跨创建备份副本 AWS 账户 - AWS Backup
设置跨账户备份安排跨账户备份执行按需跨账户备份加密密钥和跨账户副本将备份从一个恢复 AWS 账户 到另一个备份与其他 AWS 账户共享备份保管库将账户配置为目的地账户跨账户备份的安全注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨创建备份副本 AWS 账户

使用 AWS Backup,您可以按需备份多个 AWS 账户 ,也可以作为定时备份计划的一部分自动备份。如果您出于运营或安全原因想要将备份安全地复制到组织 AWS 账户 中的一个或多个账户,请使用跨账户备份。如果原始备份被无意中删除,则可以将备份从目的地账户复制到其源账户,然后开始还原。在执行此操作之前,您必须在 AWS Organizations 服务中拥有两个属于同一组织的账户。有关更多信息,请参阅《Organizations 用户指南》中的教程:创建和配置组织

在目的地账户中,您必须创建备份保管库。然后,您可以分配客户托管密钥来加密目标账户中的备份,并分配基于资源的访问策略 AWS Backup 以允许访问您要复制的资源。在源账户中,如果您的资源使用客户托管密钥进行加密,则必须与目的地账户共享此客户托管密钥。然后,您可以创建备份计划并选择在 AWS Organizations中属于您的组织单位的目的地账户。

首次将备份复制到跨账户时,会完整 AWS Backup 复制备份。通常,如果某项服务支持增量备份,则同一账户中该备份的后续副本是增量备份。 AWS Backup 使用目标保管库的客户托管密钥重新加密您的副本。

要求

  • 在管理多个 AWS 账户 中的资源之前 AWS Backup,您的账户必须属于 AWS Organizations 服务中的同一个组织。

  • 支持的大多数资源都 AWS Backup 支持跨账户备份。有关具体信息,请参阅按资源划分的功能可用性

  • 大多数 AWS 地区都支持跨账户备份。有关具体信息,请参阅功能可用性来自 AWS 区域

  • AWS Backup 不支持将跨账户副本存储在冷层中。

设置跨账户备份

创建跨账户备份需要什么?

  • 一个源账户

    源帐户是您的生产 AWS 资源和主备份所在的帐户。

    源账户用户发起跨账户备份操作。源账户用户或角色必须具有相应的API权限才能启动操作。适当的权限可能是 AWS 托管策略AWSBackupFullAccess(允许对 AWS Backup 操作进行完全访问权限),也可以是允许执行诸如之类的操作的客户托管策略ec2:ModifySnapshotAttribute。有关策略类型的更多信息,请参阅 AWS Backup 托管策略

  • 一个目的地账户

    目的地账户是您要在其中保存备份副本的账户。您可以选择多个目的地账户。在 AWS Organizations中,目的地账户必须与源账户位于同一个组织中。

    对于您的目的地备份保管库,您必须“允许”访问策略 backup:CopyIntoBackupVault。如果没有此策略,将拒绝向目的地账户进行复制的尝试。

  • 中的管理账户 AWS Organizations

    管理账户是组织中的主账户,由 AWS Organizations定义,您可以使用它管理各 AWS 账户的跨账户备份。要使用跨账户备份,还必须启用服务信任。启用服务信任后,可以将组织中的任何账户用作目的地账户。在目的地账户中,可以选择使用哪些保管库进行跨账户备份。

  • 在 AWS Backup 控制台中启用跨账户备份

有关安全的信息,请参阅跨账户备份的安全注意事项

要使用跨账户备份,必须启用跨账户备份功能。然后,必须“允许”通过访问策略 backup:CopyIntoBackupVault 访问您的目的地备份保管库。

启用跨账户备份

  1. 使用您的 AWS Organizations 管理账户凭据登录。只能使用这些凭证启用或禁用跨账户备份。

  2. https://console.aws.amazon.com/backup 上打开 AWS Backup 控制台。

  3. 我的账户中,选择设置

  4. 对于跨账户备份,选择启用

  5. 备份保管库中,选择目的地保管库。

    对于跨账户复制,源文件库和目标文件库位于不同的账户中。必要时切换到拥有目标账户的账户。

  6. 访问策略 部分,“允许”backup:CopyIntoBackupVault。例如,选择添加权限,然后选择允许从组织访问备份保管库。除此之外的任何跨账户操作都backup:CopyIntoBackupVault将被拒绝。

  7. 现在,组织中的任何账户都可以与组织中的任何其他账户共享其备份保管库中的内容。有关更多信息,请参阅与其他 AWS 账户共享备份保管库。要限制哪些账户可以接收其他账户的备份保管库中的内容,请参阅将账户配置为目的地账户

