创建备份副本跨Amazon账户 - AWS Backup
设置跨账户备份调度跨账户备份执行按需跨账户备份从一个恢复备份Amazon帐户到另一个将备份保管库与其他Amazon账户将您的帐户配置为目标帐户跨账户备份的安全考虑
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建备份副本跨Amazon账户

使用 AWS Backup,您可以备份到多个Amazon帐户,也可以将其作为定期备份计划的一部分自动提供。如果您希望将备份安全地复制到一个或多个Amazon帐户出于操作或安全原因。如果无意中删除了原始备份,则可以将备份从其目标帐户复制到其源帐户,然后开始还原。在执行此操作之前,您必须有两个属于同一组织的帐户Amazon Organizations服务。有关更多信息,请参阅 。教程:创建和配置组织中的Organizations 用户指南

在您的目标帐户中,您必须创建备份保管库。然后,您分配一个客户托管密钥以加密目标账户中的备份,并分配一个基于资源的访问策略,以允许 AWS Backup 访问您想要复制的资源。在源帐户中,如果您的资源使用客户管理的密钥加密,则必须与目标帐户共享此客户管理密钥。然后,您可以创建备份计划并选择作为组织单位一部分的目标帐户Amazon Organizations。

您可以使用 AWS Backup 复制所有受支持资源的备份,但须遵守以下限制:

  • DynamoDB 不支持跨区域备份。

  • 对于除 Amazon EFS 之外的所有服务,跨账户备份仅支持客户管理的密钥。它不支持使用Amazon密钥(包括默认文件库),因为Amazon密钥不打算在帐户之间共享。

    您必须使用默认文件库以外的文件库来执行跨账户备份。

    对于 Amazon EFS,您可以使用任何 Amazon EFS 备份文件库执行跨账户备份,因为 AWS Backup 独立管理每个 Amazon EFS 备份文件库的加密。

  • Amazon RDS 和 Aurora 支持跨区域备份或跨账户备份,但不支持同一备份计划中的两者。您可以使用Amazon Lambda脚本来完成这两个操作。此外,将 Amazon RDS 自定义选项组复制到Amazon不支持区域。

  • Amazon EC2 不允许跨账户复制AmazonMarketplace AMI。有关更多信息,请参阅 。复制 AMI中的Amazon EC2 用户指南

跨区域备份在所有AmazonAWS Backup 中可用的区域,但以下区域除外:中国区、亚太地区(香港)、中东(巴林)、欧洲(米兰)、非洲(开普敦)和亚太地区(东京)。

设置跨账户备份

创建跨账户备份需要做什么?

  • 源帐户

    源帐户是您生产的帐户Amazon资源和主备份。

    源帐户用户启动跨账户备份操作。源账户用户或角色必须具有相应的 API 权限才能启动操作。适当的权限可能是Amazon管理的策略AWSBackupFullAccess,这使您能够完全访问AmazonBackup 操作或客户管理的策略(如ec2:ModifySnapshotAttribute。有关两种策略类型的详细信息,请参阅AWS Backup 托管策略

  • 目标帐户

    目标帐户是您希望保留备份副本的帐户。可以选择多个目标账户。目标帐户必须位于与源帐户相同的组织中。Amazon Organizations。

    您必须 “允许” 访问策略backup:CopyIntoBackupVault对于目标备份文件库。如果没有此策略,则会拒绝复制到目标帐户的尝试。

  • 中的管理帐户 Amazon Organizations

    管理帐户是组织中的主要帐户,如Amazon Organizations,您可以使用它来管理跨账户备份Amazon账户。您还需要启用服务信任才能使用跨账户备份。启用服务信任后,您可以将组织中的任何帐户用作目标帐户。从您的目标帐户中,您可以选择要用于跨账户备份的文件库。

  • 在 AWS Backup 控制台中启用跨账户备份

有关安全性的信息,请参阅跨账户备份的安全考虑

要使用跨账户备份,您必须启用跨账户备份功能。然后,您必须 “允许” 访问策略backup:CopyIntoBackupVault存储到目标备份文件库。

启用跨账户备份

  1. 登录Amazon使用Amazon Organizations管理帐户凭证。只能使用这些凭据启用或禁用跨账户备份。

  2. 打开 AWS Backup 控制台https://console.aws.amazon.com/backup

  3. In我的帐户中,选择设置

  4. 适用于跨账户备份中,选择Enable (启用 Gem)

