跨 建立備份複本 AWS 帳戶 - AWS Backup
設定跨帳戶備份排程跨帳戶備份執行隨需跨帳戶備份加密金鑰和跨帳戶複本將備份從備份還原 AWS 帳戶 到另一個備份與其他 AWS 帳戶共用備份保存庫將您的帳戶設定為目的地帳戶跨帳戶備份的安全考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨 建立備份複本 AWS 帳戶

使用 AWS Backup時,您可以 AWS 帳戶 隨需備份最多多個 ,或自動作為排程備份計畫的一部分。如果您想要基於操作或安全原因,將備份安全地複製到組織中的一個或多個備份 AWS 帳戶 ,請使用跨帳戶備份。如果不小心刪除您的原始備份,您可以將備份從其目的地帳戶複製到其來源帳戶,然後啟動還原。您必須在 AWS Organizations 服務中有兩個屬於同一組織的帳戶,才能執行這項操作。如需詳細資訊,請參閱《Organizations 使用指南》中的《教學課程:建立和設定組織》。

在您的目的地帳戶中,您必須建立備份保存庫。然後,您會指派客戶受管金鑰來加密目的地帳戶中的備份,以及資源型存取政策 AWS Backup ,以允許 存取您要複製的資源。在來源帳戶中,如果您的資源使用客戶自管金鑰加密,您必須與目的地帳戶共用此客戶自管金鑰。然後,您可以建立備份計畫,並選擇屬於 AWS Organizations中組織單位的目的地帳戶。

當您第一次將備份複製到跨帳戶時, 會完整 AWS Backup 複製備份。一般而言,如果服務支援增量備份,則相同帳戶中該備份的後續複本為增量。使用目的地保存庫的客戶受管金鑰 AWS Backup 重新加密您的複本。

要求

  • 在您管理 AWS 帳戶 中多個資源之前 AWS Backup,您的帳戶必須屬於 AWS Organizations 服務中的相同組織。

  • AWS Backup 大多數支援跨帳戶備份的資源。如需詳細規格,請參閱各資源的功能可用性

  • 大多數 AWS 區域支援跨帳戶備份。如需詳細規格,請參閱功能可用性 AWS 區域

  • AWS Backup 不支援跨帳戶複本,以用於冷層儲存。

設定跨帳戶備份

建立跨帳戶備份需要哪些項目?

  • 來源帳戶

    來源帳戶是生產 AWS 資源和主要備份所在的帳戶。

    來源帳戶使用者會起始跨帳戶備份操作。來源帳戶使用者或角色必須具有適當的API許可才能啟動操作。適當的許可可能是 AWS 受管政策 AWSBackupFullAccess,可完整存取 AWS Backup 操作,或客戶受管政策可允許 等動作ec2:ModifySnapshotAttribute。如需政策類型的詳細資訊,請參閱《AWS Backup 受管政策》。

  • 目的地帳戶

    目的地帳戶是您要保留備份複本的帳戶。您可以選擇多個目的地帳戶。目的地帳戶必須與 AWS Organizations中的來源帳戶位於同一組織。

    您必須「允許」目的地備份保存庫的存取政策 backup:CopyIntoBackupVault。如果沒有此政策,嘗試複製到目的地帳戶會遭到拒絕。

  • 中的管理帳戶 AWS Organizations

    管理帳戶是您組織中的主要帳戶 (由 AWS Organizations定義),可用來管理各 AWS 帳戶間的跨帳戶備份。若要使用跨帳戶備份,您也必須啟用服務信任。啟用服務信任之後,您可以使用組織中的任何帳戶作為目的地帳戶。從目的地帳戶,您可以選擇要用於跨帳戶備份的保存庫。

