本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 备份计划选项和配置
在 AWS Backup 控制台中定义备份计划时,需要配置以下选项:
## 备份计划名称
您必须为备份计划提供一个名称。名称不得超过 50 个字符,包括字母数字字符、短划线、下划线和句点。
## 备份规则
备份计划由一个或多个备份规则组成。向备份计划添加备份规则或编辑备份计划中的现有规则:
1. 在 AWS Backup 控制台的左侧导航窗格中,选择 **Backup 计划**。
1. 在**备份计划名称**下,选择一个备份计划。
1. 在**备份规则**部分下:
+ 要添加备份规则,请选择**添加备份规则**。
+ 要编辑现有备份规则,请选择规则,然后选择**编辑**。
**注意**
如果您的备份计划包含多个规则,并且两个规则的时间范围重叠,请 AWS Backup 优化备份并针对保留时间较长的规则进行备份。优化功能考虑了完整的启动时段,而不仅仅是每日备份的时间。
每个备份规则都包含以下元素。
### 备份规则名称
备份规则名称区分大小写。必须包含 1 到 50 个字母数字字符或连字符。
### Backup frequency (备份频率)
备份频率决定了 AWS Backup 创建快照备份的频率。使用控制台,您可从每小时、每 12 个小时、每天、每周或每月中选择频率。您还可以创建 Cron 表达式,以每小时一次的频率创建快照备份。使用 AWS Backup CLI,您可以将快照备份频率安排为每小时。
如果选择每周,您可以指定在一周中的星期几进行备份。如果选择每月,您可以选择在一月中具体哪一天进行备份。
您也可以选中 “**为支持的资源启用连续备份**” 复选框来创建启用 point-in-time恢复 (PITR) 的连续备份规则。与快照备份不同,连续备份允许您执行 point-in-time恢复。要了解有关连续备份的更多信息,请参阅[Point-in-Time 恢复](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。
### 备份时段
备份时段由备份时段的开始时间和持续时间(以小时为单位)构成。备份作业会在此时段内启动。控制台中的默认设置为:
+ 系统所在时区当地时间**凌晨 12:30**(24 小时制为 0:30)
+ 8 小时**内开始**
+ **7 天内完成**
(**在参数内完成**不适用于 Amazon FSx 资源)
您可以使用 cron 表达式来自定义备份频率和备份时段开始时间。要查看 AWS cron 表达式的六个字段,请参阅 A *mazon EventBridge 用户*指南中的 [Cron 和费率表达式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html)。 AWS cron 表达式的两个示例是`15 * ? * * *`(每小时在过去 15 分钟时进行一次备份)和`0 12 * * ? *`(UTC 每天中午 12 点进行备份)。要查看示例表,请单击前面的链接并向下滚动页面。
AWS Backup 在 00:00 到 23:59 之间评估 cron 表达式。如果您创建了“每 12 小时”的备份规则,但提供的开始时间晚于 11:59,则该规则每天只会运行一次。
支持夏令时的时区下的备份计划可能会受时间前移的影响。您可以切换到 UTC 或在时间前移的当天手动创建一份备份。有关更多信息,请参阅[日 EventBridge 程安排器上的夏令时](https://docs.aws.amazon.com/scheduler/latest/UserGuide/schedule-types.html#daylist-savings-time)。
连续备份和 point-in-time恢复 (PITR) 引用一段时间内记录的更改;因此,无法使用时间或 cron 表达式来安排这些更改。
通常, AWS 数据库服务无法在维护时段前 1 小时或维护时段内启动备份,Amazon FSx 也无法在维护时段或自动备份窗口前 4 小时或期间启动备份(Amazon Aurora 不受此维护时段限制的约束)。在这段时间内安排的快照备份将失败。当您选择使用 AWS Backup 对受支持的服务进行快照和连续备份时,会发生异常。 AWS Backup 将自动安排备份时段以避免冲突。有关支持的服务列表以及如何使用进行连续备份的说明 AWS Backup ,请参阅[Point-in-Time 恢](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)复。
### 重叠备份规则
有时,备份计划可能包含多个重叠的规则。当不同规则的起始窗口重叠时, AWS Backup 会根据保留期较长的规则保留备份。例如,假设有一个备份计划包含两条规则:
1. 每小时备份一次,起始时间为 1 小时,并保留 1 天。
1. 每 12 小时备份一次,起始时间为 8 小时,并保留 1 周。
24 小时后,第二条规则创建两个备份(因为它的保留期更长)。第一条规则创建八个备份(因为第二条规则的 8 小时启动时间使每小时备份无法运行)。具体来说:
| 在这个开始时间内 | 此规则创建 1 个备份 |
| --- | --- |
