Amazon S3 - SAP HANA 开启 Amazon
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3

本节提供有关设置和使用 Amazon Backint 代理将 SAP HANA 工作负载备份和还原到 Amazon S3 的信息。

先决条件

在亚马逊 EC2 实例上成功运行您的 SAP HANA 系统后,请使用亚马逊 EC2 Systems Manager 文档或使用 Amazon Backint 安装程序验证以下先决条件来安装 Amazon Backint 代理。

Amazon Identity and Access Management

  1. 要访问使用 Syst Amazon ems Manager 安装 Amazon Backint 代理所需的Amazon资源,您必须将AmazonSSMManagedInstanceCore托管策略附加到您的 IAM 角色。

    注意

    如果您选择使用 Amazon Backint 安装程序安装 B Amazon ackint 代理,则可以跳过此步骤。

  2. 要允许您的 Amazon EC2 实例访问您的目标 Amazon S3 存储桶,您必须创建或更新具有以下权限的内联 IAM 策略,并将其附加到您的 EC2 服务角色。替换资源名称(例如 S3 存储桶名称)以匹配您的资源名称。您必须提供Amazon地区和 Amazon S3 存储桶拥有者账户 ID 以及 Amazon S3 存储桶名称。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::<Bucket Name>/*", "arn:aws:s3:::<Bucket Name>" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "<KMS Arn>" }, { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<bucket name>/<folder name>/*" } ] }
    注意

    如果要允许跨账户备份和还原,则必须在策略中的委托人元素下添加您的账户详细信息。有关委托人策略的更多信息,请参阅 Identity and A ccess Managem Amazon ent 用户指南中的 AmazonJSON 策略元素:委托人。此外,您必须确保 S3 存储桶策略允许您的账户执行上述 IAM 策略示例中指定的操作。有关更多信息,请参阅 Amazon S3 开发者指南中的存储桶拥有者授予跨账户存储桶权限的示例。

    有关托管策略和内联策略的更多信息,请参阅 IAM 用户指南

Amazon Systems Manager代理(SSM 代理)

要使用代理(SSM 代理)文档安装 Amazon Backint 代理,必须安装Amazon Systems Manager代理(SSM 代理)版本 2.3.274.0 或更高版本,并且您的实例必须是为其配置的托管实例。Amazon Systems Manager Amazon Systems Manager如果要使用 Amazon Backint 安装程序安装 Amazon Backint 代理,可以跳过此步骤。有关托管实例的更多信息,请参阅Amazon Systems Manager托管实例。要更新 SSM 代理,请参阅使用 Run Command 更新 SSM 代理

注意

如果您未将 AmazonSSMManagedInstanceCore 策略附加到 EC2 实例角色,SSM 代理将无法工作。

Amazon S3 存储桶

安装 Amazon Backint 代理时,必须提供要存储 SAP HANA 备份的 S3 存储桶的名称。只有 2019 年 5 月之后创建的 Amazon S3 存储桶与 B Amazon ackint 代理兼容。如果您没有 2019 年 5 月之后创建的存储桶,请在目标区域中创建新的 S3 存储桶。此外,请确保您要存储备份的 Amazon S3 存储桶未启用公开访问权限。如果 S3 存储桶启用了公有访问权限,则备份将失败。

AmazonBackint 代理支持使用 VPC 终端节点备份到 Amazon S3。Amazon S3 网关终端节点可以提高性能,并有可能帮助避免超时。它提高了安全性,同时降低了成本。有关更多信息,请参阅 VPC 终端节点

S3 存储类别 — Amazon Backint 代理支持将你的 SAP HANA 数据库备份到具有 S3 标准、S3 标准-IA、S3 单区-IA 和 S3 智能分层存储类别的 Amazon S3 存储桶。Bac Amazon kint 代理不支持 S3 低冗余、深度存档和 Glacier 存储类别。默认情况下,S3 标准存储类用于存储您的备份。您可以通过修改 Amazon Backint 代理配置文件来更改用于备份的存储类别。或者,您可以通过 S3 LifeCycle 配置或直接使用 API 将备份文件更改为支持的存储类别之一。要了解有关 Amazon S3 存储类的更多信息,请参阅 Amazon S3 开发人员指南中的亚马逊 S3 存储类别

注意

S3 智能分层存储类允许在四个访问层之间移动对象。它还可以将对象移动到存档层。但是,适用于 SAP HANA 的 Amazon Backint 代理不支持从存档层进行备份和恢复。要恢复或删除存档层中的对象,必须先恢复存档的 S3 对象,然后才能使用 Amazon Backint 代理启动恢复或删除操作。

加密 — Amazon Backint 代理支持使用服务器端加密 Amazon KMS (KMS) 对您的 SAP HANA 备份文件进行加密,同时将其存储在 Amazon S3 中。您可以使用aws-managed-key调用的方法对备份进行加密,aws/s3也可以使用存储在 KMS 中的自定义对称Amazon KMS密钥。要使用存储在 KMS(Amazon托管或自定义)中的密钥加密备份文件,您必须在安装过程中提供 KMS ARN,或者稍后更新 Amazon Backint 代理配置文件。要了解有关使用 Amazon KMS 加密您的 S3 对象的更多信息,请参阅密Amazon钥管理服务开发人员指南中的 Amazon S3 的使用Amazon KMS方式。或者,您可以使用由 Amazon S3 管理的密钥为 Amazon S3 存储桶启用默认加密。要详细了解如何为存储桶启用默认加密,请参阅如何为 Amazon S3 存储桶启用默认加密?Amazon S3 控制台用户指南中。

对象锁定-您可以使用带有 S3 对象锁定的 write-once-read-many(WORM) 模型存储对象。如果要防止在特定时间段或无限期意外删除或覆盖 SAP HANA 备份文件,请使用 S3 对象锁定。如果启用了 S3 对象锁定,则在保留期到期之前,您无法使用 SAP HANA Cockpit、SAP HANA Studio 或 SQL 命令删除存储在亚马逊 S3 中的 SAP HANA 备份。要了解有关 S3 对象锁定的信息,请参阅 Amazon S3 开发人员指南中的使用 S3 对象锁定锁定对象

对象标记-默认情况下,AmazonBackint 代理会在将 SAP HANA 备份文件存储在 S3 存储桶中AWSBackintAgentVersion时添加一个名为的标签。此标签有助于识别Amazon备份 SAP HANA 数据库时使用的 Backint 版本和 SAP HANA 版本。您可以从 S3 控制台使用 API 列出标签的值。要禁用默认标记,请修改 Amazon Backint 代理配置文件。