本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 還原 Amazon EC2 執行個體
<a name="restoring-ec2"></a>

當您還原 EC2 執行個體時， 會 AWS Backup 建立 Amazon Machine Image (AMI)、執行個體、Amazon EBS 根磁碟區、Amazon EBS 資料磁碟區 （如果受保護的資源具有資料磁碟區） 和 Amazon EBS 快照。您可以使用 AWS Backup 主控台自訂一些執行個體設定，或使用 AWS CLI 或 AWS SDK 自訂更多數量的設定。

下列考量適用於還原 EC2 執行個體：
+ AWS Backup 會將還原的執行個體設定為使用與原始受保護資源相同的金鑰對。您無法在還原程序期間為還原的執行個體指定不同的金鑰對。
+ AWS Backup 不會備份和還原啟動 Amazon EC2 執行個體時所使用的使用者資料。
+ 設定還原的執行個體時，您可以選擇使用與原始受保護資源相同的執行個體描述檔，或在沒有執行個體描述檔的情況下啟動。這是為了防止權限提升的可能性。您可以使用 Amazon EC2 主控台更新還原執行個體的執行個體描述檔。

  如果您使用原始執行個體描述檔，則必須授予 AWS Backup 下列許可，其中資源 ARN 是與執行個體描述檔相關聯之 IAM 角色的 ARN。

  ```
  {
        "Effect": "Allow",
        "Action": "iam:PassRole",
        "Resource": "arn:aws:iam::account-id:role/role-name"
  },
  ```

  將 *role-name* 取代為將連接至還原之 EC2 執行個體的 EC2 執行個體描述檔角色名稱。這不是 AWS Backup 服務角色，而是為在 EC2 執行個體上執行的應用程式提供許可的 IAM 角色。
+ 在還原期間，適用所有 Amazon EC2 配額和組態限制。
+ 如果包含 Amazon EC2 復原點的保存庫有保存庫鎖定，請參閱 [其他安全考慮事項](vault-lock.md#using-vault-lock-with-backup) 以取得詳細資訊。

## 使用 AWS Backup 主控台還原 Amazon EC2 復原點
<a name="restoring-ec2-console"></a>

您可以從單一復原點還原整個 Amazon EC2 執行個體，包括根磁碟區、資料磁碟區和一些執行個體組態設定，例如執行個體類型和金鑰對。

**使用 AWS Backup 主控台還原 Amazon EC2 資源**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇**受保護的資源**，然後選擇 Amazon EC2 資源的 ID 以開啟資源詳細資訊頁面。

1. 在**復原點**窗格中，選擇要還原之復原點 ID 旁的選項按鈕。在窗格右上角，選擇 **Restore (還原)**。

1. 在**網路設定**窗格中，我們使用受保護執行個體的設定來選取執行個體類型、VPC、子網路、安全群組和執行個體 IAM 角色的預設值。您可以使用這些預設值，或視需要進行變更。

1. 在**還原角色**窗格中，使用**預設角色**或使用**選擇 IAM 角色**來指定授予還原備份 AWS Backup 許可的 IAM 角色。

1. 在**受保護的資源標籤**窗格中，我們預設會選取**將標籤從受保護的資源複製到還原的資源**。如果您不想複製這些標籤，請清除核取方塊。

1. 在**進階設定**窗格中，接受執行個體設定的預設值，或視需要進行變更。如需這些設定的資訊，請選擇設定**的資訊**以開啟其說明窗格。

1. 當您完成設定執行個體時，請選擇**還原備份**。

## 使用 還原 Amazon EC2 AWS CLI
<a name="restoring-ec2-cli"></a>

在命令列界面中， [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html)可讓您還原最多 32 個參數 （包括一些無法透過 AWS Backup 主控台自訂的參數）。

以下清單為您可以傳遞以還原 Amazon EC2 復原點的已接受中繼資料。

```
InstanceType
KeyName
SubnetId
Architecture
EnaSupport
SecurityGroupIds
IamInstanceProfileName
CpuOptions
InstanceInitiatedShutdownBehavior
HibernationOptions
DisableApiTermination
CreditSpecification
Placement
RootDeviceType
RamdiskId
KernelId
UserData
Monitoring
NetworkInterfaces
ElasticGpuSpecification
CapacityReservationSpecification
InstanceMarketOptions
LicenseSpecifications
EbsOptimized
VirtualizationType
Platform
RequireIMDSv2
BlockDeviceMappings
aws:backup:request-id
```

