先决条件 - AWS 上的 SAP HANA
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

先决条件

在 Amazon EC2 实例上成功运行 SAP HANA 系统后,使用 Amazon EC2 Systems Manager 文档或使用 AWS Backint 安装程序验证安装 AWS Backint Agent 的以下先决条件。

AWS Identity and Access Management

  1. 要访问使用 AWS Systems Manager 安装 AWS Backint Agent 所需的 AWS 资源,您必须将 AmazonSSMManagedInstanceCore 托管策略附加到您的 IAM 角色。

    注意

    如果您选择使用 AWS Backint 安装程序安装 AWS Backint Agent,则可以跳过此步骤。

  2. 要允许您的 Amazon EC2 实例访问您的目标 Amazon S3 存储桶,您必须创建或更新具有以下权限的内联 IAM 策略,并将其附加到您的 EC2 服务角色。替换资源名称(例如 S3 存储桶名称)以匹配您的资源名称。您必须提供 AWS 区域和 Amazon S3 存储桶拥有者账户 ID 以及 Amazon S3 存储桶名称。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::<Bucket Name>/*", "arn:aws:s3:::<Bucket Name>" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "<KMS Arn>" }, { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<bucket name>/<folder name>/*" } ] }
    注意

    如果要允许跨账户备份和还原,则必须在策略中的委托人元素下添加您的账户详细信息。有关委托人策略的更多信息,请参阅 AWS Identity and Access Management 用户指南中的 AWS JSON 策略元素:委托人。此外,您必须确保 S3 存储桶策略允许您的账户执行上述 IAM 策略示例中指定的操作。有关更多信息,请参阅 Amazon S3 开发人员指南中的存储桶拥有者授予跨账户存储桶权限示例。

    有关托管策略和内联策略的更多信息,请参阅 IAM 用户指南

Amazon EC2 Systems Manager

要使用 Amazon EC2 Systems Manager Agent (SSM) 文档安装 AWS Backint Agent,您必须安装 Amazon EC2 Systems Manager Agent (SSM Agent) 版本 2.3.274.0 或更高版本,并且您的实例必须是为 AWS Systems Manager 配置的托管实例。如果要使用 AWS Backint 安装程序安装 AWS Backint Agent,可以跳过此步骤。有关托管实例的更多信息,请参阅 AWS Systems Manager 托管实例。要更新 SSM Agent,请参阅使用 Run Command 更新 SSM Agent

注意

如果您未将 AmazonSSMManagedInstanceCore 策略附加到 EC2 实例角色,SSM Agent 将无法工作。

Amazon S3 存储桶

安装 AWS Backint Agent 时,必须提供要用于存储 SAP HANA 备份的 S3 存储桶的名称。只有 2019 年 5 月之后创建的 Amazon S3 存储桶才与 AWS Backint Agent 兼容。如果您没有 2019 年 5 月之后创建的存储桶,请在目标区域中创建新的 S3 存储桶。此外,请确保要用于存储备份的 Amazon S3 存储桶未启用公有访问权限。如果 S3 存储桶启用了公有访问权限,则备份将失败。

AWS Backint Agent 支持备份到带 VPC 终端节点的 Amazon S3。有关更多信息,请参阅 VPC 终端节点

S3 存储类 — AWS Backint Agent 支持将 SAP HANA 数据库备份到具有 S3 标准、S3 标准-IA 和 S3 单区-IA 存储类的 Amazon S3 存储桶中。AWS Backint Agent 不支持 S3 低冗余、S3 智能分层、深度存档和 Glacier 存储类。默认情况下,S3 标准存储类用于存储您的备份。您可以通过修改 AWS Backint Agent 配置文件将存储类更改为用于备份。或者,您可以通过 S3 生命周期配置 或直接使用 API 将备份文件更改为受支持的存储类之一。要了解有关 Amazon S3 存储类的更多信息,请参阅 Amazon S3 开发人员指南中的 Amazon S3 存储类

加密 — 将 SAP HANA 备份文件存储在 Amazon S3 中时,AWS Backint Agent 支持使用 AWS Key Management Service (KMS) 的服务器端加密来加密 SAP HANA 备份文件。您可以使用名为 aws/s3 的 KMS 托管客户主密钥 (CMK) 对备份进行加密,也可以使用存储在 KMS 中的自定义对称 CMK。要使用存储在 KMS 中的密钥(AWS 托管或自定义)对备份文件进行加密,您必须在安装过程中提供 KMS ARN,或者稍后更新 AWS Backint Agent 配置文件。要了解有关使用 AWS KMS 加密 S3 对象的更多信息,请参阅 AWS Key Management Service 开发人员指南中的 Amazon S3 如何使用 AWS KMS。或者,您可以使用 Amazon S3 管理的密钥为 Amazon S3 存储桶启用默认加密。要了解有关为存储桶启用默认加密的更多信息,请参阅 Amazon S3 控制台用户指南中的如何为 Amazon S3 存储桶启用默认加密?

对象锁定 — 您可以使用具有 S3 对象锁定的一次写入、多次读取 (WORM) 模型来存储对象。如果要防止在特定时间段或无限期意外删除或覆盖 SAP HANA 备份文件,请使用 S3 对象锁定。如果启用了 S3 对象锁定,则在保留期到期之前,您无法使用 SAP HANA Cockpit、SAP HANA Studio 或 SQL 命令删除 Amazon S3 中存储的 SAP HANA 备份。要了解有关 S3 对象锁定的信息,请参阅 Amazon S3 开发人员指南中的使用 S3 对象锁来锁定对象

对象标记 — 默认情况下,在 S3 存储桶中存储 SAP HANA 备份文件时,AWS Backint Agent 会添加一个名为 AWSBackintAgentVersion 的标签。此标签有助于识别备份 SAP HANA 数据库时使用的 AWS Backint 版本和 SAP HANA 版本。您可以从 S3 控制台使用 API 列出标签的值。要禁用默认标签,请修改 AWS Backint Agent 配置文件