本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用适用于 SAP HANA 的 Amazon Backint Agent 的先决条件
先决条件

在您的 SAP HANA 系统在亚马逊 EC2 实例上成功运行后，请使用亚马逊 EC2 系统管理器文档或使用 Amazon Backint 安装程序验证以下先决条件来安装 Amazon Backint 代理。

**Topics**
+ [

## Amazon Identity and Access Management
](#aws-backint-agent-iam)
+ [

## Amazon Systems Manager 代理（SSM 代理）
](#aws-backint-agent-ssm)
+ [

## 亚马逊 S3 存储桶
](#s3-bucket)
+ [

## 数据边界
](#data-perimeter)
+ [

## Amazon CLI
](#install-aws-cli)

## Amazon Identity and Access Management


1. 要访问使用 Syst Amazon ems Manager 安装 Amazon Backint 代理所需的 Amazon 资源，您必须将`AmazonSSMManagedInstanceCore`托管策略附加到您的 IAM 角色。
**注意**  
如果您选择使用 Amazon Backint 安装程序安装 B Amazon ackint 代理，则可以跳过此步骤。

1. 要允许您的 Amazon EC2 实例访问您的目标 Amazon S3 存储桶，您必须创建或更新具有以下权限的内联 IAM 策略，并将其附加到您的 EC2 服务角色。替换资源名称（例如 S3 存储桶名称）以匹配您的资源名称。您必须提供 Amazon 地区和亚马逊 S3 存储桶拥有者账户 ID 以及 Amazon S3 存储桶名称。

