跨创建备份副本Amazon账户 - Amazon Backup
设置跨账户备份计划跨账户备份执行按需跨账户备份从一个恢复备份Amazon Web Services 账户到另一个与不同的存储库共享备份保管库Amazon账户将账户配置为目标账户跨账户备份的安全考虑
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨创建备份副本Amazon账户

使用Amazon Backup,你可以备份多个Amazon Web Services 账户按需或自动将此作为定期备份计划的一部分自动执行。如果要将备份安全地复制到一个或多个,请使用跨账户备份Amazon Web Services 账户出于运营或安全原因,在您的组织中。如果原始备份被无意中删除,则可以将备份从目标帐户复制到其源帐户,然后开始还原。在执行此操作之前,您必须拥有两个属于同一组织的帐户Amazon Organizations服务。有关更多信息,请参阅 。教程:创建和配置组织中的Organizations 用户指南.

在目标账户中,您必须创建备份保管库。然后,您分配客户托管密钥以加密目标账户中的备份,并分配一个基于资源的访问策略以允许Amazon Backup以访问要复制的资源。在源帐户中,如果您的资源使用客户管理的密钥加密,则必须与目标帐户共享此客户管理的密钥。然后,您可以创建备份计划并选择作为组织单位一部分的目标帐户Amazon Organizations.

您可以使用Amazon Backup复制所有受支持资源的备份,但须遵守以下限制:

  • DynamoDB 不支持跨账户备份。

  • 对于除 Amazon EFS 之外的所有服务,跨账户备份仅支持客户管理的密钥。它不支持使用加密的文件库Amazon密钥,包括默认保管库,因为Amazon密钥不打算在账户之间共享。

    您必须使用默认文件库以外的其他文件库才能执行跨账户备份。

    对于 Amazon EFS,您可以使用任何 Amazon EFS 备份库执行跨账户备份,因为Amazon Backup独立管理每个 Amazon EFS 备份保管库的加密。

  • Amazon RDS 和 Aurora 支持跨区域备份或跨账户备份,但在同一备份计划中并不支持两者。您可以使用Amazon Lambda脚本来完成两者。此外,复制 Amazon RDS 自定义选项组Amazon Web Services 区域不支持 。

  • Amazon EC2 不允许跨账户副本Amazon Web Services MarketplaceAMI。有关更多信息,请参阅 。复制 AMI中的Amazon EC2 用户指南.

所有区域备份均可用Amazon Web Services 区域其中Amazon Backup现已提供,但中国区域、亚太地区(香港)、中东(巴林)、欧洲(米兰)、非洲(开普敦)以及亚太地区(东京)不可用。

设置跨账户备份

创建跨账户备份需要什么?

  • 来源账户

    来源账户是你生产的账户Amazon资源和主备份驻留。

    源账户用户启动跨账户备份操作。源账户用户或角色必须具有适当的 API 权限才能启动操作。可能是相应的权限Amazon管理的策略AWSBackupFullAccess,它允许对的完全访问Amazon Backup操作或客户托管策略,例如ec2:ModifySnapshotAttribute. 有关两种策略类型的更多信息,请参阅Amazon Backup管理的策略.

  • 目的地账户

    目标账户是您希望保留备份副本的账户。您可以选择多个目的地账户。目标账户必须位于与中的源账户相同的组织中。Amazon Organizations.

    你必须 “允许” 访问策略backup:CopyIntoBackupVault对于您的目标备份文件库。如果没有此策略,将拒绝尝试复制到目标账户。

  • 中的管理账户Amazon Organizations

    管理帐户是组织中的主要账户,定义为Amazon Organizations,你用来管理跨账户备份Amazon Web Services 账户. 要使用跨账户备份,您还必须启用服务信任。启用服务信任后,您可以将组织中的任何帐户用作目标帐户。从目标账户中,您可以选择用于跨账户备份的文件库。

  • 在中启用跨账户备份Amazon Backup控制台

有关安全性的信息,请参阅跨账户备份的安全考虑.

要使用跨账户备份,必须启用跨账户备份功能。然后,您必须 “允许” 访问策略backup:CopyIntoBackupVault进入您的目标备份文件库。

启用跨账户备份

  1. 登录到Amazon使用Amazon Organizations管理账户证书。只能使用这些凭据启用或禁用跨账户备份。

  2. 打开Amazon Backup控制台https://console.aws.amazon.com/backup.

  3. In我的账户,选择设置.

  4. 适用于跨账户备份,选择启用.

