使用 AWS Backup 还原 S3 数据 - AWS Backup
还原权限还原注意事项使用 AWS Backup 控制台还原 Amazon S3 恢复点使用 AWS Backup API、CLI 或 SDK 还原 Amazon S3 恢复点恢复点状态

使用 AWS Backup 还原 S3 数据

您可以将使用 AWS Backup 备份的 S3 数据还原到 S3 Standard 存储类。您可以还原存储桶中的所有对象或特定对象。您可以将它们还原到现有存储桶或新存储桶。

Amazon S3 还原权限

开始还原资源之前,请确保您使用的角色具有足够的权限。

有关更多信息,请参阅以下关于策略的条目:

  1. AWSBackupServiceRolePolicyForS3Restore

  2. AWSBackupServiceRolePolicyForRestores

  3. AWS Backup 的托管策略

Amazon S3 还原注意事项

  • 虽然 AWS Backup 创建所有 S3 版本的备份,但在任何时候都只能从版本堆栈中还原最新版本。

  • 必须在目的地存储桶中启用访问控制列表(ACL),否则作业将失败。要启用 ACL,请按照配置 ACL 中的说明进行操作。

  • 如果在目的地存储桶上启用了“阻止公有访问”,则还原作业将成功完成,但不会还原具有公有 ACL 的对象。

  • 如果源存储桶的对象名称或版本 ID 相同,则会跳过对象的还原。

  • 如果还原特定对象,则可以还原对象的当前版本。

  • 还原到原始 S3 存储桶时,

    • AWS Backup 不执行破坏性还原,这意味着无论版本如何,AWS Backup 都不会在存储桶中放入一个对象来代替已存在的对象。

    • 当前版本中的删除标记被视为不存在的对象,因此可以进行还原。

    • AWS Backup 在还原期间不会从存储桶中删除不带删除标记的对象(例如:存储桶中当前存在而备份期间不存在的密钥将保留)。

  • 还原跨区域副本

    • 虽然 S3 备份可以跨区域复制,但还原作业只能在原始备份或副本所在的同一区域进行。

      示例:在美国东部(弗吉尼亚州北部)区域创建的 S3 存储桶可以复制到加拿大(中部)区域。还原作业可以使用美国东部(弗吉尼亚州北部)区域的原始存储桶启动并还原到该区域,也可以使用加拿大(中部)区域的副本启动并还原到该区域。

    • 原始加密方法不能用于还原从其他区域复制的恢复点(备份)。跨区域副本 AWS KMS 加密不适用于 Amazon S3 资源;对还原作业改用不同的加密类型。

使用 AWS Backup 控制台还原 Amazon S3 恢复点

使用 AWS Backup 控制台还原 Amazon S3 数据

  1. 打开 AWS Backup 控制台,网址为:https://console.aws.amazon.com/backup

  2. 在导航窗格中,选择受保护的资源,然后选择要还原的 Amazon S3 资源 ID。

  3. 资源详细信息页面上,将显示所选资源 ID 的恢复点列表。要还原资源,请执行以下操作:

    1. 备份窗格中,选择资源的恢复点 ID。

    2. 在窗格的右上角,选择还原

      (或者,您可以前往备份保管库,找到恢复点,单击操作,然后单击还原。)

  4. 如果要还原的是连续备份,请在还原时间窗格中选择以下任一选项:

    1. 接受默认值以还原到最近可还原时间

    2. 指定要还原的日期和时间

  5. 设置窗格中,指定是还原整个存储桶还是执行项目级还原

    1. 如果选择项目级还原,则通过指定每个项目的 S3 URI 唯一地标识该对象,每个还原作业最多可以还原 5 个项目(存储桶中的对象或文件夹)。

      (有关 S3 存储桶 URI 的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的访问存储桶的方法。)

