Backup Amazon S3 - AWS Backup
PanoramicaPrerequisitiTipi e quantità di bucket supportatiClassi di storage S3 supportateTipi di backupConfronto dei tipi di backup S3Finestre di completamento del backup S3 Procedure consigliate e considerazioni sui costi per i backup S3 Messaggi di backup S3Impostazioni di backup avanzate di Amazon S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Backup Amazon S3

Panoramica

AWS Backup supporta il backup e il ripristino centralizzati delle applicazioni che archiviano i dati solo in S3 o insieme ad altri AWS servizi per database, archiviazione ed elaborazione. Sono disponibili molte funzionalità per i backup S3, incluso Backup Audit Manager.

È possibile utilizzare un'unica policy di backup per AWS Backup automatizzare centralmente la creazione di backup dei dati delle applicazioni. AWS Backup organizza automaticamente i backup su diversi AWS servizi e applicazioni di terze parti in un'unica posizione centralizzata e crittografata (nota come backup vault) in modo da poter gestire i backup dell'intera applicazione attraverso un'esperienza centralizzata. Per S3, puoi creare backup continui e ripristinare i dati delle applicazioni archiviati in S3 e ripristinare i backup su un file con un solo clic. point-in-time

Prerequisiti per i backup S3

Autorizzazioni e policy per il backup e il ripristino di Amazon S3

Per eseguire il backup, la copia e il ripristino delle risorse S3, è necessario disporre delle policy corrette nel proprio ruolo. Per aggiungere queste policy, passa a Policy gestite da AWS. Aggiungi AWSBackupServiceRolePolicyForS3Backup e AWSBackup ServiceRolePolicyFor S3Restore ai ruoli che intendi utilizzare per il backup e il ripristino dei bucket S3.

Se non disponi di autorizzazioni sufficienti, richiedi al responsabile dell'account amministrativo (amministratore) dell'organizzazione di aggiungere le policy ai ruoli previsti.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM.

Backup e controllo delle versioni

È necessario abilitare il controllo delle versioni S3 sul bucket S3 da utilizzare per Amazon AWS Backup S3.

Ti consigliamo di impostare un periodo di scadenza del ciclo di vita per le versioni S3.

Tutti gli oggetti (incluse tutte le versioni) presenti nel bucket all'inizio del backup verranno archiviati nel punto di ripristino (backup completato). Questi possono includere la versione corrente di ogni oggetto, le versioni precedenti, i marker di eliminazione e le azioni del ciclo di vita degli oggetti in sospeso.

Il costo di archiviazione verrà calcolato per tutti gli oggetti del backup, inclusi gli oggetti programmati per l'eliminazione (oggetti con scadenza). È possibile utilizzare la CLI o gli script per rimuovere l'inclusione di oggetti pianificati per la scadenza.

Per ulteriori informazioni sulla configurazione delle policy del ciclo di vita di S3, segui le istruzioni in questa pagina.

Considerazioni sui backup di Amazon S3

Quando si esegue il backup di risorse S3, occorre tenere presenti le considerazioni seguenti:

  • Supporto mirato ai metadati degli oggetti: AWS Backup supporta i seguenti metadati: tag, liste di controllo degli accessi (ACLs), metadati definiti dall'utente, data di creazione originale e ID della versione. Puoi anche ripristinare tutti i dati e i metadati di backup a eccezione della data di creazione originale, l'ID versione, la classe di storage e gli e-tag.

  • Quando ripristini un oggetto S3, AWS Backup applica un valore di checksum, anche se l'oggetto originale non utilizzava la funzione di checksum.

  • Un nome della chiave dell'oggetto S3 può essere costituito dalla maggior parte delle stringhe codificabili UTF-8. I seguenti caratteri Unicode sono consentiti. #x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF.

    I nomi delle chiavi degli oggetti che includono caratteri non presenti in questo elenco potrebbero essere esclusi dai backup.