  5. In备份文件库中,选择目的地保管库。

  6. 访问策略部分,“允许”backup:CopyIntoBackupVault. 例如,请选择添加权限然后允许组织访问 Backup 保管库.

  7. 现在,组织中的任何账户都可以与组织中的任何其他账户共享备份保管库的内容。有关更多信息,请参阅与不同的存储库共享备份保管库Amazon账户。要限制哪些账户可以接收其他账户备份文件库的内容,请参阅将账户配置为目标账户.

计划跨账户备份

您可以使用定时备份计划跨复制备份Amazon Web Services 账户.

使用定时备份计划复制备份

  1. 打开Amazon Backup控制台https://console.aws.amazon.com/backup.

  2. In我的账户,选择备份计划,然后选择创建 Backup 计划.

  3. 在存储库的创建 Backup 计划页面上,选择建立新计划.

  4. 适用于Backup 计划名中,输入备份计划的名称。

  5. Backup 规则配置部分中,添加备份规则,定义备份计划、备份时段和生命周期规则。您可以在稍后添加更多备份规则。

    适用于规则名称中,输入规则的名称。

  6. Schedule在部分下Frequency,选择您希望备份的频率。

  7. 适用于备份时段,选择使用默认备份时段(建议). 您可以自定义备份时段。

  8. 适用于备份文件库在列表中,选择文件库。此备份的恢复点将保存在此保管库中。您可以创建新的备份文件库。

  9. 生成副本-可选部分中,输入以下值:

    目标区域

    选择目标Amazon Web Services 区域对于备份。您的备份将被复制到此区域。对于每个副本,您可以将新的复制规则添加到新的目标。

    注意

    跨复制 Amazon DynamoDB 表Amazon Web Services 区域不支持 。

    复制到另一个账户的保管库

    切换以选择此选项。选中该选项后变为蓝色。这些区域有:外部文件库 ARN选项将出现。

    外部文件库 ARN

    输入目标账户的 Amazon 资源名称 (ARN)。ARN 是一个包含账户 ID 及其的字符串Amazon Web Services 区域.Amazon Backup将备份复制到目标账户的保管库。这些区域有:目标区域在外部保管库 ARN 中列出对该区域的自动更新。

    适用于允许访问 Backup 文件库,选择Allow. 然后选择 。Allow在打开的向导中。

    Amazon Backup需要访问外部账户的权限才能将备份复制到指定的值。向导显示了以下提供此访问权限的示例策略。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    (高级设置)过渡到冷库(仅适用于 EFS)

    为 Amazon EFS 文件系统选择要使用的选项。

    选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    目前,只有 Amazon EFS 文件系统备份可以转换为冷存储。对于亚马逊弹性块存储 (Amazon EBS)、亚马逊关系数据库服务 (Amazon RDS)、Amazon Aurora、Amazon DynamoDB 和 Storage Gateway 的备份,冷存储表达式将被忽略。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

    注意

    当备份过期并被标记为删除时,作为生命周期策略的一部分,Amazon Backup在接下来的 8 小时内,在随机选择的时间点删除备份。此窗口有助于确保一致的性能。

  10. 选择添加到恢复点的标签向恢复点添加标签。

  11. 适用于高级备份设置,选择VSS 视窗为 EC2 上运行的选定第三方软件启用应用程序感知快照。

  12. 选择创建计划.

执行按需跨账户备份

你可以将备份复制到另一个Amazon Web Services 账户按需消息。

按需复制备份

  1. 打开Amazon Backup控制台https://console.aws.amazon.com/backup.

  2. 适用于我的账户,选择备份文件库查看列出的所有备份文件库。您可以按备份保管库名称或标签进行筛选。

  3. 选择恢复点 ID要复制的备份。

  4. 选择 Copy (复制)

  5. ExpandBackup 详情以查看有关您正在复制的恢复点的信息。

  6. 复制配置部分中,选择一个选项目标区域列表。

  7. 选择复制到另一个账户的保管库. 选中该选项后变为蓝色。

  8. 输入目标账户的 Amazon 资源名称 (ARN)。ARN 是一个包含账户 ID 及其的字符串Amazon Web Services 区域.Amazon Backup将备份复制到目标账户的保管库。这些区域有:目标区域在外部保管库 ARN 中列出对该区域的自动更新。

  9. 适用于允许访问 Backup 文件库,选择Allow. 然后选择 。Allow在打开的向导中。

    Amazon Backup需要访问外部(来源)帐户的权限。向导显示了提供此访问权限的示例策略。下面显示了此策略。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. (仅限亚马逊 EFS)对于过渡到冷库中,选择要用于 EFS 文件系统的选项。