| 午夜至早上 8 点 | 12 小时 |
| 8 点到 9 点 | 每小时 |
| 9 点到 10 点 | 每小时 |
| 10 点到 11 点 | 每小时 |
| 11 点到中午 | 每小时 |
| 中午至晚上 8 点 | 12 小时 |
| 8 点到 9 点 | 每小时 |
| 9 点到 10 点 | 每小时 |
| 10 点到 11 点 | 每小时 |
| 11 点到午夜 | 每小时 |
在启动时段内,备份作业的状态将保持 `CREATED` 状态,直到成功启动或启动时段结束为止。如果在启动窗口内 AWS Backup 收到允许重试作业的错误消息, AWS Backup 则至少每 10 分钟自动重试一次以开始作业,直到备份成功开始(任务状态更改为`RUNNING`)或任务状态更改为`EXPIRED`(预计在启动窗口时间结束时发生)。
### 生命周期和存储层
备份将存储您指定的天数(即备份*生命周期*)。备份可以还原,直到其生命周期结束。
在 AWS Backup 控制台中备份规则配置的生命周期部分中,将其设置为**总保留**期。
如果您使用 AWS CLI,则使用参数进行设置[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)。快照的保留期可以介于 1 天到 100 年之间(如果不输入具体时间,则无限期),而连续备份的保留期可以从 1 天到 35 天不等。备份的创建日期是备份作业开始的日期,而不是完成的日期。如果您的备份作业未在开始日期的同一天完成,请使用开始日期来帮助计算保留期。
备份保存在存储层中。如 [AWS Backup 定价](https://aws.amazon.com/backup/pricing/)所述,每个层的存储和还原成本都不同。每个备份都已创建并存储在暖存储中。根据您选择的备份存储时间长短,您可能希望将备份转移到成本较低的层(名为“冷存储”)。[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)中显示了哪些资源具有此可选功能。
------
#### [ Console ]
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 创建或编辑备份计划。
1. 在备份规则配置的生命周期部分,选中**将备份从暖存储移至冷存储**框。
1. (*可选*)如果 Amazon EBS 是您备份的资源之一,并且您的备份频率为每月或更长时间一次,则可以使用 EBS 快照归档将其转移到冷层。
1. 输入您希望将备份保留在温存储空间中的值(以天为单位)。 AWS Backup 建议至少 8 天。
1. 输入总保留期的值(以天为单位)。总保留期和暖存储时间之间的差值将是备份在冷存储中保留的天数。
------
#### [ AWS CLI ]
1. 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) 或者 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。
1.
1. 包括 EBS 资源的布尔参数 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)。
1. 包括参数 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)。
1. 使用 `DeleteAfterDays` 参数。此值必须是 90(天)加上您输入的 `MoveToColdStorageAfterDays` 值。
------
冷存储目前可用于以下资源类型:
| 资源类型 | 冷存储中的增量备份或完整备份 |
| --- | --- |
| AWS CloudFormation | 增量 |
| DynamoDB,带高级特征 | 完整;任何层中都没有增量备份 |
| Amazon EBS(使用 EBS 快照归档) | 完整;转移后增量备份将变为完整备份。 |
| Amazon EFS | 增量 |
| Amazon EC2 实例上运行的 SAP HANA 数据库 | 增量 |
| Amazon Timestream | 增量 |
| VMware 虚拟机 | 增量 |
通过控制台或命令行启用向冷存储的转移后,以下条件对于冷存储(或归档)中的备份是成立的:
+ 过渡后的备份必须存储在冷库中至少 90 天,此外还必须存储在温存储空间中的时间。 AWS Backup 要求将保留期设置为 90 天,比 “几天后过渡到低温” 设置长 90 天。在备份转换为冷态后,您无法更改“转换为冷态前经过的天数”设置。
+ 一些服务支持增量备份。对于增量备份,必须至少有一个热完整备份。 AWS Backup 建议您将生命周期设置为在至少 8 天后才将备份移至冷存储。如果过早地将完整备份过渡到冷存储(例如,1 天后过渡到冷存储),则 AWS Backup 会创建另一个热完整备份。
+ 对于支持增量备份的资源类型,如果热备份不再引用 AWS Backup 过渡后的数据,则会将数据从温存储转换为冷存储。冷备份中保留的仅供其他冷备份引用的备份数据按冷存储层定价计费。其他备份则继续按暖存储层定价计费。