  • Transizione alla conservazione a freddo: utilizza la politica di gestione AWS Backup del ciclo di vita per definire la tempistica di scadenza del backup. La transizione al cold storage dei backup S3 non è supportata.

  • Per i backup periodici, AWS Backup fa del suo meglio per tenere traccia di tutte le modifiche ai metadati degli oggetti. Tuttavia, se un tag o un'ACL viene aggiornato più volte nell'arco di 1 minuto, AWS Backup potrebbe non essere in grado di acquisire tutti gli stati intermedi.

  • AWS Backup non offre supporto per i backup di oggetti. SSE-C-encrypted AWS Backup inoltre non supporta i backup delle configurazioni dei bucket, incluse le policy, le impostazioni, i nomi o i punti di accesso dei bucket.

  • AWS Backup non supporta i backup di S3 su. AWS Outposts

  • CloudTrail registrazione: se registri gli eventi di lettura dei dati, devi far recapitare CloudTrail i log a un bucket di destinazione diverso. Se si salvano CloudTrail i log nel bucket in cui vengono registrati, si verifica un ciclo infinito che può causare addebiti imprevisti.

    Per ulteriori informazioni, consulta Eventi di dati nella Guida per l'utente CloudTrail .

  • Registrazione degli accessi al server: se si abilita la registrazione degli accessi al server, è necessario che i log vengano recapitati a un bucket di destinazione diverso. Se si salvano questi log nel bucket in cui vengono registrati, si verifica un ciclo infinito. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.

Tipi e quantità di bucket supportati

AWS Backup supporta il backup e il ripristino di bucket S3 per uso generico. I bucket di directory non sono supportati in questo momento.

Il limite massimo di una quantità di risorsa (noto come quota), ad esempio un bucket, consentita in un AWS account dipende dal servizio. Le quote di Amazon S3 sono diverse dalle quote.AWS Backup

In ogni AWS account, puoi creare backup per un massimo di 100 bucket per impostazione predefinita. Puoi richiedere un aumento della quota fino a 1.000 bucket.

Gli account con più di 1.000 bucket sono soggetti a limiti di quota; quando le richieste superano la quota, i lavori possono fallire. È consigliabile limitare un account a 1.000 bucket.

Classi di storage S3 supportate

AWS Backup consente di eseguire il backup dei dati S3 archiviati nelle seguenti classi di archiviazione S3:

  • S3 Standard

  • Standard S3 - Accesso infrequente (IA)

  • S3 One Zone-IA

  • S3 Glacier Instant Retrieval

  • Piano intelligente S3 (S3 INT)

I backup di un oggetto nella classe di storage S3 Intelligent-Tiering (INT) accedono a tali oggetti. Questo accesso attiva S3 Intelligent-Tiering per spostare automaticamente tali oggetti su Frequent Access.

I backup che accedono ai livelli Infrequent Access, incluse le classi S3 Standard - Infrequent Access (IA) e S3 One Zone-IA, rientrano nella tariffa di storage S3 di Frequent Access (si applica ai livelli Infrequent Access o Archive Instant Access).

Le classi di storage archiviate S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive non sono supportate.

Per ulteriori informazioni sui prezzi di storage per Amazon S3, consulta la pagina dei prezzi di Amazon S3.

Tipi di backup S3

Con AWS Backup, puoi creare i seguenti tipi di backup dei tuoi bucket S3, inclusi dati di oggetti, tag, elenchi di controllo degli accessi (ACLs) e metadati definiti dall'utente:

  • I backup continui consentono di eseguire il ripristino a un momento qualsiasi negli ultimi 35 giorni. I backup continui per un bucket S3 devono essere configurati solo in un piano di backup.

    Consulta Ripristino point-in-time per un elenco di servizi supportati e istruzioni su come utilizzare AWS Backup per effettuare backup continui.

  • I backup periodici utilizzano snapshot dei dati per consentire di mantenere i dati per la durata specificata massima di 99 anni. Puoi pianificare backup periodici con frequenze di 1 ora, 12 ore, 1 giorno, 1 settimana o 1 mese. AWS Backup esegue backup periodici durante la finestra di backup definita nel piano di backup.

