기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
논리적 에어 갭 저장소
논리적 에어 갭 볼트 개요
AWS Backup 는 추가 보안 기능이 있는 컨테이너에 백업 사본을 저장할 수 있는 보조 유형의 볼트를 제공합니다. 논리적 에어 갭 저장소는 표준적인 백업 저장소보다 향상된 보안 외에도, 다른 계정에 대한 저장소 액세스를 공유할 수 있는 기능을 제공하는 특수 저장소입니다. 이를 통해 리소스의 신속한 복원이 필요한 사고 발생 시에 목표 복구 시간(RTO)을 더 빠르고 유연하게 달성할 수 있습니다.
논리적 에어 갭 저장소에는 추가적인 보호 기능이 탑재되어 있습니다. 각 저장소는 AWS 소유 키로 암호화되며, AWS Backup 저장소 잠금의 규정 준수 모드가 탑재되어 있습니다.
데이터 손실 복구 또는 복원 테스트에 필요한 경우 볼트가 공유되는 AWS 계정에서 볼트 내에 저장된 백업을 복원할 수 있도록 AWS Resource Access Manager (RAM)과 통합하여 논리적 에어 갭 볼트를 다른 계정(다른 조직의 계정 포함)과 공유하도록 선택할 수 있습니다.
논리적 에어 갭 저장소에서 지원되는 서비스 백업에 대한 스토리지 요금은 AWS Backup 요금
논리적 에어 갭 저장소에 복사할 수 있는 리소스 유형은 리소스별 기능 가용성를 참조하세요.
주제
논리적 에어 갭 저장소의 사용 사례
논리적 에어 갭 저장소는 데이터 보호 전략의 일환으로 사용되는 보조 저장소입니다. 이 저장소는 다음과 같은 백업용 저장소가 필요한 경우, 조직의 보존 전략과 복구 기능을 향상하는 데 도움이 될 수 있습니다.
-
규정 준수 모드에서 저장소 잠금으로 자동 설정되는 저장소
-
AWS 소유 키로 암호화되어 제공됩니다.
-
를 통해 백업을 생성한 계정과 다른 계정과 공유하고 복원 AWS RAM할 수 있는 백업이 포함되어 있습니다.
고려 사항 및 제한 사항
-
논리적 에어 갭 저장소를 오가는 교차 리전 복사는 현재 Amazon Aurora, Amazon DocumentDB 및 Amazon Neptune이 포함된 백업에는 사용할 수 없습니다.
-
논리적 에어 갭 저장소로 복사되는 하나 이상의 Amazon EBS 볼륨이 포함된 백업은 16TB보다 작아야 합니다. 이보다 크기가 더 큰 이 리소스 유형에 대한 백업은 지원되지 않습니다.
-
Amazon EC2는 EC2 허용 AMIs 제공합니다. 계정에서이 설정이 활성화된 경우 허용 목록에 별칭
aws-backup-vault
을 추가합니다.이 별칭이 포함되지 않은 경우 논리적 에어 갭 볼트에서 백업 볼트로 작업을 복사하고 논리적 에어 갭 볼트에서 EC2 인스턴스의 복원 작업은 실패하며 "Source AMI ami-xxxxxx not found in Region"과 같은 오류 메시지가 표시됩니다.
-
논리적 에어 갭 저장소에 저장된 복구 시점의 ARN(Amazon 리소스 이름)은 기본 리소스 유형 대신
backup
을 갖게 됩니다. 예를 들어, 원래 ARN이arn:aws:ec2:
로 시작하는 경우 논리적 에어 갭 저장소에서 복구 시점의 ARN은region
::image/ami-*arn:aws:backup:
가 됩니다.region
:account-id
:recovery-point:*list-recovery-points-by-backup-vault
CLI 명령을 사용하여 ARN을 확인할 수 있습니다.
표준 백업 저장소와 비교 및 대조
백업 저장소는 AWS Backup에서 사용되는 기본 및 표준 유형의 저장소입니다. 백업이 생성될 때 각 백업은 백업 저장소에 저장됩니다. 리소스 기반 정책을 할당하여 저장소에 저장된 백업을 관리(예: 저장소 내에 저장된 백업의 수명 주기)할 수 있습니다.