安排跨账户备份

您可以使用定时备份计划跨 AWS 账户复制备份。

使用定时备份计划复制备份

  1. https://console.aws.amazon.com/backup 上打开 AWS Backup 控制台。

  2. 我的账户中,选择备份计划,然后选择创建备份计划

  3. 创建备份计划页面上,选择构建新计划

  4. 对于备份计划名称,输入备份计划的名称。

  5. 备份规则配置部分,添加定义备份计划、备份时段和生命周期规则的备份规则。您稍后可以添加更多备份规则。

    对于规则名称,输入规则的名称。

  6. 计划部分的频率下,选择您希望备份的频率。

  7. 对于备份时段,选择使用备份时段默认值(推荐)。您可以自定义备份时段。

  8. 对于备份保管库,从列表中选择一个保管库。此备份的恢复点将保存在此保管库中。您可以创建新的备份保管库。

  9. 生成副本 - 可选部分,输入以下值:

    目的地区域

    选择备份副本 AWS 区域 的目的地。您的备份将被复制到该区域。对于每个副本,您可以将新的复制规则添加到新的目的地。

    复制到其他账户的保管库

    切换以选择此选项。选中后,此选项将变为蓝色。将出现 “外部保管库 ARN” 选项。

    外部保管库 ARN

    输入目标账户的 Amazon 资源名称 (ARN)。ARN是一个包含账户 ID 及其 ID 的字符串 AWS 区域。 AWS Backup 会将备份复制到目标账户的保管库。目标区域列表会自动更新为外部保管库中的区域ARN。

    对于允许备份保管库访问权限中,选择允许。然后,在打开的向导中选择允许

    AWS Backup 需要访问外部帐户的权限才能将备份复制到指定值。向导将显示以下策略示例,其中提供了此访问权限。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    转换为冷存储

    选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    要查看可以转换到冷存储的资源列表,请参阅按资源划分的功能可用性表的“转换到冷存储的生命周期”部分。对于其他资源,将忽略冷存储表达式。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

    注意

    当备份过期并作为生命周期策略的一部分标记为 AWS Backup 删除时,将在接下来的 8 小时内随机选择的时间点删除备份。此时段有助于确保一致的性能。

  10. 选择添加到恢复点的标签以向恢复点添加标签。

  11. 对于高级备份设置,请选择 Windows,VSS为在其上运行的选定第三方软件启用应用程序感知快照。EC2

  12. 选择创建计划

执行按需跨账户备份

您可以根据需要将备份复制到其他 AWS 账户 备份。

按需复制备份

  1. https://console.aws.amazon.com/backup 上打开 AWS Backup 控制台。

  2. 我的账户中,选择备份保管库以查看列出的所有备份保管库。您可以按备份保管库名称或标签进行筛选。

  3. 选择要复制的备份的恢复点 ID

  4. 选择复制

  5. 展开备份详细信息以查看有关您正在复制的恢复点的信息。

  6. 复制配置部分,从目的地区域列表中选择一个选项。

  7. 选择复制到其他账户的保管库。选中后,此选项将变为蓝色。

  8. 输入目标账户的 Amazon 资源名称 (ARN)。ARN是一个包含账户 ID 及其 ID 的字符串 AWS 区域。 AWS Backup 会将备份复制到目标账户的保管库。目标区域列表会自动更新为外部保管库中的区域ARN。

  9. 对于允许备份保管库访问权限中,选择允许。然后,在打开的向导中选择允许

    要创建副本, AWS Backup 需要访问源账户的权限。向导将显示一个策略示例,其中提供了此访问权限。下面显示了此策略。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. 对于转换为冷存储,选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    要查看可以转换到冷存储的资源列表,请参阅按资源划分的功能可用性表的“转换到冷存储的生命周期”部分。对于其他资源,将忽略冷存储表达式。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

  11. 对于IAMIAM角色,请指定有权让您的备份可供复制的角色(例如默认角色)。复制行为由目的地账户的服务关联角色执行。

  12. 选择复制。根据要复制的资源的大小,此过程可能需要几个小时才能完成。复制作业完成后,您将在作业菜单的复制作业选项卡中看到该副本。

加密密钥和跨账户副本

跨账户副本加密密钥取决于资源类型。已全面 AWS Backup 管理使用源备份存储库加密密钥的资源。客户托管KMS密钥可用于对这些资源类型进行跨账户副本加密。

未完全由管理的资源类型 AWS Backup 具有相同的源KMS密钥和资源KMS密钥。对于这些未完全 AWS 由管理的资源类型,不支持使用托管KMS密钥进行跨账户复制。 AWS Backup