  5. In备份文件库下,选择您的目的地保管库。

  6. 访问策略部分,“允许”backup:CopyIntoBackupVault。在示例中,选择添加权限然后允许组织访问 Backup 保管库

  7. 现在,组织中的任何帐户都可以与组织中的任何其他帐户共享其备份保管库的内容。有关更多信息,请参阅 将备份保管库与其他Amazon账户。要限制哪些帐户可以接收其他帐户的备份保管库的内容,请参阅将您的帐户配置为目标帐户

调度跨账户备份

您可以使用定时备份计划跨Amazon账户。

使用定时备份计划复制备份

  1. 打开 AWS Backup 控制台https://console.aws.amazon.com/backup

  2. In我的帐户中,选择备份计划,然后选择创建 Backup 计划

  3. 在存储库的创建 Backup 计划页面上,选择构建新计划

  4. 适用于Backup 计划名称中,输入备份计划的名称。

  5. Backup 规则配置部分中,添加定义备份计划、备份时段和生命周期规则的备份规则。您可以在稍后添加更多备份规则。

    适用于规则名称下,输入规则的名称。

  6. Schedule位置在下部分Frequency中,选择您希望备份的频率。

  7. 适用于备份时段中,选择使用备份时段默认值(建议). 您可以自定义备份时段。

  8. 适用于备份文件库下,从列表中选择一个文件库。此备份的恢复点将保存在此保管库中。您可以创建新的备份文件库。

  9. 生成副本-可选部分中,输入以下值:

    目标区域

    选择目标Amazon备份副本的区域。您的备份将被复制到此区域。对于每个副本,您可以将新的复制规则添加到新的目标。

    注意

    将亚马逊动态数据库表复制到Amazon不支持区域。

    复制到另一个账户的保管库

    切换以选择此选项。选中时,该选项将变为蓝色。这些区域有:外部文件库 ARN选项。

    外部文件库 ARN

    输入目标账户的 Amazon 资源名称 (ARN)。ARN 是一个字符串,其中包含帐户 ID 及其Amazon区域。AWS Backup 会将备份复制到目标账户的文件库。这些区域有:目标区域列表会自动更新到外部文件库 ARN 中的区域。

    适用于允许 Backup 文件库访问中,选择Allow。然后选择 。Allow在打开的向导中。

    AWS Backup 需要访问外部账户的权限才能将备份复制到指定值。向导显示了提供此访问权限的以下示例策略。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    (高级设置)过渡到冷存储(仅适用于 EFS)

    为 EFS 文件系统选择所需的选项。

    选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    目前,只有 Amazon EFS 文件系统备份可以转换为冷存储。亚马逊弹性块存储 (Amazon EBS)、Amazon Relational Database Service (Amazon RDS)、Amazon Aurora、亚 Amazon DynamoDB 和Amazon Storage Gateway。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

    注意

    当备份过期并被标记为删除作为生命周期策略的一部分时,AWS Backup 会在随机选择的时间点上删除备份。此窗口有助于确保一致的性能。

  10. 选择添加到恢复点的标签将标签添加到恢复点。

  11. 适用于高级备份设置中,选择Windows VSS为在 EC2 上运行的选定第三方软件启用应用程序感知快照。

  12. 选择创建计划

执行按需跨账户备份

您可以将备份复制到其他Amazon帐户。

按需复制备份

  1. 打开 AWS Backup 控制台https://console.aws.amazon.com/backup

  2. 适用于我的帐户中,选择备份文件库以查看列出的所有备份保管库。您可以按备份保管库名称或标签进行筛选。

  3. 选择恢复点 ID的备份。

  4. 选择 Copy (复制)

  5. ExpandBackup 详细信息以查看有关要复制的恢复点的信息。

  6. 复制配置部分中,从目标区域列表。

  7. 选择复制到另一个账户的保管库。选中时,该选项将变为蓝色。

  8. 输入目标账户的 Amazon 资源名称 (ARN)。ARN 是一个字符串,其中包含帐户 ID 及其Amazon区域。AWS Backup 会将备份复制到目标账户的文件库。这些区域有:目标区域列表会自动更新到外部文件库 ARN 中的区域。

  9. 适用于允许 Backup 文件库访问中,选择Allow。然后选择 。Allow在打开的向导中。

    AWS Backup 需要访问外部(源)账户的权限。向导显示了提供此访问权限的示例策略。下面显示了此策略。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. (仅限亚马逊 EFS)用于过渡到冷藏中,为 EFS 文件系统选择所需的选项。