논리적 에어 갭 저장소는 복구 시간(RTO) 단축을 위한 추가적인 보안 및 유연한 공유 기능을 갖춘 특수 저장소입니다. 이 저장소에는 표준 백업 저장소 내에 최초로 생성 및 저장되었던 백업 복사본이 저장됩니다.
백업 저장소는 의도한 사용자의 액세스를 제한하는 보안 메커니즘인 키로 암호화할 수 있습니다. 이러한 키는 고객 관리형 또는 AWS 관리형일 수 있습니다. 또한 백업 저장소는 저장소 잠금을 통해 보안을 강화할 수 있습니다. 논리적 에어 갭 저장소는 규정 준수 모드의 저장소 잠금이 탑재되어 있습니다.
에서 완전히 관리하는 리소스 유형의 AWS Backup 경우 초기 리소스가 생성될 때 AWS KMS 키가 수동으로 변경되거나 KMS 키로 설정되지 않은 경우 백업을 논리적 에어 갭 볼트로 복사할 수 없습니다.
Feature | 백업 저장소 | 논리적 에어 갭 저장소 |
---|---|---|
AWS Backup Audit Manager | AWS Backup Audit Manager컨트롤 및 문제 해결를 사용하여 백업 저장소를 모니터링할 수 있습니다. | 표준 저장소에 사용할 수 있는 컨트롤 외에도, 특정 리소스의 백업 복사본이 사용자가 지정한 일정에 따라 하나 이상의 논리적 에어 갭 저장소에 복사되었는지 확인합니다. |
백업이 생성되면 복구 시점으로 저장됩니다. |
백업은 생성 시 이 저장소에 저장되지 않습니다. |
|
리소스의 최초 백업 및 백업 복사본을 저장할 수 있음 |
다른 저장소의 백업 복사본을 저장할 수 있음 |
|
결제 |
AWS Backup 에서 완전히 관리하는 리소스에 대한 스토리지 및 데이터 전송 요금은 'AWS Backup' 아래에서 발생합니다. 다른 리소스 유형의 스토리지 및 데이터 전송 요금은 해당 개별 서비스 아래에서 발생합니다. 예를 들어, Amazon EBS 백업은 'Amazon EBS' 아래에 표시되고 Amazon S3 백업은 'AWS Backup' 아래에 표시됩니다. |
이러한 저장소의 모든 청구 요금(스토리지 또는 데이터 전송)은 'AWS Backup' 아래에서 발생합니다. |
가 AWS Backup 작동하는 모든 리전에서 사용 가능 |
에서 지원하는 대부분의 리전에서 사용할 수 있습니다 AWS Backup. 현재 아시아 태평양(말레이시아), 캐나다 서부(캘거리), 중국(베이징), 중국(닝샤), AWS GovCloud(미국 동부), 또는 AWS GovCloud(미국 서부)에서는 사용할 수 없습니다. |
|
교차 계정 복사를 지원하는 대부분의 리소스 유형에 대한 백업 사본을 저장할 수 있습니다. |
Amazon RDS 및 Amazon FSx 백업 복사본은 현재 이러한 저장소에 저장할 수 없습니다. |
|
백업은 저장소가 속한 동일한 계정으로 복원할 수 있습니다. |
저장소가 별도의 계정과 공유되는 경우, 백업은 저장소가 속한 계정이 아닌 다른 계정으로 복원할 수 있습니다. |
|
선택에 따라 키를 사용하여 암호화 가능(고객 관리형 또는 AWS 관리형) 규정 준수 또는 거버넌스 모드에서 저장소 잠금을 선택적으로 사용할 수 있음 |
AWS 소유 키로 암호화됨 규정 준수 모드에서는 항상 저장소 잠금을 사용하여 잠김 |
|
정책 및 AWS Organizations를 통해 액세스를 관리할 수 있음 와 호환되지 않음 AWS RAM |
선택에 따라 AWS RAM을 사용하여 계정 간에 공유할 수 있음 |
논리적 에어 갭 저장소 생성
AWS Backup 콘솔 또는 AWS Backup 및 AWS RAM CLI 명령의 조합을 통해 논리적 에어 갭 볼트를 생성할 수 있습니다.