    2. 选择添加项目可指定要还原的其他项目。

  6. 选择您的还原目的地。您可以还原到源存储桶使用现有存储桶创建新的存储桶

    注意

    您的还原目的地存储桶必须开启版本控制。如果您选择的存储桶不符合此要求,则 AWS Backup 会向您发出通知。

    1. 如果您选择使用现有存储桶,请从显示当前 AWS 区域内所有现有存储桶的菜单中选择目的地 S3 存储桶。

    2. 如果您选择创建新的存储桶,请键入新存储桶名称。创建存储桶后,您可以修改 BPA(阻止公有访问)和 S3 版本控制默认设置。

  7. 要对 S3 存储桶中的对象进行加密,可以选择已还原对象加密。使用原始加密密钥(默认)、Amazon S3 密钥 (SSE-S3)AWS Key Management Service 秘钥 (SSE-KMS)

    这些设置仅适用于 S3 存储桶中对象的加密。这不会影响存储桶本身的加密。

    1. 使用原始加密密钥(默认)使用源对象所用的相同加密密钥来还原对象。如果源对象未加密,此方法会在不加密的情况下还原该对象。

      如果原始密钥不可用,此还原选项允许您选择替代加密密钥来加密还原对象。

    2. 如果您选择 Amazon S3 秘钥 (SSE-S3),则无需指定任何其他选项。

    3. 如果您选择 AWS Key Management Service 密钥 (SSE-KMS),则可以做出以下选择:AWS 托管式密钥 (aws/s3)从 AWS KMS 密钥中进行选择或输入 AWS KMS 密钥 ARN

      1. 如果您选择 AWS 托管式密钥 (aws/s3),则无需指定任何其他选项。

      2. 如果您选择从 AWS KMS 密钥中进行选择,请从下拉菜单中选择一个 AWS KMS 密钥。或者,选择创建密钥

      3. 如果您输入 AWS KMS 密钥 ARN,请在文本框中键入 ARN。或者,选择创建密钥

  8. 还原角色窗格中,选择 AWS Backup 将为此还原担任的 IAM 角色。

  9. 选择还原备份。这将显示还原作业窗格。页面顶部的消息提供了有关还原作业的信息。

使用 AWS Backup API、CLI 或 SDK 还原 Amazon S3 恢复点

使用 StartRestoreJob。在 Amazon S3 还原期间,您可以指定以下元数据:

// Mandatory metadata:
DestinationBucketName // The destination bucket for your restore.
ItemsToRestore // A list of up to five paths of individual objects to restore. Only required for item-level restore.
NewBucket // Boolean to indicate whether to create a new bucket.
Encrypted // Boolean to indicate whether to encrypt the restored data.
CreationToken // An idempotency token.
EncryptionType // The type of encryption to encrypt your restored objects. Options are original (same encryption as the original object), SSE-S3, or SSE-KMS).
RestoreTime // The restore time (only valid for continuous recovery points where it is required, in format 2021-11-27T03:30:27Z).
        
// Optional metadata:
KMSKey // Specifies the SSE-KMS key to use. Only needed if encryption is SSE-KMS.
aws:backup:request-id

恢复点状态

恢复点的状态将显示其所处的状态。

PARTIAL 状态表示 AWS Backup 在备份时段结束之前无法创建恢复点。要使用 API 延长备份计划时段,请参阅 UpdateBackupPlan。您还可以使用控制台,通过选择和编辑备份计划来延长备份计划时段。

EXPIRED 状态表示恢复点已超过其保留期,但 AWS Backup 缺少权限或无法将其删除。要手动删除这些恢复点,请参阅入门章节清理资源部分中的步骤 3:删除恢复点

当用户执行某些操作导致连续备份被禁用时,连续备份中会出现 STOPPED 状态。这可能是由于删除权限、关闭版本控制、关闭发送到 Amazon EventBridge 的事件或禁用 AWS Backup 设置的 EventBridge 规则造成的。

要解决 STOPPED 状态问题,请确保请求的所有权限均已准备就绪,并且已在 S3 存储桶上启用版本控制。满足这些条件后,下一个运行的备份规则实例将导致创建新的连续恢复点。不需要删除处于 STOPPED 状态的恢复点。