有关解决跨账户复制失败的其他帮助,请参阅AWS 知识中心

在跨账户复制过程中,源账户KMS密钥策略必须允许目标账户使用KMS密钥策略。

将备份从一个恢复 AWS 账户 到另一个备份

AWS Backup 不支持从一个资源恢复 AWS 账户 到另一个资源。但是,您可以将备份从一个账户复制到另一个账户,然后在该账户中进行还原。例如,您无法将账户 A 中的备份还原到账户 B,但可以将账户 A 中的备份复制到账户 B,然后在账户 B 中还原备份。

将备份从一个账户还原到另一个账户分为两步。

将备份从一个账户还原到另一个账户

  1. 将备份从源文件复制 AWS 账户 到您要还原到的帐户。有关说明,请参阅设置跨账户备份

  2. 使用与您的资源对应的说明来还原备份。

与其他 AWS 账户共享备份保管库

AWS Backup 允许您与一个或多个账户共享备份保管库,或者与您的整个组织共享备份保管库 AWS Organizations。您可以与源 AWS 账户、用户或IAM角色共享目标备份存储库。

共享目的地备份保管库

  1. 选择 AWS Backup,然后选择备份保管库

  2. 选择要共享的备份保管库的名称。

  3. 访问策略窗格中,选择添加权限下拉列表。

  4. 选择允许备份保管库的账户级别访问权限。或者,您可以选择允许组织级别或角色级别访问权限。

  5. 输入要与此目的地备份保管库共享的账户的 AccountID

  6. 选择保存策略

您可以使用IAM策略共享您的备份保管库。

与 AWS 账户 或IAM角色共享目标备份存储库

以下策略共享一个带有账号4444555566666和账号SomeRole中的IAM角色的备份存储库111122223333

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
将目标备份存储库与组织单位共享 AWS Organizations

以下策略使用 PrincipalOrgPaths 与组织单位共享备份保管库。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
与中的组织共享目标备份保管库 AWS Organizations

以下策略与 PrincipalOrgID 为“o-a1b2c3d4e5”的组织共享备份保管库。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

将账户配置为目的地账户

当您首次使用 AWS Organizations 管理账户启用跨账户备份时,任何成员账户的用户都可以将其账户配置为目标账户。我们建议在中设置以下一项或多项服务控制策略 (SCPs) AWS Organizations ,以限制您的目标账户。要了解有关将服务控制策略附加到 AWS Organizations 节点的更多信息,请参阅附加和分离服务控制策略。

使用标签限制目的地账户

当关联到 AWS Organizations 根账户、OU 账户或个人账户时,此策略将来自该根、OU 或账户的复制目标限制为仅限那些带有您标记DestinationBackupVault的备份保管库的账户。权限 "backup:CopyIntoBackupVault" 控制备份保管库的行为方式,在此例中还控制哪些目的地备份保管库有效。使用此策略以及应用于已批准的目的地保管库的相应标签,可以控制跨账户复制的目的地仅为已批准的账户和备份保管库。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
使用账号和保管库名称限制目的地账户

当关联到 AWS Organizations 根账户、OU 账户或个人账户时,此政策将来自该根账户、OU 或账户的副本限制为仅限两个目标账户。权限 "backup:CopyFromBackupVault" 控制备份保管库中恢复点的行为方式,在此例中还控制您可以将该恢复点复制到的目的地。只有当一个或多个目的地备份保管库名称以 cab- 开头时,源保管库才允许将副本复制到第一个目的地账户 (112233445566)。只有当目的地是单个名为 fort-knox 的备份保管库时,源保管库才允许将副本复制到第二个目的地账户 (123456789012)。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
使用中的组织单位限制目标帐户 AWS Organizations

当关联到包含您的源账户的 AWS Organizations 根账户或 OU 时,或者关联到您的源账户时,以下策略将目标账户限制为两个指定账户内的账户OUs。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

跨账户备份的安全注意事项

在 AWS Backup中执行跨账户备份时,请注意以下事项:

  • 目的地保管库不能是默认保管库。这是因为默认保管库使用无法与其他账户共享的密钥进行加密。

  • 禁用跨账户备份后,跨账户备份可能仍会持续长达 15 分钟。这是因为最终一致性造成的,即使在您禁用跨账户备份后,也可能会有某些跨账户作业开始或完成。

  • 如果目的地账户稍后离开组织,则该账户将保留备份。为避免潜在的数据泄露,请在附加到目标账户的服务控制策略 (SCP) 中对该organizations:LeaveOrganization权限设置拒绝权限。有关详细信息SCPs,请参阅《Organ izations 用户指南》中的 “从组织中移除成员帐户”。

  • 如果您在跨账户复制过程中删除了复印作业角色,则 AWS Backup 无法在复印任务完成时取消源账户的快照共享。在这种情况下,备份作业完成,但复制作业状态显示为无法取消共享快照