先决条件 - 上的 SAP HANAAmazon
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件

在 Amazon EC2 实例上成功运行 SAP HANA 系统后,请验证以下先决条件以进行安装。Amazon使用 Amazon EC2 Systems Manager 文档或使用 Backint 代理AmazonBackint 安装程序。

Amazon Identity and Access Management

  1. 访问Amazon安装所需的资源Amazon使用的 Backint 代理AmazonSystems Manager,您必须附加AmazonSSMManagedInstanceCore您的 IAM 角色的托管策略。

    注意

    如果你选择安装AmazonBackint 代理使用Amazon您可以跳过 Backint 安装程序。

  2. 要允许 Amazon EC2 实例访问您的目标 Amazon S3 存储桶,您必须创建或更新具有以下权限的内联 IAM 策略,并将其附加到您的 EC2 服务角色。替换资源名称(例如 S3 存储桶名称)以匹配您的资源名称。您必须提供AmazonAmazon S3 存储桶拥有者账户 ID 以及 Amazon S3 存储桶名称。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::<Bucket Name>/*", "arn:aws:s3:::<Bucket Name>" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "<KMS Arn>" }, { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<bucket name>/<folder name>/*" } ] }
    注意

    如果要允许跨账户备份和还原,则必须在策略中的委托人元素下添加您的账户详细信息。有关委托人策略的更多信息,请参阅AmazonJSON 策略元素:委托人中的AmazonIdentity and Access Management 用户指南. 此外,您必须确保 S3 存储桶策略允许您的账户执行上述 IAM 策略示例中指定的操作。有关更多信息,请参阅示例存储桶拥有者授予跨账户存储桶中的Amazon S3 开发人员指南中).

    有关托管策略和内联策略的更多信息,请参阅 IAM 用户指南

Amazon EC2 Systems Manager

安装Amazon使用 Amazon EC2 系统管理器代理 (SSM) 文档的 Backint 代理,您必须安装Amazon EC2 Systems Manager 代理(SSM 代理)版本 2.274.0 或更高版本,并且您的实例必须是为配置的托管实例。AmazonSystems Manager。如果您想安装Amazon使用 Backint 的代理Amazon您可以跳过 Backint 安装程序。有关托管实例的更多信息,请参阅AmazonSystems Manager 托管实例. 要更新 SSM 代理,请参阅使用 Run Command 更新 SSM 代理

注意

如果您未将 AmazonSSMManagedInstanceCore 策略附加到 EC2 实例角色,SSM 代理将无法工作。

Amazon S3 存储桶

当你安装AmazonBackint 代理,您必须提供要存储 SAP HANA 备份的 S3 存储桶的名称。只有 2019 年 5 月之后创建的 Amazon S3 存储桶才与兼容AmazonBackint 代理。如果您没有 2019 年 5 月之后创建的存储桶,请在目标区域中创建新的 S3 存储桶。此外,请确保要存储备份的 Amazon S3 存储桶未启用公有访问权限。如果 S3 存储桶启用了公有访问权限,则备份将失败。

AmazonBackint 代理支持备份到带 VPC 终端节点的 Amazon S3。有关更多信息,请参阅 VPC 终端节点

S3 存储类—AmazonBackint 代理支持将 SAP HANA 数据库备份到具有 S3 标准、S3 标准-IA、S3 单区 — IA 和 S3 智能分层存储类的 Amazon S3 存储桶中。不支持 S3 低冗余、深度存档和 Glacier 存储类。AmazonBackint 代理。默认情况下,S3 标准存储类用于存储您的备份。您可以通过以下方法将存储类更改为用于备份。修改AmazonBackint 代理配置文件. 或者,您可以通过 S3 生命周期配置 或直接使用 API 将备份文件更改为受支持的存储类之一。要了解有关 Amazon S3 存储类别的更多信息,请参阅Amazon S3 存储类中的Amazon S3 开发人员指南中).

注意

S3 智能分层存储类支持在四个访问层之间移动对象。它还可以将对象移动到存档层。但是,Amazon适用于 SAP HANA 的 Backint 代理不支持从存档层进行备份和恢复。要从存档层恢复或删除对象,必须首先还原已存档的 S3 对象在使用启动恢复或删除之前AmazonBackint 代理。

加密—AmazonBackint 代理支持将 SAP HANA 备份文件存储在 Amazon S3 中时使用服务器端加密来加密 SAP HANA 备份文件。Amazon KMS(公里)。您可以使用aws-managed-keyaws/s3或者你可以使用自己的自定义对称Amazon KMS密钥存储在 KMS 中。使用存储在 KMS 中的密钥加密备份文件 (Amazon-托管或自定义),您必须在安装过程中提供 KMS ARN,或者更新AmazonBackint 代理配置文件稍后。要了解有关使用加密 S3 对象的更多信息AmazonKMS,请参阅Amazon S3 如何使用Amazon KMS中的Amazon密钥管理服务开发人员指. 或者,您可以使用 Amazon S3 管理的密钥为您的 Amazon S3 存储桶启用默认加密。要了解有关为存储桶启用默认加密的更多信息,请参阅如何为 Amazon S3 存储桶启用默认加密?中的Amazon S3 控制台用户指南.

对象锁定 — 您可以使用具有 S3 对象锁定的一次写入、多次读取 (WORM) 模型来存储对象。如果要防止在特定时间段或无限期意外删除或覆盖 SAP HANA 备份文件,请使用 S3 对象锁定。如果启用了 S3 对象锁定,则在保留期到期之前,您无法使用 SAP HANA Cockpit、SAP HANA Studio 或 SQL 命令删除 Amazon S3 中存储的 SAP HANA 备份。要了解 S3 对象锁定,请参阅使用 S3 对象锁定以锁定对象中的Amazon S3 开发人员指南中).

对象标签— 默认情况下,AmazonBackint 代理添加了一个名为AWSBackintAgentVersion当它将 SAP HANA 备份文件存储到 S3 存储桶中时。此标签有助于识别Amazon备份 SAP HANA 数据库时使用的 Backint 版本和 SAP HANA 版本。您可以从 S3 控制台使用 API 列出标签的值。要禁用默认标签,修改AmazonBackint 代理配置文件.