AWS Backup 接受下列僅限資訊的屬性。但是，包括這些屬性不會影響還原：

```
vpcId
```

[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ami-block-device-mapping.html#create-ami-bdm](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ami-block-device-mapping.html#create-ami-bdm) 是您可以包含的選用參數。 AWS Backup 支援下列`BlockDeviceMappings`屬性。

**注意**  
不支援 `SnapshotId` 和 `OutpostArn`。

```
{
  "BlockDeviceMappings": [
    {
        "DeviceName" : string,
        "NoDevice" : string,
        "VirtualName" : string,
        "Ebs": {
            "DeleteOnTermination": boolean,
            "Iops": number,
            "VolumeSize": number,
            "VolumeType": string,
            "Throughput": number,
            "Encrypted": boolean,
            "KmsKeyId": string
        }
    }
 }
```

例如：

```
{
  "BlockDeviceMappings": [
    {
      "DeviceName": "/def/tuvw",
      "Ebs": {
        "DeleteOnTermination": true,
        "Iops": 3000,
        "VolumeSize": 16,
        "VolumeType": "gp3",
        "Throughput": 125,
        "Encrypted": true,
        "KmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/ab3cde45-67f8-9g01-hi2j-3456klmno7p8"
      }
    },
    {
      "DeviceName": "/abc/xyz",
      "Ebs": {
        "DeleteOnTermination": false,
        "Iops": 3000,
        "VolumeSize": 16,
        "VolumeType": "gp3",
        "Throughput": 125,
        "Encrypted": false
      }
    }
  ]
}
```

您也可以還原 Amazon EC2 執行個體，而不包含任何儲存的參數。此選項可在 AWS Backup 主控台的**受保護資源**索引標籤上使用。

**重要**  
如果您未在從跨帳戶或跨區域備份還原`BlockDeviceMappings`時覆寫 中的 AWS KMS 金鑰，則還原可能會失敗。如需詳細資訊，請參閱[對 Amazon EC2 執行個體還原問題進行故障診斷](#restoring-ec2-troubleshooting)。

## 對 Amazon EC2 執行個體還原問題進行故障診斷
<a name="restoring-ec2-troubleshooting"></a>

**Topics**
+ [跨帳戶還原失敗](#cross-account-kms-issue)
+ [跨區域還原失敗](#cross-region-kms-issue)

### 跨帳戶還原失敗
<a name="cross-account-kms-issue"></a>

**描述：**嘗試從與您帳戶共用的備份還原時，Amazon EC2 執行個體還原失敗。

**可能的問題：**您的帳戶可能無法存取用於加密共用帳戶中來源磁碟區的 AWS KMS 金鑰。KMS 金鑰可能無法與您的帳戶共用。

或者，連接至來源執行個體的磁碟區不會加密。

**解決方案：**若要解決此問題，請將 `encrypted` 屬性設定為 `true`，然後執行下列其中一項操作：
+ 覆寫 中的 KMS 金鑰，`BlockDeviceMappings`並指定您在帳戶中擁有的 KMS 金鑰。
+ 請求擁有的帳戶，透過更新 KMS 金鑰政策，授予您用於加密磁碟區的 KMS 金鑰存取權。如需詳細資訊，請參閱[允許其他帳戶中的使用者使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。

### 跨區域還原失敗
<a name="cross-region-kms-issue"></a>

**描述：**嘗試從跨區域備份還原時，Amazon EC2 執行個體還原失敗。

**問題：**備份中的磁碟區可能會使用目的地區域中無法使用的單一區域 AWS KMS 金鑰加密。或者，連接至來源執行個體的磁碟區不會加密。

**解決方案：**若要解決此問題，請將 `encrypted` 屬性設定為 `true`，並使用目的地區域中`BlockDeviceMappings`的 KMS 金鑰覆寫 中的 KMS 金鑰。