    Vedi Creazione di un piano di backup per capire come AWS Backup applicare il piano di backup alle tue risorse.

Per i backup S3 sono disponibili copie su più account e più regioni, ma le copie dei backup continui non dispongono di funzionalità di ripristino. point-in-time

I backup continui e periodici di bucket S3 devono risiedere entrambi nello stesso vault di backup.

AWS Backup per S3 si basa sulla ricezione di eventi S3 tramite Amazon. EventBridge Se questa impostazione è disabilitata nelle impostazioni di notifica dei bucket S3, i backup continui verranno interrotti per tali bucket con l'impostazione disattivata. Per ulteriori informazioni, consulta Using. EventBridge

Per entrambi i tipi di backup, il primo backup è un backup completo, mentre i backup successivi sono incrementali a livello di oggetto.

Confronto dei tipi di backup S3

La strategia di backup per le risorse S3 può includere solo backup continui, solo backup (snapshot) periodici o una combinazione di entrambi. Le informazioni riportate di seguito consentono di scegliere la soluzione migliore per l'organizzazione in uso:

Solo backup continui:

  • Dopo che il primo backup completo dei dati esistenti è stato completato, le modifiche ai dati del bucket S3 vengono monitorate mentre si verificano.

  • Le modifiche tracciate consentono di utilizzare PITR (point-in-time ripristino) per il periodo di conservazione del backup continuo. Per eseguire un processo di ripristino, scegli il punto temporale in cui desideri eseguire il ripristino.

  • Il periodo di conservazione di ogni backup continuo è composto da un massimo di 35 giorni.

  • Per i piani di backup creati tramite CLI, le impostazioni di backup avanzate per Amazon S3 (che includono l'opzione per includere tag ACLs e nel backup) sono attivate per impostazione predefinita. Puoi escluderle nelle opzioni di backup. Vedi un Impostazioni di backup avanzate di Amazon S3 esempio della sintassi.

Solo backup (snapshot) periodici, pianificati o on demand:

  • AWS Backup analizza l'intero bucket S3, recupera l'ACL e i tag di ogni oggetto e avvia una richiesta Head per ogni oggetto presente nell'istantanea precedente ma non trovato nell'istantanea creata.

  • Il point-in-time backup è coerente.

  • La data e l'ora di backup registrate sono l'ora in cui viene AWS Backup completato l'attraversamento del bucket, non il momento in cui è stato creato un job di backup.

  • Il primo backup di un bucket è un backup completo. Ogni backup successivo è incrementale e rappresenta la modifica dei dati dall'ultimo snapshot.

  • Lo snapshot acquisito dal backup periodico può avere un periodo di conservazione massimo 99 anni.

Backup continui combinati con backup: periodic/snapshot

  • Al termine del primo backup completo dei dati esistenti (ogni bucket), le modifiche nel bucket vengono monitorate mentre si verificano.

  • È possibile eseguire un point-in-time ripristino da un punto di ripristino continuo.

  • Le istantanee sono point-in-time coerenti.

  • Gli snapshot vengono acquisiti direttamente dal punto di ripristino continuo, eliminando la necessità di ripetere la scansione di un bucket per consentire processi più rapidi.

  • Gli snapshot e i punti di ripristino continui condividono la derivazione dei dati; lo storage dei dati tra snapshot e punti di ripristino continui non è duplicato.

  • Quando le impostazioni di backup avanzate di Amazon S3, ad esempio l'inclusione di tag e ACLs in un backup, vengono modificate per un punto di continuous ripristino, AWS Backup interrompe quel punto di ripristino e ne crea uno nuovo con le impostazioni aggiornate.

Quando è in esecuzione un processo di backup continuo per un bucket S3, puoi comunque avviare processi di backup periodici (snapshot). Tuttavia, si applica il seguente comportamento:

  • I job di backup con snapshot utilizzeranno le stesse opzioni di backup (ACLs e impostazioni dei tag degli oggetti) del backup continuo esistente.

