逻辑气隙保管库(预览版) - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

逻辑气隙保管库(预览版)

注意

从 2023 年 8 月 9 日起 Amazon Backup ,将提供使用逻辑气隙保管库的预览版。要注册此预览版,请通过电子邮件向 发送申请。

在预览期间和之后,功能可能会更改或调整。当该服务正式发布 (GA) 时,预览期间提供的数据和配置将不再可用。 Amazon 建议在预览中使用测试数据,而不是生产数据。

概述

Amazon Backup 正在预览一种辅助类型的存储库,它可以将备份副本存储在其他存储库中。逻辑气隙保管库是一种专门的保管库,除了备份保管库的功能外,它还提供增强的安全功能,并且能够与其他账户和组织共享保管库访问权限,以便在发生需要快速恢复资源的事件时可以更快、更灵活地进行恢复 (RTO)。

从逻辑上讲,气隙保管库还配备了额外的保护功能:每个保管库都使用 Amazon 自有密钥加密,每个保管库都设置了合规模式下的文件库锁

您可以选择在组织和账户之间共享逻辑气隙保管库,以便在需要时可以从与之共享该保管库的账户中恢复存储在其中的备份。

在预览期间,在逻辑气隙保管库中存储备份不会产生额外费用。标准备份保管库和跨区域副本中的备份仍将按公布的费率收费(参见定价),即使这些备份在逻辑气隙保管库中的任何副本都不收费。

应用场景

逻辑气隙保管库是作为数据保护策略一部分的辅助保管库。当您希望为备份使用符合以下条件的保管库时,此保管库可以帮助增强组织的保留和恢复能力

  • 在合规模式下使用保管库锁定功能自动设置

  • 包含可以与创建备份的账户不同的账户共享和还原的备份

  • 使用自有密钥加密 Amazon

逻辑气隙保管库中支持的资源包括

  • Amazon EC2

  • Amazon EBS

  • Amazon S3

  • Amazon EFS

  • Amazon RDS

此逻辑受物理隔离的保管库预览版仅在美国东部(弗吉尼亚州北部)地区提供。由于此功能目前仅在一个地区提供,因此在此预览期内不支持跨区域复制。

与标准备份保管库进行比较和对比

备份存储库是中使用的主要和标准类型的存储库 Amazon Backup。创建备份时,每个备份都存储在备份保管库中。您可以分配基于资源的策略来管理存储在保管库中的备份,例如存储在保管库中的备份的生命周期。

逻辑气隙保管库是一种专门的保管库,具有更高的安全性和灵活共享功能,可缩短恢复时间 (RTO)。此保管库存储最初创建并存储在标准备份保管库中的备份副本。

备份保管库可以使用密钥进行加密,这是一种限制目标用户访问权限的安全机制。这些密钥可以由客户管理或 Amazon 管理。此外,借助保管库锁定功能,可以更安全地保护备份保管库;逻辑气隙保管库配备了合规模式下的保管库锁定功能。

如果在 Amazon KMS 创建初始资源时未手动更改密钥或将其设置为客户托管密钥 (CMK),则无法将备份复制到逻辑上存在气隙的保管库中。

功能 备份保管库 逻辑气隙保管库(预览版)

备份创建

创建备份时,会将其存储为恢复点

备份在创建时不会存储在此保管库中

备份存储

可以存储资源的初始备份和备份副本

可以存储来自其他保管库的备份副本

安全性

可以选择使用密钥进行加密(客户 Amazon 管理或托管)