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "VisualEditor1",
               "Effect": "Allow",
               "Action": [
                   "s3:GetBucketPolicyStatus",
                   "s3:GetBucketLocation",
                   "s3:ListBucket",
                   "s3:GetBucketAcl",
                   "s3:GetBucketPolicy"
               ],
               "Resource": [
                   "arn:aws:s3:::bucket-name/*",
                   "arn:aws:s3:::bucket-name"
               ]
           },
           {
               "Sid": "VisualEditor2",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt",
                   "kms:GenerateDataKey"
               ],
               "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
           },
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "s3:PutObjectTagging",
                     "s3:PutObject",
                     "s3:GetObject",
                     "s3:DeleteObject"
                 ],
                 "Resource": "arn:aws:s3:::bucket-name/folder-name/*"
             }
       ]
   }
   ```
**注意**  
如果要允许跨账户备份和还原，则必须在策略中的委托人元素下添加您的账户详细信息。有关委托人策略的更多信息，请参阅 Identity and A *ccess Managem Amazon ent 用户指南*中的 [Amazon JSON 策略元素：委托人](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。此外，您必须确保 S3 存储桶策略允许您的账户执行上述 IAM 策略示例中指定的操作。有关更多信息，请参阅《Amazon S3 开发人员指南》**中的[存储桶所有者授予跨账户存储桶权限](https://docs.amazonaws.cn/AmazonS3/latest/dev/example-walkthroughs-managing-access-example2.html)的示例。

有关托管策略和内联策略的更多信息，请参阅 [IAM 用户指南](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。

## Amazon Systems Manager 代理（SSM 代理）


要使用 Syst Amazon ems Manager 代理（SSM 代理）文档安装 Amazon Backint 代理，必须安装 Syst [Amazon ems Manager 代理（SSM 代理）](https://docs.amazonaws.cn/systems-manager/latest/userguide/ssm-agent.html)版本 2.3.274.0 或更高版本，并且您的实例必须是为 Systems Manager 配置的托管实例。 Amazon 如果要使用 Amazon Backint 安装程序安装 Amazon Backint 代理，可以跳过此步骤。有关托管实例的更多信息，请参阅 [Amazon Systems Manager 托管实例](https://docs.amazonaws.cn/systems-manager/latest/userguide/managed_instances.html)。要更新 SSM 代理，请参阅[使用 Run Command 更新 SSM 代理](https://docs.amazonaws.cn/systems-manager/latest/userguide/rc-console.html#rc-console-agentexample)。

**注意**  
如果您不将`AmazonSSMManagedInstanceCore`策略附加到您的 EC2 实例角色，SSM 代理将无法运行。

## 亚马逊 S3 存储桶


安装 Amazon Backint 代理时，必须提供要存储 SAP HANA 备份的 S3 存储桶的名称。只有 2019 年 5 月之后创建的 Amazon S3 存储桶与 B Amazon ackint 代理兼容。如果您没有 2019 年 5 月之后创建的存储桶，请在目标区域中创建新的 S3 存储桶。此外，请确保要用于存储备份的 Amazon S3 存储桶未启用公有访问权限。如果 S3 存储桶启用了公有访问权限，则备份将失败。

 Amazon Backint 代理支持使用 VPC 终端节点备份到 Amazon S3。Amazon S3 网关端点可以提高性能，并有可能帮助避免超时。它提高了安全性，同时降低了成本。有关更多信息，请参阅 [VPC 端点](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-endpoints.html)。

 **S3 存储类别** —Amazon Backint 代理支持将 SAP HANA 数据库备份到具有 S3 标准、S3 标准-IA、S3 单区-IA 和 S3 智能分层存储类别的 Amazon S3 存储桶。Bac Amazon kint 代理不支持 S3 低冗余、深度存档和 Glacier 存储类别。默认情况下，S3 标准存储类用于存储您的备份。您可以通过修改 Amazon Backint 代理配置文件来更改用于备份的存储类别。或者，您可以通过 [S3 LifeCycle 配置](https://docs.amazonaws.cn/AmazonS3/latest/dev/object-lifecycle-mgmt.html)或直接使用将备份文件更改为支持的存储类别之一 APIs。要了解有关 Amazon S3 存储类别的更多信息，请参阅《Amazon S3 开发人员指南》**中的 [Amazon S3 存储类别](https://docs.amazonaws.cn/AmazonS3/latest/dev/storage-class-intro.html)。

**注意**  
S3 Intelligent-Tiering 存储类别支持在四个访问层之间移动对象。它还支持将对象移动到存档层。但是，**适用于 SAP HANA 的 Amazon Backint 代理不支持从存档层进行备份和恢复**。要恢复或删除存档层中的对象，必须先[恢复存档的 S3 对象](https://docs.amazonaws.cn/AmazonS3/latest/userguide/restoring-objects.html)，然后才能使用 Amazon Backint 代理启动恢复或删除操作。

 **加密** —Amazon Backint 代理支持使用带有 Amazon KMS (KMS) 的服务器端加密来加密您的 SAP HANA 备份文件，同时将其存储在 Amazon S3 中。您可以使用`aws-managed-key`调用的`aws/s3`加密备份，也可以使用存储在 KMS 中的自定义对称 Amazon KMS 密钥进行加密。要使用存储在 KMS（Amazon托管或自定义）中的密钥加密备份文件，您必须在安装过程中提供 KMS ARN，或者稍后更新 Amazon Backint 代理配置文件。要了解有关使用 Amazon KMS 加密您的 S3 对象的更多信息，请参阅密* Amazon 钥管理服务开发人员指南*[中的 Amazon S3 如何使用 Amazon KMS](https://docs.amazonaws.cn/kms/latest/developerguide/services-s3.html)。或者，您也可以使用 Amazon S3 管理的密钥为 Amazon S3 存储桶启用默认加密。要详细了解如何为您的存储桶启用默认加密，请参阅《Amazon S3 控制台用户指南》**中的[如何为 Amazon S3 存储桶启用默认加密？](https://docs.amazonaws.cn/AmazonS3/latest/user-guide/default-bucket-encryption.html)。

 **对象锁定**-您可以使用带有 S3 对象锁定的 *write-once-read-many*(WORM) 模型存储对象。如果要防止在特定时间段或无限期意外删除或覆盖 SAP HANA 备份文件，请使用 S3 对象锁定。如果启用了 S3 对象锁定，则在保留期到期之前，您无法使用 SAP HANA Cockpit、SAP HANA Studio 或 SQL 命令删除 Amazon S3 中存储的 SAP HANA 备份。要了解 S3 对象锁定，请参阅《Amazon S3 开发人员指南》**中的[使用 S3 对象锁定以锁定对象](https://docs.amazonaws.cn/AmazonS3/latest/dev/object-lock.html)。

 **对象标记**-默认情况下， Amazon Backint 代理会在将 SAP HANA 备份文件存储在 S3 存储桶中` Amazon BackintAgentVersion`时添加一个名为的标签。此标签有助于识别 Amazon 备份 SAP HANA 数据库时使用的 Backint 版本和 SAP HANA 版本。您可以[从 S3 控制台或[使用](https://docs.amazonaws.cn/AmazonS3/latest/dev/object-tagging.html)列出标签的值](https://docs.amazonaws.cn/AmazonS3/latest/user-guide/view-object-properties.html) APIs。要禁用默认标记，请修改 Amazon Backint 代理配置文件。

## 数据边界


 Amazon Backint Agent 必须安装在您的 EC2 亚马逊实例上。要下载安装二进制文件，您的 EC2 实例需要访问 Amazon托管安装程序包的托管的 S3 存储桶。如果您的组织使用数据边界策略来控制环境中对 Amazon S3 的访问，则可能需要明确允许这些服务拥有的存储桶，以便 EC2 实例可以检索所需的安装程序。以下策略显示了一个服务控制策略示例，该策略允许通过资源外围访问服务拥有的资源，策略 NotResource 元素中列出了相关的服务拥有的存储桶。

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceResourcePerimeterAWSResources",
      "Effect": "Deny",
      "Action": "*",
      "NotResource": [
        "arn:aws:s3:::awssap-backint-agent",
        "arn:aws:s3:::awssap-backint-agent/*"
      ],
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:ResourceOrgID": "<organization id>",
          "aws:PrincipalTag/dp:exclude:resource": "true"
        }
      }
    }
  ]
}
```

以下策略显示了 VPC 终端节点策略示例，该策略允许通过 VPC 终端节点访问特定服务拥有的资源。相关服务拥有的存储桶列在语句的 Resource 元素中。

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsToAWSOwnedResources",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awssap-backint-agent",
                "arn:aws:s3:::awssap-backint-agent/*"
            ]
        }
    ]
}
```

对于 Amazon GovCloud，将存储桶名称替换为 s3: //-gov-east awssap-backint-agent-us -1 或 s3: //-gov-west-1。awssap-backint-agent-us

## Amazon CLI


 Amazon Backint 代理安装利用 CL Amazon I 来验证 S3 存储桶的属性。要安装或更新 Amazon CLI，请参阅[安装或更新到最新版本的 Amazon CLI](https://docs.amazonaws.cn/cli/latest/userguide/getting-started-install.html)。