  • Se si specificano opzioni di backup diverse per un processo di snapshot rispetto a quelle utilizzate dal backup continuo, il processo di snapshot continuerà a utilizzare le impostazioni del backup continuo e verrà visualizzato lo stato «Completato con problemi».

    Quando ciò si verifica, viene visualizzato il seguente messaggio di stato: "Periodic/snapshot backup for bucket <bucket name> has different backup options than the continuous backup. When using continuous backups along with snapshot backups for the same bucket, the snapshot will use the same settings for backing up ACLs and Object tags as the continuous backup."

La tabella seguente mostra quando è necessaria una scansione completa quando si passa BackupOptions a punti di ripristino continui esistenti:

Comportamento della scansione completa quando BackupOptions viene modificato
Precedente BackupOptions Nuovo BackupOptions Scansione completa
di backup ACLs e backupObjectTags abilitato di backup ACLs e backupObjectTags disabilitato No
di backup ACLs e backupObjectTags abilitato backup ACLs abilitato; backupObjectTags disabilitato No
di backup ACLs e backupObjectTags abilitato backup ACLs disabilitato; backupObjectTags abilitato No
backup ACLs e backupObjectTags disabilitato di backup ACLs e backupObjectTags abilitato
backup ACLs abilitato; backupObjectTags disabilitato di backup ACLs e backupObjectTags abilitato
backup ACLs disabilitato; backupObjectTags abilitato di backup ACLs e backupObjectTags abilitato

Finestre di completamento del backup S3

La tabella seguente mostra bucket di esempio di varie dimensioni che forniscono linee guida delle stime del tempo di completamento del backup completo iniziale di un bucket S3. I tempi di backup variano in base a dimensioni, contenuto, configurazione e impostazioni di ciascun bucket.

Dimensione bucket Numero di oggetti Tempo stimato per il completamento del backup iniziale
425 GB (gigabyte) 135 milioni 31 ore
800 TB (terabyte) 670 milioni 38 ore
6 PB (petabyte) 5 miliardi 100 ore
370 TB (terabyte) 7,5 miliardi 180 ore

Procedure consigliate e considerazioni sui costi per i backup S3

Procedure consigliate per grandi gruppi

Per bucket con più di 300 milioni di oggetti:

  • Per i bucket con più di 300 milioni di oggetti, la velocità di backup può raggiungere i 17.000 oggetti al secondo durante il backup completo iniziale del bucket (i backup incrementali avranno una velocità diversa); i bucket contenenti meno di 300 milioni di oggetti eseguono il backup a una velocità vicina a 1.000 oggetti al secondo.

  • Si consigliano backup continui.

  • Se il ciclo di vita del backup è pianificato per più di 35 giorni, è anche possibile abilitare i backup snapshot per il bucket nello stesso vault in cui sono archiviati i backup continui.

Ottimizzazione della strategia di Backup

  • Per gli account che eseguono backup almeno giornalmente o con maggiore frequenza, è possibile ottenere vantaggi in termini di costi utilizzando backup continui se i dati all'interno dei backup presentano modifiche minime tra i backup.

  • I bucket più grandi che non cambiano frequentemente possono trarre vantaggio dai backup continui, poiché ciò può comportare una riduzione dei costi quando non è necessario eseguire scansioni dell'intero bucket insieme a più richieste per oggetto su oggetti preesistenti (oggetti che sono invariati rispetto al backup precedente).

  • I bucket che contengono più di 100 milioni di oggetti e che hanno un tasso di eliminazione basso rispetto alla dimensione complessiva del backup potrebbero ottenere vantaggi in termini di costi con un piano di backup contenente un backup continuo con un periodo di conservazione di 2 giorni e snapshot di un periodo di conservazione più lungo.

  • Il tempo del backup (snapshot) periodico è allineato all'inizio del processo di backup quando non è necessaria la scansione di un bucket. Le scansioni non sono necessarie in un bucket contenente backup continui e snapshot, poiché in questi casi gli snapshot vengono acquisiti da un punto di ripristino continuo.