각 논리적 에어 갭 저장소에는 규정 준수 모드에서 저장소 잠금이 장착되어 있습니다. 작업에 가장 적합한 보존 기간 값을 결정하는 데 도움이 되도록 AWS Backup 볼트 잠금을 참조하세요.
논리적 에어 갭 저장소의 세부 정보 보기
AWS Backup 콘솔 또는 CLI를 통해 요약, 복구 시점, 보호된 리소스, 계정 공유, 액세스 정책 및 태그와 같은 볼트 세부 정보를 볼 수 있습니다 AWS Backup .
논리적 에어 갭 저장소로 복사
논리적 에어 갭 저장소는 백업 계획의 복사 작업 대상 또는 온디맨드 복사 작업의 대상만 될 수 있습니다.
호환되는 암호화
백업 저장소에서 논리적 에어 갭 저장소로 복사 작업을 성공적으로 수행하려면 복사되는 리소스 유형에 따라 결정되는 암호화 키가 필요합니다.
완전 관리형 리소스 유형의 백업을 복사하면 (표준 백업 저장소)의 소스 백업을 고객 관리형 키 또는 AWS 관리형 키로 암호화할 수 있습니다.
다른 리소스 유형(완전히 관리되지 않는 유형)의 백업을 복사하는 경우 백업과 백업한 리소스를 모두 고객 관리형 키로 암호화해야 합니다. 리소스 유형에 대한 AWS 관리형 키는 복사에 지원되지 않습니다.
백업 계획을 통해 논리적 에어 갭 저장소로 복사
새 백업 계획을 생성하거나 콘솔에서 기존 백업 계획을 업데이트하거나 및 명령을 통해 표준 백업 저장소에서 논리적 에어 갭 저장소로 백업(복구 지점)을 복사할 수 있습니다update-backup-plan
create-backup-plan
온디맨드 방식으로 한 논리적 에어 갭 저장소에서 다른 논리적 에어 갭 저장소로 백업을 복사할 수 있습니다(이러한 유형의 백업은 백업 계획에서 예약할 수 없음). 고객 관리형 키로 복사본을 암호화하는 한, 논리적 에어 갭 저장소에서 표준 백업 저장소로 백업을 복사할 수 있습니다.
논리적 에어 갭 저장소로 온디맨드 백업 복사
논리적 에어 갭 저장소에 백업의 일회성 온디맨드 복사본을 생성하려면 표준 백업 저장소에서 복사하면 됩니다. 리소스 유형이 복사 유형을 지원하는 경우, 교차 리전 복사본이나 교차 계정 복사본을 사용할 수 있습니다.
복사본 가용성
저장소가 속한 계정으로부터 백업 복사본을 생성할 수 있습니다. 저장소가 공유된 계정은 백업을 보거나 복원할 수는 있지만, 복사본을 생성할 수는 없습니다.
교차 리전 복사나 교차 계정 복사를 지원하는 리소스 유형만 포함될 수 있습니다.
자세한 내용은 백업 복사, 교차 리전 백업, 교차 계정 백업을 참조하세요.
논리적 에어 갭 저장소 공유
AWS Resource Access Manager (RAM)을 사용하여 지정한 다른 계정과 논리적 에어 갭 볼트를 공유할 수 있습니다.
저장소는 자기 조직의 계정 또는 다른 조직의 계정과 공유할 수 있습니다. 이 저장소는 전체 조직과 공유할 수 없으며, 특정 조직 내 계정과만 공유할 수 있습니다.
특정 IAM 권한이 있는 계정만 볼트 공유를 공유하고 관리할 수 있습니다.
를 사용하여 공유하려면 다음이 있어야 AWS RAM합니다.