  • 在 AWS Backup 主控台中啟用跨帳戶備份

如需安全的資訊,請參閱《跨帳戶備份的安全考量》。

若要使用跨帳戶備份,您必須啟用跨帳戶備份功能。然後,您必須在目的地備份保存庫中「允許」存取政策 backup:CopyIntoBackupVault

啟用跨帳戶備份

  1. 使用您的 AWS Organizations 管理帳戶憑證登入。跨帳戶備份只能透過這些憑證啟用或停用。

  2. https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  3. 我的帳戶 中,選擇 設定

  4. 針對 跨帳戶備份,選擇 啟用

  5. 備份保存庫 中,選擇您的目的地保存庫。

    對於跨帳戶複製,來源保存庫和目的地保存庫位於不同的帳戶中。視需要切換至擁有目的地帳戶的帳戶。

  6. 存取政策 區段中,「允許」backup:CopyIntoBackupVault。例如,選擇 新增許可,然後選擇 允許從組織存取備份保存庫backup:CopyIntoBackupVault 將拒絕 以外的任何跨帳戶動作。

  7. 現在,您組織中的任何帳戶都可以與同一組織中的任何其他帳戶共用其備份保存庫的內容。如需詳細資訊,請參閱與其他 AWS 帳戶共用備份保存庫。若要限制哪些帳戶可以接收其他帳戶備份保存庫的內容,請參閱《將您的帳戶設定為目的地帳戶》。

排程跨帳戶備份

您可以使用排程備份計畫跨 AWS 帳戶複製備份。

使用排程備份計畫複製備份

  1. https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 我的帳戶 中,選擇 備份計畫,然後選擇 建立備份計畫

  3. 建立備份計畫 頁面上,選擇 建立新的計畫

  4. 針對 備份計畫名稱,輸入您的備份計畫名稱。

  5. 備份規則組態 區段中,新增定義備份排程、備份時段和生命週期規則的備份規則。您可以在稍後新增更多備份規則。

    針對 規則名稱,輸入您的規則名稱。

  6. 排程 區段的 頻率 下,選擇您要進行備份的頻率。

  7. 針對 備份時段,選擇 使用備份時段預設值 (建議)。您可以自訂備份時段。

  8. 針對 備份保存庫,從清單中選擇一個保存庫。此備份的復原點將會儲存在此保存庫中。您可以建立新的備份保存庫。

  9. 產生複本 - 選用 區段中,輸入下列值:

    目的地區域

    選擇備份複本 AWS 區域 的目的地。您的備份將會複製到此區域。您可以將每個副本的新副本規則新增至新的目的地。

    複製到其他帳戶的保存庫

    切換以選擇此選項。選取時,該選項會變成藍色。外部保存庫ARN選項將會出現。

    外部保存庫 ARN

    輸入目的地帳戶的 Amazon Resource Name (ARN)。ARN 是包含帳戶 ID 及其 的字串 AWS 區域。 AWS Backup 會將備份複製到目的地帳戶的保存庫。目的地區域清單會自動更新至外部保存庫 中的區域ARN。

    針對 允許存取備份保存庫,選擇 允許。然後在開啟的精靈中選擇 允許

    AWS Backup 需要存取外部 帳戶的許可,才能將備份複製到指定的值。此精靈會顯示以下提供此存取權限的範例政策。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    轉換至冷儲存

    選擇何時將備份副本轉換為冷儲存,以及何時到期 (刪除) 副本。轉移至冷儲存的備份必須在冷儲存中存放至少 90 天之久。在副本轉換至冷儲存後,您就無法變更此值。

    若要查看可轉換至冷儲存的資源清單,請參閱《各資源的功能可用性》表格的「生命週期至冷儲存」部分。會忽略其他資源的冷儲存運算式。

    Expire (到期) 指定在副本刪除建立後的天數。此值必須超過 Transition to cold storage (轉換至冷儲存) 值的 90 天。

    注意

    當備份過期且標示為刪除為生命週期政策的一部分時, 會在接下來 8 小時內在隨機選擇的時間點 AWS Backup 刪除備份。此時段有助於確保效能一致。

  10. 選擇 新增至復原點的標籤,將標籤新增至復原點。

  11. 針對進階備份設定 ,選擇 Windows VSS 以啟用在 上執行之所選第三方軟體的應用程式感知快照EC2。

  12. 選擇 建立計畫

執行隨需跨帳戶備份

您可以將備份複製到不同的 AWS 帳戶 隨需備份。

視需要複製備份

  1. https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 針對 我的帳戶,選擇 備份保存庫 以查看您所有列出的備份保存庫。您可以依備份保存庫名稱或標籤進行篩選。

