las instantáneas se toman desde un punto de recuperación continua.

  • Para cada objeto de un único S3- GIR (Amazon S3 Glacier Instant Retrieval), AWS Backup realiza varias llamadas, lo que generará gastos de recuperación cuando se realice una copia de seguridad.

    Se aplican costos de recuperación similares a los depósitos con objetos de las clases de almacenamiento S3-IA y S3 One Zone-IA.

  • AWS KMS CloudTrail, y CloudWatch las funciones de Amazon que forman parte de su estrategia de respaldo pueden generar costos adicionales más allá del almacenamiento de datos en cubos de S3. Para obtener más información sobre cómo ajustar estas características, consulte lo siguiente:

    • Reducir el coste deSSE: KMS con las claves Bucket de Amazon S3 incluidas en la Guía del usuario de Amazon S3.

    • Puede reducir CloudTrail los costos excluyendo los AWS KMS eventos y deshabilitando los eventos de datos de S3:

      • Excluir AWS KMS eventos: en la Guía del CloudTrail usuario, al crear una ruta en la consola (selectores de eventos básicos), se ofrece la opción de excluir AWS KMS eventos para filtrarlos de la ruta (la configuración predeterminada incluye todos los KMS eventos):

      • La opción de registrar o excluir KMS eventos solo está disponible si registras los eventos de gestión en tu ruta. Si elige no registrar los eventos de administración, los KMS eventos no se registran y no puede cambiar la configuración KMS del registro de eventos.

      • AWS KMS acciones como EncryptDecrypt, y GenerateDataKey suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. KMSLas acciones relevantes de bajo volumen, como DisableDelete, y ScheduleKey (que normalmente representan menos del 0,5% del volumen de KMS eventos) se registran como eventos de escritura.

      • Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguir registrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventos de administración de Escritura y desmarque la casilla de verificación Excluir eventos de AWS KMS .

      • Deshabilitar eventos de datos de S3: de forma predeterminada, los registros y los almacenes de datos de eventos no registran eventos de datos. Deshabilite los eventos de datos de S3 antes de la copia de seguridad inicial para reducir los costos.

    • Para reducir CloudWatch los costes, puedes dejar de enviar CloudTrail eventos a los CloudWatch registros al actualizar una ruta para deshabilitar la configuración de CloudWatch los registros.

Restauración de copias de seguridad de S3

Puede restaurar los datos de S3 de los que hizo una copia de seguridad AWS Backup en la clase de almacenamiento estándar de S3. Puede restaurar los datos de S3 en un bucket existente, incluido el bucket original. Durante la restauración, también puede crear un nuevo bucket de S3 como destino de la restauración. Puede restaurar las copias de seguridad de S3 solo en el mismo Región de AWS lugar donde se encuentra la copia de seguridad.

Puede restaurar todo el bucket de S3, o las carpetas u objetos incluidos en elbucket. AWS Backup restaura la versión actual de ese objeto.

Para restaurar sus datos de S3 mediante AWS Backup, consulteRestaure los datos de S3 mediante AWS Backup.