可以选择使用保管库锁定功能进行锁定

使用 Amazon 自有密钥加密

在合规模式下始终使用保管库锁定功能进行锁定

可共享性

可以通过策略和 Amazon Organizations 管理访问权限

不兼容 Amazon Resource Access Manager

可以选择使用 Amazon RAM 跨账户共享

还原

备份可以由拥有保管库的同一个账户进行还原

如果保管库与拥有备份的账户共享,则备份可以由不同的账户还原

区域性

在所有 Amazon Backup 运营地区均可用

预览期间在美国东部(弗吉尼亚州北部)区域可用

资源

可以存储包含所有 Amazon Backup 支持资源的备份

可以存储包含 Amazon EC2、Amazon EBS、Amazon EFS、Amazon S3 或 Amazon RDS 数据的备份

从控制台创建逻辑气隙保管库

重要

一旦创建了保管库,就无法更改保管库名称、保管库类型以及最小和最大保留期;此外,保管库锁定也无法删除。

当该服务变为正式可用时,预览期间提供的数据和配置将不再可用。 Amazon 建议在预览中使用测试数据而不是生产数据。

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 在导航窗格中,选择保管库

  3. 将显示两种类型的保管库。选择创建新保管库

  4. 输入备份保管库的名称。您对保管库的命名可以体现出将要存储在其中的内容,或者便于搜索您所需的备份。例如,您可以将其命名为 FinancialBackups

  5. 选择逻辑气隙保管库所对应的单选按钮。

  6. 设置最短保留期

    此值(以天、月或年为单位)是可以在此保管库中保留备份的最短时间。无法将保留期短于此值的备份复制到此保管库。

  7. 设置最长保留期

    此值(以天、月或年为单位)是可以在此保管库中保留备份的最长时间。无法将保留期大于此值的备份复制到此保管库。

  8. (可选)添加标签,以帮助您搜索和识别逻辑气隙保管库。例如,您可以添加 BackupType:Financial 标签。

  9. 选择创建保管库

  10. 检查设置。如果所有设置都按预期显示,请选择创建逻辑气隙保管库

  11. 控制台将带您进入新保管库的详细信息页面。验证保管库详细信息是否符合预期。

在控制台中,查看逻辑气隙保管库的详细信息

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 从左侧导航窗格中,选择保管库

  3. 保管库描述下方将显示两个列表,即该账户拥有的保管库与该账户共享的保管库。选择所需的选项卡以查看保管库。

  4. 保管库名称下,单击保管库名称以打开详细信息页面。您可以查看摘要、恢复点、受保护的资源、账户共享、访问策略和标签详细信息。

在控制台中从标准备份保管库复制到逻辑气隙保管库

逻辑气隙保管库只能是备份计划中的复印作业目的地目标或按需复印作业的目标。

要启动复印作业,您必须

  • 具有备份保管库

  • 具有逻辑气隙保管库

  • 拥有包含 Amazon EC2、Amazon EBS、Amazon RDS、Amazon S3 或 Amazon EFS 数据的备份

  • 拥有用于创建副本的角色的权限 kms:CreateGrant

  • 没有使用 Amazon 托管密钥加密备份到逻辑上空隙的保管库

确认上述内容后,

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 从左侧导航窗格中,选择保管库

  3. 在保管库详细信息页面中,将显示该保管库中的所有恢复点。在要复制的恢复点旁边打勾标记。

  4. 选择操作,然后选择下拉菜单中的复制

  5. 在下一个屏幕上,输入目的地详细信息。

    1. 区域必须设置为美国东部(弗吉尼亚州北部)

    2. 目的地备份保管库下拉菜单显示符合条件的目的地保管库。按类型 logically air-gapped vault 选择一个

  6. 将所有详细信息设置为首选项后,选择复制

在控制台的作业页面上,您可以选择复制作业以查看当前的复制作业。

有关更多信息,请参阅复制备份跨区域备份跨账户备份

从控制台共享逻辑气隙保管库

注意

只有具有某些 IAM 权限的账户才能共享和管理账户共享。

您可以使用与您 Amazon RAM 指定的其他账户共享逻辑上隔绝的保管库。要使用共享 Amazon RAM,请确保您具备以下条件:

  • 两个或更多可以访问的账户 Amazon Backup

  • 打算共享的账户拥有必要的 RAM 权限。此过程需要权限 ram:CreateResourceShare。策略 AWSResourceAccessManagerFullAccess 包含所有必需的 RAM 相关权限。

  • 至少一个逻辑气隙保管库

要共享逻辑气隙保管库,请执行以下操作:

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 从左侧导航窗格中,选择保管库

  3. 保管库描述下方将显示两个列表,即该账户拥有的保管库与该账户共享的保管库。选择所需的列表以查看保管库。

  4. 保管库名称下,选择逻辑气隙保管库的名称以打开详细信息页面。

  5. 账户共享窗格显示正在与哪些账户共享保管库。

  6. 要开始与其他账户共享或编辑已共享的账户,请选择管理共享

Amazon RAM 选择 “管理共享” 后,控制台将打开。有关使用 Amazon RAM 共享资源的步骤,请参阅在 RAM 中 Amazon 创建资源共享

确保您具有适当的权限。Backup Administrator IAM 策略 [AWSBackupFullAccessAWSBackupOperatorAccess] 和 Backup Operator IAM 策略 [] 包含查看共享账户所需的权限;但是,用于共享的角色需要资源访问管理器的写入权限才能从 RAM 共享账户,例如ram:CreateResourceShare

受邀接受共享邀请的账户有 12 小时的时间接受邀请。请参阅《Amazon RAM 用户指南》中的接受和拒绝资源共享邀请

如果共享步骤已完成并被接受,则保管库摘要页面将显示在账户共享 =“已共享 - 参见下面的账户共享表”下方。

使用控制台从逻辑气隙保管库中还原备份

您可以从拥有该保管库的账户或与之共享保管库的任何账户,还原存储在逻辑气隙保管库中的备份。

有关如何还原恢复点的信息,请参阅还原备份

使用控制台删除逻辑气隙保管库

重要

当该服务变为正式可用时,预览期间提供的数据和配置将不再可用。 Amazon 建议在预览中使用测试数据而不是生产数据。

要删除保管库,请参阅删除备份保管库。如果保管库仍包含备份(恢复点),则无法将其删除。在启动删除操作之前,请确保保管库中没有备份。

通过 CLI/API 对逻辑气隙保管库执行操作

您可以使用以编程方式 Amazon CLI 对逻辑上存在气隙的保管库执行操作。每个 CLI 都特定于其来源的 Amazon 服务。与共享相关的命令在前面加上 aws ram;所有其他命令都应在前面加上 aws backup