  3. 選擇您要複製之備份的 復原點 ID

  4. 請選擇 Copy (複製)。

  5. 展開 備份詳細資訊 以查看您要複製之復原點的相關資訊。

  6. 複製組態 區段中,從 目的地區域 清單中選擇一個選項。

  7. 選擇 複製到其他帳戶的保存庫。選取時,該選項會變成藍色。

  8. 輸入目的地帳戶的 Amazon Resource Name (ARN)。ARN 是包含帳戶 ID 及其 的字串 AWS 區域。 AWS Backup 會將備份複製到目的地帳戶的保存庫。目的地區域清單會自動更新至外部保存庫 中的區域ARN。

  9. 針對 允許存取備份保存庫,選擇 允許。然後在開啟的精靈中選擇 允許

    若要建立複本, AWS Backup 需要存取來源帳戶的許可。此精靈會顯示提供此存取權限的範例政策。此政策如下所示。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. 針對 轉換至冷儲存,選擇何時將備份複本轉換至冷儲存,以及複本何時到期 (何時刪除複本)。轉移至冷儲存的備份必須在冷儲存中存放至少 90 天之久。在副本轉換至冷儲存後,您就無法變更此值。

    若要查看可轉換至冷儲存的資源清單,請參閱《各資源的功能可用性》表格的「生命週期至冷儲存」部分。會忽略其他資源的冷儲存運算式。

    Expire (到期) 指定在副本刪除建立後的天數。此值必須超過 Transition to cold storage (轉換至冷儲存) 值的 90 天。

  11. 對於IAM角色 ,指定具有許可讓備份可供複製IAM的角色 (例如預設角色)。複製動作是由目的地帳戶的服務連結角色執行。

  12. 請選擇 Copy (複製)。視您要複製的資源大小而定,此程序可能需要數小時才能完成。複製任務完成時,您會在 任務 選單的 複製任務 索引標籤中看到該複本。

加密金鑰和跨帳戶複本

跨帳戶複製加密金鑰取決於資源類型。完整 AWS Backup 管理 使用來源備份保存庫加密金鑰的資源。客戶受管KMS金鑰可用於這些資源類型的跨帳戶複製加密。

未完全由 管理的資源類型 AWS Backup 具有相同的來源KMS金鑰和資源KMS金鑰。未完全由 管理的這類資源不支援具有 AWS 受管KMS金鑰的跨帳戶複製 AWS Backup。

如需跨帳戶複製失敗疑難排解的其他說明,請參閱 AWS 知識中心

在跨帳戶複製期間,來源帳戶KMS金鑰政策必須允許KMS金鑰政策上的目的地帳戶。

將備份從備份還原 AWS 帳戶 到另一個備份

AWS Backup 不支援將資源從一個資源復原 AWS 帳戶 到另一個資源。不過,您可以將一個帳戶的備份複製到另一個帳戶,然後在該帳戶中還原備份。例如,您無法將帳戶 A 的備份還原至帳戶 B,但可以將帳戶 A 的備份複製到帳戶 B,然後在帳戶 B 中還原備份。

將一個帳戶的備份還原至另一個需要兩個步驟。

將一個帳戶的備份還原至另一個

  1. 將備份從來源複製到您要還原 AWS 帳戶 的帳戶。如需說明,請參閱《設定跨帳戶備份》。

  2. 使用適用於您資源的說明來還原備份。

與其他 AWS 帳戶共用備份保存庫

AWS Backup 可讓您與一或多個帳戶或 中的整個組織共用備份保存庫 AWS Organizations。您可以與來源 AWS 帳戶、使用者或IAM角色共用目的地備份保存庫。