Ciclo di vita degli oggetti e marcatori di eliminazione

  • Le policy del ciclo di vita di S3 hanno una funzionalità opzionale chiamata Elimina i contrassegni di eliminazione degli oggetti scaduti. Quando questa funzionalità viene interrotta, i contrassegni di eliminazione, a volte in quantità di milioni, scadono senza alcun piano di pulizia. Quando si esegue il backup di bucket senza questa funzionalità, due problemi influiscono su tempi e costi:

    • I contrassegni di eliminazione vengono sottoposti a backup, al pari degli oggetti. Il tempo di backup e il tempo di ripristino possono essere influenzati a seconda del rapporto tra oggetti e contrassegni di eliminazione.

    • Ogni oggetto e contrassegno di cui viene eseguito il backup ha un costo minimo. A ogni contrassegno di eliminazione viene addebitata la stessa tariffa di un oggetto da 128 KiB.

Considerazioni sui costi della classe di storage

  • Per ogni oggetto in una singola S3-GIR (Amazon S3 Glacier Instant Retrieval), AWS Backup esegue più chiamate, il che comporterà costi di recupero quando viene eseguito un backup.

    Costi di recupero simili si applicano ai bucket con oggetti nelle classi di storage S3-IA e S3 One Zone-IA.

AWS ottimizzazione dei costi del servizio

  • L'utilizzo delle funzionalità di AWS KMS CloudTrail CloudWatch, Amazon e Amazon GuardDuty come parte della tua strategia di backup può comportare costi aggiuntivi rispetto allo storage dei dati con bucket S3. Per informazioni sulla regolazione di queste funzionalità, consulta le seguenti sezioni:

    • Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3 nella Guida per l'utente di Amazon S3.

    • Puoi ridurre CloudTrail i costi escludendo AWS KMS gli eventi e disabilitando gli eventi relativi ai dati S3:

      • Escludi AWS KMS eventi: nella Guida per l'CloudTrail utente, la creazione di un percorso nella console (selettori di eventi di base) consente di escludere AWS KMS gli eventi per filtrarli dal percorso (l'impostazione predefinita include tutti gli eventi KMS):

        • L'opzione per registrare o escludere gli eventi KMS è disponibile solo se gli eventi di gestione vengono registrati sul trail. Se scegli di non registrare gli eventi di gestione, gli eventi KMS non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi KMS.

        • AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un grande volume (oltre il 99%) di eventi. Queste operazioni vengono ora registrate come eventi Read (Lettura). Le operazioni KMS a basso volume pertinenti, come Disable, Delete e ScheduleKey (che in genere rappresentano meno dello 0,5% del volume degli eventi KMS), vengono registrate come eventi Write (Scrittura).

        • Per escludere eventi a volume elevato come Encrypt, Decrypt e GenerateDataKey, ma registrare comunque eventi rilevanti come Disable, Delete e ScheduleKey, scegli di registrare gli eventi di gestione Scrittura e deseleziona la casella di controllo Escludi eventi AWS KMS .

      • Disabilita eventi di dati S3: per impostazione predefinita, i trail e gli archivi dati di eventi non registrano gli eventi di dati. Disattiva gli eventi di dati S3 prima del backup iniziale per ridurre i costi.

    • Per ridurre CloudWatch i costi, puoi interrompere l'invio di CloudTrail eventi ai CloudWatch registri quando aggiorni un percorso per disabilitare le impostazioni CloudWatch dei registri.

    • Stima del costo di GuardDuty utilizzo nella Amazon GuardDuty User Guide.

Messaggi di backup S3

Quando un processo di backup viene completato o fallito, è possibile che venga visualizzato il seguente messaggio. La tabella seguente può aiutarti a determinare la possibile causa del messaggio di stato.