创建

可以修改以下示例 CLI 命令 CreateLogicallyAirGappedBackupVault 以创建逻辑气隙备份保管库:

aws backup create-logically-air-gapped-backup-vault \ --region us-east-1 \ --backup-vault-name sampleName \ --min-retention-days 7 \ --max-retention-days 35 \ --creator-request-id 123456789012-34567-8901 // optional

查看详细信息

可以修改以下示例 CLI 命令 DescribeBackupVault,以获取有关保管库的详细信息:

aws backup describe-backup-vault \ --region us-east-1 \ --backup-vault-name testvaultname

共享

注意

只有拥有充足 IAM 权限的账户才能共享和管理账户共享。

您可以通过 Amazon Resource Access Manager (RAM) 共享逻辑气隙保管库,RAM 这项服务可帮助用户共享资源。

Amazon RAM 使用 CLI 命令create-resource-share。只有拥有足够权限的管理员账户才能访问此命令。有关 CLI 步骤,请参阅在 Amazon RAM中创建资源共享

第 1 步到第 4 步是使用拥有逻辑气隙保管库的账户执行的。第 5 步到第 8 步是使用将与之共享逻辑气隙保管库的账户执行的。

  1. 登录所属账户,或者请求您组织中具有足够凭证的用户访问源账户,完成这些步骤。

    1. 如果之前创建了资源共享,且您希望向其添加其他资源,请使用 CLI associate-resource-share,而不是新保管库的 ARN。

  2. 获取具有足够权限的角色的凭证,以便通过 RAM 进行共享。将这些输入到 CLI 中

    1. 此过程需要权限 ram:CreateResourceShare。该策略AWSResourceAccessManagerFullAccess包含所有与 RAM 相关的权限。

  3. 使用create-resource-share

    1. 包括逻辑气隙保管库的 ARN。

    2. 输入示例:

      aws ram create-resource-share \ --name MyLogicallyAirGappedVault \ --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1 \ --principals 123456789012 \ --region us-east-1

      示例输出:

      { "resourceShare":{ "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name":"MyLogicallyAirGappedVault", "owningAccountId":"123456789012", "allowExternalPrincipals":true, "status":"ACTIVE", "creationTime":"2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00" } }
  4. 在输出中复制资源共享 ARN(后续步骤需要这样做)。将 ARN 交给您邀请接收共享的账户操作员。

  5. 获取资源共享 ARN

    1. 如果您没有执行第 1 步 resourceShareArn 到第 4 步,请向执行者索取。

    2. 例如:arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. 在 CLI 中,假设接收账户的凭证。

  7. 通过 get-resource-share-invitations 获取资源共享邀请。有关更多信息,请参阅《Amazon RAM 用户指南》中的接受和拒绝邀请

  8. 在目的地(恢复)账户中接受邀请。

    1. 使用 accept-resource-share-invitation(也可使用 reject-resource-share-invitation)。

列出

可以修改 CLI 命令 ListBackupVaults,以列出该账户拥有和存在的所有保管库:

aws backup list-backup-vaults \ --region us-east-1

要仅列出逻辑气隙保管库,请添加参数

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

要列出与该账户共享的保管库,请使用

aws backup list-backup-vaults \ --region us-east-1 \ --by-shared

Copy(复制)

逻辑气隙保管库只能成为备份复制作业的目标,而不能成为初始备份作业的目标。使用 StartCopyJob 将备份保管库中的现有备份复制到逻辑气隙保管库。

用于向逻辑气隙保管库创建复制作业的角色必须包含权限 kms:CreateGrant

CLI 输入示例:

aws backup start-copy-job \ --region us-east-1 \ --recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567 \ --source-backup-vault-name sourcevaultname \ --destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname \ --iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

还原

将备份从逻辑气隙保管库共享到您的账户后,您可以使用 StartRestoreJob 来还原备份。CLI 输入示例:

aws backup start-restore-job \ --recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID \ --metadata {\"availabilityzone\":\"us-east-1d\"} \ --idempotency-token TokenNumber \ --resource-type ResourceType \ --iam-role arn:aws:iam::number:role/service-role/servicerole \ --region us-east-1

删除

以下示例 CLI 命令 DeleteBackupVault 可用于删除保管库。只有在保管库内没有备份(恢复点)时,才能删除保管库。

aws backup delete-backup-vault --region us-east-1 --backup-vault-name testvaultname

其他可用的编程选项包括: