您可以使用 Amazon FSx 手动将同一 AWS 账户中的备份复制到另一个 AWS 区域(跨区域副本),也可以在同一 AWS 区域内复制(区域内副本)。您只能在同一个 AWS 分区内制作跨区域副本。您可以使用 Amazon FSx 控制台、AWS CLI 或 API 创建用户启动备份副本。创建用户启动备份副本时,其类型为 USER_INITIATED
。
您还可以使用 AWS Backup 跨 AWS 区域和跨 AWS 账户复制备份。AWS Backup 是一项完全托管的备份管理服务,为基于策略的备份计划提供了一个中央接口。借助跨账户管理,您可以自动使用备份策略跨组织内的账户应用备份计划。
跨区域备份副本对于跨区域灾难恢复特别有价值。您可以备份并将其复制到另一个 AWS 区域,这样在主 AWS 区域发生灾难时,您可以从备份中恢复并快速还原另一个 AWS 区域的可用性。您还可以使用备份副本,将文件数据集克隆到其他 AWS 区域或同一 AWS 区域内。您可以使用 Amazon FSx 控制台、AWS CLI 或 Amazon FSx for Lustre API 在同一个 AWS 账户(跨区域或区域内)内制作备份副本。您还可以使用 AWS Backup 按需或基于策略执行备份副本。
跨账户备份副本对于满足将备份复制到隔离账户的监管合规要求非常重要。它们还提供了额外的数据保护层,以帮助防止意外或恶意删除备份、凭证丢失或 AWS KMS 密钥泄露。跨账户备份支持扇入(将备份从多个主账户复制到一个隔离的备份副本账户)和扇出(将备份从一个主账户复制到多个隔离的备份副本账户)。
使用支持 AWS Organizations 的 AWS Backup 进行跨账户备份复制。跨账户副本的账户界限由 AWS Organizations 策略定义。有关使用 AWS Backup 进行跨账户备份复制的更多信息,请参阅《AWS Backup 开发者指南》中的跨 AWS 账户 创建备份副本。
备份副本限制
复制备份时,存在以下一些限制:
-
仅支持任意两个商业 AWS 区域 之间、中国(北京)和中国(宁夏)区域之间,以及 AWS GovCloud(美国东部)和 AWS GovCloud(美国西部)区域之间的跨区域备份副本,但不支持跨这两组区域。
-
选择加入区域不支持跨区域备份副本。
-
您可以在任何 AWS 区域内进行区域内备份。
-
源备份的状态必须为
AVAILABLE
,然后才能进行复制。 -
如果源备份正在复制,则无法将其删除。在目标备份变为可用和允许删除源备份之间可能会有短暂的延迟。如果您重试删除源备份,则应注意这种延迟。
-
对于每个账户的单个目标 AWS 区域,最多可以进行五个备份复制请求。
跨区域备份副本的权限
您可以使用 IAM policy 声明来授予执行备份复制操作的权限。要与源 AWS 区域通信以请求跨区域备份复制,请求者(IAM 角色或 IAM 用户)必须有权访问源备份和源 AWS 区域。
您可以使用该策略授予 CopyBackup
备份复制操作权限。您可以在策略的 Action
字段中指定该操作,并在策略的 Resource
字段中指定资源值,如下面的示例所示。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "fsx:CopyBackup",
"Resource": "arn:aws:fsx:*:111122223333:backup/*"
}
]
}
有关 IAM policy 的更多信息,请参阅《IAM 用户指南》中的 IAM 中的策略与权限。
完整和增量拷贝
在向与源备份不同的 AWS 区域 复制备份时,第一个副本是完整备份副本。第一次复制备份后,同一 AWS 账户中同一目标区域的所有后续备份副本均为增量备份,前提是您尚未删除该区域中所有先前复制的备份并且一直在使用相同的 AWS KMS 密钥。如果两个条件都不满足,则复制操作会生成完整(非增量)备份副本。