    选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    目前,只有 Amazon EFS 文件系统备份可以转换为冷存储。Amazon EBS、Amazon RDS、Amazon Aurora、Amazon Aurora、Amazon DynamoDB 和Amazon Storage Gateway。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

    注意

    当备份过期并被标记为删除作为生命周期策略的一部分时,AWS Backup 会在随机选择的时间点上删除备份。此窗口有助于确保一致的性能。

  11. 适用于IAM 角色中,指定具有使备份可用于复制的权限的 IAM 角色(如默认角色)。复制操作由目标帐户的服务链接角色执行。

  12. 选择 Copy (复制)。根据要复制的资源大小,此过程可能需要几个小时才能完成。复制作业完成后,您将在复制作业选项卡中的作业菜单上的。

从一个恢复备份Amazon帐户到另一个

AWS Backup 不支持从一个Amazon帐户到另一个帐户。但是,您可以将备份从一个帐户复制到另一个帐户,然后在该帐户中还原备份。例如,您无法将备份从帐户 A 还原到帐户 B,但可以将备份从帐户 A 复制到帐户 B,然后在帐户 B 中还原备份。

将备份从一个账户还原到另一个账户是一个分为两个步骤的过程。

将备份从一个帐户还原到另一个帐户

  1. 从源中复制备份Amazon帐户添加到要恢复到的帐户。有关说明,请参阅创建备份副本跨Amazon账户

  2. 遵循适用于资源的说明来还原备份。

将备份保管库与其他Amazon账户

AWS Backup 允许您与一个或多个账户或您的整个组织共享备份文件库Amazon Organizations。您可以与源共享目标备份保管库Amazon账户、用户或 IAM 角色。

共享目标 Backup 保管库

  1. 选择AWS Backup,然后选择备份文件库

  2. 选择要共享的备份文件库的名称。

  3. 访问策略窗格中,选择添加权限下拉菜单。

  4. 选择允许帐户级别访问 Backup 保管库。或者,您可以选择允许组织级别或角色级别访问。

  5. 输入AccountID您要与此目标 Backup 保管库共享的帐户。

  6. 选择保存策略

您可以使用 IAM 策略共享备份文件库。

共享目标备份保管库与Amazon账户或 IAM 角色

以下策略与帐户号码共享备份保管库4444555566666和 IAM 角色SomeRole在账号111122223333

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}

将目标备份保管库共享到Amazon Organizations

以下策略与组织单位共享备份保管库,使用PrincipalOrgPaths

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

将目标备份保管库与Amazon Organizations

以下策略与组织共享备份保管库与PrincipalOrgID “一体化一体化”。 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

将您的帐户配置为目标帐户

当您首次启用跨账户备份时,使用Amazon Organizations管理帐户,则成员帐户的任何用户都可以将其帐户配置为目标帐户。我们建议在Amazon Organizations来限制您的目的地帐户。

使用标签限制目标帐户

以下策略将目标帐户限制为带有备份电子仓库标记的帐户DestinationBackupVault

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}

使用帐号和文件库名称限制目标帐户

以下策略将目标帐户仅限于两个帐户。第一个目标帐户是帐户112233445566替换为备份文件库名称前缀cab。第二个目标帐户是帐户123456789012在Amazon区域 us-west-1,备份文件库名为fort-knox

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}

使用Amazon Organizations

以下策略将目标帐户限制为某些组织单位内的帐户。您必须将此策略附加到Amazon Organizations节点,其中包含您的源帐户。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

跨账户备份的安全考虑

在 AWS Backup 中使用跨账户备份时,请注意以下事项:

  • 目标电子仓库不能作为默认电子仓库。这是因为默认文件库是使用不能与其他帐户共享的密钥进行加密的。

  • 在禁用跨账户备份后,跨账户备份可能仍然运行 15 分钟。这是由于最终的一致性,甚至在禁用跨账户备份之后,可能会导致某些跨账户作业启动或完成。

  • 如果目标帐户稍后离开组织,则该帐户将保留备份。为了避免潜在的数据泄漏,请在organizations:LeaveOrganization权限中附加到目标帐户的服务控制策略 (SCP)。有关 SCP 的详细信息,请参阅从组织中删除成员账户中的Organizations 用户指南

  • 如果您在跨账户复制期间删除了复制作业角色,则在复制任务完成时,AWS Backup 无法从源账户中取消共享快照。在这种情况下,备份作业将完成,但复制作业状态显示为无法取消共享快照