Scenario Stato di un processo Messaggio Esempio

Non è stato possibile eseguire il backup di tutti gli oggetti per un'istantanea o un backup continuo iniziale

FAILED

«Non è stato eseguito il backup di alcun oggetto dal BucketNamebucket di origine. Per ricevere notifiche di questi errori, abilita le notifiche degli eventi SNS».

Il ruolo di Backup non dispone dell'autorizzazione per ottenere l'ACL della versione dell'oggetto. Di conseguenza, non viene eseguito il backup di nessuno degli oggetti.

Non è stato possibile eseguire il backup di tutti gli oggetti per un successivo backup continuo.

COMPLETED

«Non è stato eseguito il backup di alcun oggetto dal bucket BucketNamedi origine. Per ricevere notifiche di questi errori, abilita le notifiche degli eventi SNS».

Impostazioni di backup avanzate di Amazon S3

AWS Backup fornisce impostazioni avanzate per controllare quali metadati sono inclusi nei backup di Amazon S3. Facoltativamente, puoi escludere gli Access Control Lists (ACLs) e i tag degli oggetti, il che può essere utile se gli oggetti sono configurati senza ACLs tag di oggetto. In altre parole, se non utilizzi i tag ACLs or objects per le tue risorse S3, potresti trovare utile escluderli dai tuoi backup.

Configurazione del backup e dei tag degli oggetti ACLs

È possibile configurare le opzioni di backup ACL e object tag tramite la AWS Backup console o tramite. AWS CLI

Console
Configura le opzioni ACL e tag utilizzando la console

  1. Apri la AWS Backup console all'indirizzo https://console.aws.amazon.com/backup/.

  2. Nel riquadro di navigazione, scegli Piani di backup, quindi scegli Crea piano di backup.

  3. Nelle impostazioni del piano di backup, espandi Impostazioni di backup avanzate.

  4. Per le risorse Amazon S3, configura le seguenti opzioni:

    • Backup ACLs: seleziona la casella di controllo per includerle ACLs o lasciala deselezionata per escluderle.

      Backup dei tag degli oggetti: seleziona la casella di controllo per includere i tag degli oggetti nel backup.

  5. Completa la configurazione del piano di backup e scegli Crea piano.

AWS CLI

Puoi includere o escludere selettivamente gli Access Control List (ACLs) e gli object tag dai tuoi backup di Amazon S3 utilizzando le seguenti opzioni di backup:

Backup ACLs

Controlla se ACLs gli oggetti sono inclusi nel backup. Imposta su disabled per escludere ACLs. Impostazione predefinita: enabled

BackupObjectTags

Controlla se i tag degli oggetti sono inclusi nel backup. Imposta su disabled per escludere i tag. Impostazione predefinita: enabled

Configura le opzioni ACL e tag utilizzando AWS CLI

Per configurare le opzioni di backup ACL e object tag utilizzando il AWS CLI, usa il update-backup-plan comando con impostazioni di backup avanzate:


aws backup update-backup-plan \
    --backup-plan-id "your-backup-plan-id" \
    --backup-plan '{
        "BackupPlanName": "MyS3BackupPlan",
        "Rules": [{
            "RuleName": "MyS3BackupRule",
            "TargetBackupVaultName": "MyBackupVault",
            "ScheduleExpression": "cron(0 2 ? * * *)",
            "Lifecycle": {
                "DeleteAfterDays": 30
            },
            "RecoveryPointTags": {},
            "CopyActions": [],
            "EnableContinuousBackup": false
        }],
        "AdvancedBackupSettings": [{
            "ResourceType": "S3",
            "BackupOptions": {
                "BackupACLs": "disabled",
                "BackupObjectTags": "disabled"
            }
        }]
    }'

I BackupOptions parametri controllano l'inclusione dei metadati:

  • "BackupACLs": "disabled"- Esclude dai backup ACLs

  • "BackupObjectTags": "disabled"- Esclude i tag degli oggetti dai backup

  • "BackupACLs": "enabled"- Include ACLs nei backup (impostazione predefinita)

  • "BackupObjectTags": "enabled"- Include i tag degli oggetti nei backup (impostazione predefinita)