-
에 액세스할 수 있는 두 개 이상의 계정 AWS Backup
-
공유하려는 저장소 소유 계정에는 필요한 RAM 권한이 있어야 합니다. 이 절차를 수행하려면
ram:CreateResourceShare
권한이 필요합니다.AWSResourceAccessManagerFullAccess
정책에는 다음과 같은 모든 필요한 RAM 관련 권한이 포함되어 있습니다.-
backup:DescribeBackupVault
-
backup:DescribeRecoveryPoint
-
backup:GetRecoveryPointRestoreMetadata
-
backup:ListProtectedResourcesByBackupVault
-
backup:ListRecoveryPointsByBackupVault
-
backup:ListTags
-
backup:StartRestoreJob
-
-
논리적 에어 갭 저장소 1개 이상
논리적 에어 갭 저장소에서 백업 복원
논리적 에어 갭 저장소에 저장된 백업을 저장소를 소유한 계정이나 저장소를 공유한 계정으로 복원할 수 있습니다.
AWS Backup 콘솔을 통해 복구 시점을 복원하는 방법에 대한 자세한 내용은 백업 복원을 참조하세요.
논리적 에어 갭 저장소에서 자신의 계정으로 백업을 공유한 후에는 start-restore-job
CLI 입력 샘플에는 다음의 명령 및 파라미터가 포함될 수 있습니다.
aws backup start-restore-job --recovery-point-arn
arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"} --idempotency-token TokenNumber --resource-type ResourceType --iam-role arn:aws:iam::number:role/service-role/servicerole --region us-east-1
논리적 에어 갭 저장소 삭제
볼트 삭제를 참조하세요. 저장소에 백업(복구 시점)이 아직 포함되어 있는 경우 저장소를 삭제할 수 없습니다. 삭제 작업을 시작하기 전에 저장소에 백업이 남아 있지 않은지 확인하세요.
저장소를 삭제하면 키 삭제 정책에 따라 저장소가 삭제된 후 7일 지나면 저장소와 연결된 키도 삭제됩니다.
아래의 CLI 명령 샘플 delete-backup-vault
aws backup delete-backup-vault --region us-east-1 --backup-vault-name
testvaultname
논리적 에어 갭 저장소에 대한 추가 프로그래밍 옵션
CLI 명령 list-backup-vaults
를 수정하여 계정이 소유하고 있고 계정에 존재하는 모든 저장소를 나열할 수 있습니다.
aws backup list-backup-vaults --region us-east-1
논리적 에어 갭 저장소만 나열하려면 다음 파라미터를 추가합니다.
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
반환된 저장소 목록을 필터링하여 공유된 논리적 에어 갭 저장소만 표시하려면 by-shared
파라미터를 포함합니다.
aws backup list-backup-vaults --region us-east-1 --by-shared
논리적 에어 갭 저장소의 문제 해결
워크플로우 중에 오류가 발생하는 경우, 다음 오류 예시와 권장 해결 방법을 참조하세요.
AccessDeniedException
오류: An error occured (AccessDeniedException) when calling
the [command] operation: Insufficient privileges to perform this action."
가능한 원인: 다음 요청 중 하나가 RAM에서 공유한 저장소에서 실행되었을 때 --backup-vault-account-id
파라미터가 포함되지 않았습니다.
describe-backup-vault
describe-recovery-point
get-recovery-point-restore-metadata
list-protected-resources-by-backup-vault
list-recovery-points-by-backup-vault
해결 방법: 오류를 반환한 명령을 다시 시도하되, 저장소를 소유한 계정을 지정하는 --backup-vault-account-id
파라미터를 포함합니다.
OperationNotPermittedException
오류: CreateResourceShare
직접 호출 후에 OperationNotPermittedException
이 반환됩니다.
가능한 원인: 논리적 에어 갭 저장소와 같은 리소스를 다른 조직과 공유하려고 한 경우, 이 예외가 발생할 수 있습니다. 저장소는 다른 조직의 계정과 공유할 수 있지만, 다른 조직 자체와 공유할 수는 없습니다.
해결 방법: 해당 작업을 다시 시도하되, 조직 또는 OU 대신 principals
의 값으로 계정을 지정합니다.