共用目的地備份保存庫

  1. 選擇 AWS Backup,然後選擇 備份保存庫

  2. 選擇您要共用之備份保存庫的名稱。

  3. 存取政策 窗格中,選擇 新增許可 下拉式清單。

  4. 選擇 允許備份保存庫的帳戶層級存取權限。您也可以選擇允許組織層級或角色層級存取權限。

  5. 輸入您要與此目的地保存庫共用之帳戶的 帳戶 ID

  6. 選擇 儲存政策

您可以使用IAM政策來共用備份保存庫。

與 AWS 帳戶 或 IAM角色共用目的地備份保存庫

下列政策會與帳戶號碼 4444555566666 和帳戶號碼 SomeRole中IAM的角色共用備份保存庫111122223333

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
在 中共用組織單位的目的地備份保存庫 AWS Organizations

下列政策會使用組織單位的 PrincipalOrgPaths 與其共用備份保存庫。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
與 中的組織共用目的地備份保存庫 AWS Organizations

下列政策會與 PrincipalOrgID 為 "o-a1b2c3d4e5" 的組織共用備份保存庫。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

將您的帳戶設定為目的地帳戶

當您第一次使用 AWS Organizations 管理帳戶啟用跨帳戶備份時,成員帳戶的任何使用者都可以將其帳戶設定為目的地帳戶。建議您在 中 AWS Organizations 設定下列一或多個服務控制政策 (SCPs),以限制目的地帳戶。若要進一步了解如何將服務控制政策連接至 AWS Organizations 節點,請參閱連接和分離服務控制政策

使用標籤限制目的地帳戶

當連接至 AWS Organizations 根、OU 或個別帳戶時,此政策會將目的地從該根、OU 或帳戶複製到只有您標記 的備份保存庫的帳戶DestinationBackupVault。許可 "backup:CopyIntoBackupVault" 可控制備份保存庫的運作方式,以及在此情況下,哪些目的地備份保存庫有效。使用此政策,搭配套用至已核准目的地保存庫的對應標籤,即可控制跨帳戶複製的目的地,僅限於已核准的帳戶和備份保存庫。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
使用帳戶號碼和保存庫名稱限制目的地帳戶

當連接至 AWS Organizations 根帳戶、OU 或個別帳戶時,此政策會將源自該根帳戶、OU 或帳戶的複本限制為僅兩個目的地帳戶。許可 "backup:CopyFromBackupVault" 可控制備份保存庫中復原點的運作方式,以及在此情況下,該復原點可複製到的目的地。只有在一或多個目的地備份保存庫的名稱開頭為 cab- 時,來源保存庫才允許複製到第一個目的地帳戶 (112233445566)。只有在目的地是名為 fort-knox 的單一備份保存庫時,來源保存庫才允許複製到第二個目的地帳戶 (123456789012)。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
在 中使用組織單位限制目的地帳戶 AWS Organizations

連接至包含來源帳戶的 AWS Organizations 根或 OU 時,或連接至來源帳戶時,下列政策會將目的地帳戶限制在兩個指定 內的這些帳戶OUs。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

跨帳戶備份的安全考量

在 AWS Backup中執行跨帳戶備份時,請注意下列事項:

  • 目的地保存庫不能是預設保存庫。這是因為預設保存庫使用了無法與其他帳戶共用的金鑰加密。

  • 停用跨帳戶備份之後,跨帳戶備份最多仍可能執行 15 分鐘。這是由於最終一致性所致,即使在停用跨帳戶備份之後,也可能會導致某些跨帳戶任務正在啟動或完成。

  • 如果目的地帳戶稍後離開組織,該帳戶將保留備份。為了避免潛在的資料洩漏,請在連接至目的地帳戶的 服務控制政策 (SCP) 中,對organizations:LeaveOrganization許可提出拒絕許可。如需 的詳細資訊SCPs,請參閱 組織使用者指南 中的從您的組織移除成員帳戶

  • 如果您在跨帳戶複製期間刪除複製任務角色,則複製任務完成時, AWS Backup 無法從來源帳戶取消共用快照。在此情況下,備份任務會完成,但複製任務狀態會顯示為 無法取消共用快照