    选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    目前,只有 Amazon EFS 文件系统备份可以转换为冷存储。对于 Amazon EBS、Amazon RDS、Amazon Aurora、Amazon DynamoDB 和 Storage Gateway 的备份,将忽略冷存储表达式。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

  11. 适用于IAM 角色中,指定具有使备份可供复制的权限的 IAM 角色(例如默认角色)。复制操作由目标账户的服务关联角色执行。

  12. 选择 Copy (复制)。根据要复制的资源大小,此过程可能需要几个小时才能完成。复制作业完成后,您将在复制作业 tab in the 作业菜单。

从一个恢复备份Amazon Web Services 账户到另一个

Amazon Backup不支持从其中恢复资源Amazon Web Services 账户到其他位置。但是,您可以将备份从一个账户复制到另一个帐户,然后在该账户中还原它。例如,您无法将备份从账户 A 还原到账户 B,但是可以将备份从账户 A 复制到账户 B,然后在账户 B 中还原备份

将备份从一个帐户还原到另一个帐户包含两个步骤。

将备份从一个账户还原到另一个账户

  1. 从源复制备份Amazon Web Services 账户转至要还原的帐户。有关说明,请参阅 跨创建备份副本Amazon账户

  2. 遵循适用于您的资源的说明来还原备份。

与不同的存储库共享备份保管库Amazon账户

Amazon Backup允许您与一个或多个账户共享备份保管库,或者与您的整个组织共享Amazon Organizations. 您可以与源共享目标备份保管库Amazon账户、用户或 IAM 角色。

共享目标 Backup 保管库

  1. 选择Amazon Backup,然后选择备份文件库.

  2. 选择要共享的备份文件库的名称。

  3. 访问策略窗格中,选择添加权限下拉菜单。

  4. 选择允许账户级别访问 Backup 保管库. 或者,您可以选择允许组织级别或角色级别的访问权限。

  5. 输入AccountID要与此目标备份保管库共享的账户。

  6. 选择保存策略.

您可以使用 IAM 策略共享备份保管库。

与一个共享目标备份保管库Amazon Web Services 账户或 IAM 角色

以下政策共享带有账号的备份保管库4444555566666以及 IAM 角色SomeRole在账号中111122223333.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}

将目标备份保管库与组织单位共享Amazon Organizations

以下策略使用他们的组织单位共享备份保管库PrincipalOrgPaths.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

与中的组织共享目标备份保管库Amazon Organizations

以下策略与组织共享备份保管库PrincipalOrgID “o-a1b2c3d4e5"。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

将账户配置为目标账户

当你第一次使用你的Amazon Organizations管理帐户,成员账户的任何用户都可以将其帐户配置为目标帐户。我们建议在中设置以下一个或多个访问控制Amazon Organizations以限制目的地账户。

使用标签限制目的地账户

以下策略将目标帐户限制为带有备份文件库标记的帐户DestinationBackupVault.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}

使用账号和保管库名称限制目的地账户

以下策略将目标账户限制为只有两个账户。第一个目的地账户是账户112233445566带备份文件库名称前缀cab. 第二个目的地账户是账户123456789012在Amazon Web Services 区域us-west-1,备份文件库名为fort-knox.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}

使用中的组织单位限制目标账户Amazon Organizations

以下策略将目标帐户限制为特定组织单位内的帐户。您必须将此策略附加到Amazon Organizations包含源帐户的节点。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

跨账户备份的安全考虑

在中使用跨账户备份时,请注意以下事项:Amazon Backup:

  • 目标保管库不能是默认的保管库。这是因为默认保管库使用无法与其他账户共享的密钥加密。

  • 禁用跨账户备份后,跨账户备份可能仍然运行长达 15 分钟。这是由于最终的一致性,甚至在禁用跨账户备份之后,可能会导致一些跨账户作业开始或完成。

  • 如果目标帐户稍后离开组织,则该账户将保留备份。为避免潜在的数据泄露,请在organizations:LeaveOrganization附加到目标账户的服务控制策略 (SCP) 中的权限。有关 SCP 的详细信息,请参阅从组织中删除成员账户中的Organizations 用户指南.

  • 如果在跨账户副本期间删除拷贝作业角色,Amazon Backup复制作业完成后,无法从源帐户取消共享快照。在这种情况下,备份作业完成,但复制作业状态显示为未能取消共享快照.