### 备份保管库
备份保管库是一个用来整理备份的容器。由备份规则创建的备份存储到您在备份规则中指定的备份保管库。您可以使用备份存储库来设置 AWS Key Management Service (AWS KMS) 加密密钥,该密钥用于加密备份库中的备份,并控制对备份库中备份的访问权限。您还可以向备份保管库添加标签来帮助组织备份保管库。如果您不想使用默认保管库,可以自行创建保管库。有关创建备份存储库的 step-by-step说明,请参阅[备份保管库创建和删除](create-a-vault.md)。
### 复制到区域
作为备份计划的一部分,您可以选择在相同或另一个版本中创建备份副本 AWS 区域。这些副本可以在同一个账户或其他账户中制作。有关备份副本的更多信息,请参阅[跨 AWS 区域创建备份副本](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)。
在定义备份副本时,您可以配置以下选项:
#### 目的地区域
备份副本的目的地区域。
#### (高级设置)备份保管库
副本的目的地备份保管库。
#### (高级设置)IAM 角色
创建副本时 AWS Backup 使用的 IAM 角色。该角色还必须 AWS Backup 列为可信实体,这样 AWS Backup 才能担任该角色。如果您选择 “**默认**”,但您的账户中没有 AWS Backup 默认角色,则会为您创建一个具有正确权限的角色。
#### (高级设置)生命周期
指定将备份副本转换到冷存储的时间以及副本的到期(删除)时间。过渡到冷存储的备份必须在冷库中存储至少 90 天。在副本转换为冷存储后,您无法更改此值。
**过期**指定副本在创建后多少天删除。这必须比**转换为冷存储**值多 90 天。
如果在复制设置中未指定 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle)(在控制台中显示为**过期**)的值,则复制操作将遵循从中复制的备份的生命周期设置。
### 添加到恢复点的标签
您在此处列出的标签,在创建备份时将自动添加到备份。
## 添加到备份计划的标签
这些标签与备份计划本身关联,帮助您组织和跟踪备份计划。
## 高级备份设置
高级备份设置允许您为不同的 AWS 服务配置特定于资源的备份选项。
### Amazon EC2 高级备份设置
为 Amazon EC2 实例上运行的第三方应用程序启用应用程序一致性备份。目前, AWS Backup 支持 Windows VSS 备份。 AWS Backup 从 Windows VSS 备份中排除特定的 Amazon EC2 实例类型。有关更多信息,请参阅 [创建 Windows VSS 备份](windows-backups.md)。
### Amazon S3 高级备份设置
AWS Backup 提供高级设置来控制您的 Amazon S3 备份中包含哪些元数据。您可以选择从备份中排除访问控制列表 (ACLs) 和对象标签,这符合 Amazon S3 使用存储桶级权限而不是对象级权限的最佳实践。 ACLs
有关为 ACLs 和对象标签配置 Amazon S3 备份选项的详细信息,请参阅[Amazon S3 高级备份设置](s3-backups.md#s3-advanced-backup-settings)。
**重要**
当您 ACLs 从备份中排除时,不使用备份还原的对象 ACLs 将使用目标存储桶的默认所有权设置。目标存储桶必须具有适当的对象所有权配置。
**注意**
如果 Amazon S3 存储桶正在运行连续备份作业,并且您启动了快照备份作业,那么无论为快照作业指定了什么设置,快照都将使用与连续备份相同的 ACL 和对象标签设置。
## 恶意软件扫描
AWS Backup 与 Amazon 集成 GuardDuty ,可对您的恢复点进行自动恶意软件扫描。当您在备份计划中启用恶意软件扫描时, AWS Backup 会自动扫描备份中是否存在恶意软件,并提供扫描结果,以帮助您就恢复数据做出明智的决定。
要为备份计划配置恶意软件扫描,请执行以下操作:
1. 创建信任`malware-protection.guardduty.amazonaws.com`并附加托 AWS 管策略的 IAM 角色`AWSBackupGuardDutyRolePolicyForScans`。
1. 将 AWS 托管策略附加`AWSBackupServiceRolePolicyForScans`到您的备份选择的 IAM 角色。
1. 在备份计划配置中,添加指定以下内容的扫描设置:
+ 扫描服务 (GuardDuty)
+ 要扫描的资源类型(亚马逊 EC2、亚马逊 EBS、亚马逊 S3)
+ 要担任的 IAM 角色 ARN GuardDuty
1. 在备份规则中配置扫描操作以指定:
+ 扫描服务 (GuardDuty)
+ 扫描类型(增量扫描或完整扫描)
有关托管策略的更多信息,请参阅[AWSBackupGuardDutyRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupGuardDutyRolePolicyForScans)和[AWSBackupServiceRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupServiceRolePolicyForScans)。