AWS Backup 常见问题

恢复点表示指定时间的资源内容。恢复点还包括元数据，例如有关资源、还原参数和标记的信息。

备份计划是一个策略表达式，用于确定备份 AWS 资源（例如 DynamoDB 表或 EFS 文件系统）的时间和方式。您可以将资源分配给备份计划，然后 AWS Backup 会根据备份计划自动进行备份和保留这些资源的备份。备份计划由一个或多个备份规则组成。每个备份规则由以下内容组成：1) 备份计划，其中包括备份频率（恢复点目标 [RPO]）和备份时段；2) 生命周期规则，用于指定何时将备份从一个存储层转换到另一个存储层，以及何时让恢复点过期；3) 备份文件库，用于放置创建的恢复点；以及 4) 创建时添加到备份的标记。例如，一个备份计划可能具有一个“每日备份规则”和一个“每月备份规则”。 每日规则在每天午夜备份资源，并且保留备份一个月。每月规则在每个月的月初进行一次备份，并且保留备份一年。

备份文件库是 AWS 账户中的一个加密存储位置，用于存储和组织您的备份（恢复点）。您可以在 AWS Backup 可用的每个 AWS 区域中创建新的备份文件库。使用 AWS 备份保管库锁对备份文件库启用删除保护，以防止恶意行为者重新加密您的数据。AWS Backup 将您连续备份和定期快照存储在您偏好的备份库中，您可以按要求浏览和恢复备份。

AWS Backup 的生命周期功能可以自动将恢复点从暖存储层过渡到成本低廉的冷存储层。冷存储层仅用于存储 EFS、DynamoDB、Timestream 和 VMware 虚拟机的备份。

EFS、DynamoDB、S3、Timestream 和 VMware 虚拟机的备份均独立于源服务进行传输中和静态加密，从而增加了额外的保护。加密是在备份文件库级别配置的。来自其他服务（EC2、EBS、Amazon FSx、RDS、Aurora、Amazon DocumentDB、Neptune、Storage Gateway）的备份使用源服务的备份加密方法进行加密。例如，使用创建快照的卷的加密密钥来对 EBS 快照进行加密。

AWS Backup 可以在备份文件库上设置基于资源的策略，从而使您可以控制对备份文件库及其中备份的访问。

基于 AWS Backup 具有备份功能的服务还支持其他备份功能，如备份到低成本存储层的生命周期分层、独立于其源数据的备份存储和加密，以及备份访问策略。目前，S3、EFS、Timestream、SAP HANA on EC2 和 DynamoDB 支持 AWS Backup 的高级功能，其备份功能与 AWS Backup 集成。要为 DynamoDB 激活 AWS Backup 的高级功能，您必须通过设置选择加入。EFS、S3、Timestream、SAP HANA on EC2 和 VMware 虚拟机自动支持 AWS Backup 高级功能。AWS Backup for S3 支持备份访问策略，及使用不同的密钥对备份进行加密，但不支持冷存储层。

委派 AWS Organizations 中的备份策略管理和 AWS Backup 中的跨账户监控。这允许将备份管理委派给专用的备份管理账户，从而不需要成员账户访问备份管理的管理账户。委派的备份管理员可以跨账户创建和管理备份策略以及监控备份活动。通过组织范围内的备份管理委派，您可以安全地大规模集中进行备份管理。

利用 AWS Backup Audit Manager 审计和报告您的数据保护策略的合规性。 AWS Backup 可帮助您根据企业最佳实践和监管标准跨 AWS 服务集中和自动化数据保护策略。AWS Backup Audit Manager 有助于维护和证明遵守这些策略。

使用 AWS Backup Audit Manager，验证您在 AWS 中创建（或迁移到 AWS）的工作负载符合数据保护要求。AWS Backup Audit Manager 简化了备份管理和合规性策略的实施、跟踪和演示。

您可以通过 AWS 管理控制台、CLI、API 或 SDK 使用 AWS Backup Audit Manager。AWS Backup Audit Manager 提供了内置的合规控件。您可以自定义这些控件来定义数据保护策略。它旨在自动检测违反您定义的数据保护政策的行为，并将提示您采取纠正措施。借助 AWS Backup Audit Manager，持续评估备份活动并生成证明符合法规要求的审计报告。

AWS Backup Audit Manager 控件是设计用于审计备份要求（例如，备份频率或备份保留期）合规性的程序。AWS Backup Audit Manager 框架是可作为单个实体部署和管理的控件的集合。

AWS Backup Audit Manager 控件对照定义的配置设置评估您的备份资源的配置。如果资源符合在控件中定义的配置，则该控件的资源合规性状态为 COMPLIANT。如果不符合，则状态为 NON_COMPLIANT。如果 AWS Backup Audit Manager 控件评估的所有资源都符合要求，则控件的合规性状态为 COMPLIANT。同样，如果框架中的所有控件都符合要求，则框架的合规性状态为 COMPLIANT。

在 AWS Backup 控制台上，导航到 AWS Backup Audit Manager Frameworks（框架）部分，然后选择框架名称以查看框架和控件的合规性状态。

您可创建与您的 AWS Backup 活动有关的报告。这些报告可帮助您获得备份、复制和还原任务的详细信息。您可以使用这些报告监控运行状态，并识别可能需要进一步操作的任何故障。

AWS Config 可以持续监控和记录您的 AWS 资源配置，因此您可以依据所需的配置自动评估记录的配置。AWS Backup Audit Manager 可与 AWS Config 集成，以跟踪备份活动并将数据保护策略转录到备份控件中。当您部署了备份控件后，AWS Backup Audit Manager 将对照您的控件评估备份活动，并记录备份合规性状态。您还可以生成报告，用于审计和监控用途。使用 AWS Backup Audit Manager，您可以从 AWS 组织的管理账户创建多区域和多账户报告。

AWS 在云中拥有运行时间最长的合规性计划，并致力于帮助客户满足其要求。已对 AWS Backup 进行了评估，以满足全球和行业安全标准。除了符合 HIPAA 要求以外，它还符合 PCI DSS、ISO 9001、27001、27017 和 27018。这使您能够简化验证我们的安全性，并履行您自己的义务。有关更多信息和资源，请访问我们的合规性页面。您也可以转到按合规性计划提供的范围内服务页面，以查看服务和认证的完整列表。

您可以使用还原测试计划自动进行还原测试，该计划定义了还原测试的频率、目标开始时间和恢复点选择标准。然后，为您的计划分配资源，并指定执行内部测试的默认还原参数和保留期。

恢复测试计划执行完成后，您可以使用结果来显示还原测试场景的成功完成情况和还原任务的完成时间，从而满足合规性和治理要求。 

可以。AWS Backup 符合 PCI-DSS，这意味着您可以使用它来传输付款信息。您可以在 AWS Artifact 中下载 PCI 合规性文件包，以详细了解如何在 AWS 上实现 PCI 合规性。

可以。AWS Backup 符合 HIPAA，这意味着如果您有适用于 AWS 的 HIPAA BAA，则可以使用 AWS Backup 来传输受保护的健康信息（PHI）。

AWS 备份保管库锁是一项功能，可帮助您防止对备份生命周期进行更改，以及防止手动删除备份，从而帮助您满足合规性要求。AWS 备份保管库锁实施相应的保障措施，验证您是否使用一次写入多次读取（WORM）模式来存储备份。

AWS 备份保管库锁可验证任何用户（包括管理员或恶意操作者）都不能删除您的备份或更改其生命周期设置，如保留期和对冷存储的转换。 AWS Backup 根据您计划的保留周期保存这些备份，以帮助您实现业务连续性目标。AWS 备份保管库锁还适用于备份策略，如保留期、冷存储过渡和跨账户/区域复制。这提供了额外的保护层，有助于满足您的合规性要求。AWS 备份保管库锁可防止您保留不符合可接受的最低和最高保留期限的备份。

AWS 备份保管库锁适用于 AWS Backup 备份文件库中的数据，而 S3 Glacier 文件库锁定适用于单个 S3 Glacier 文件库。 AWS 备份保管库锁可防止手动删除备份和更改备份生命周期设置，以帮助您跨 AWS 服务集中保护备份。S3 Glacier 文件库锁定使您能够实施旨在支持单个 S3 Glacier 文件库的长期记录保留的合规性控制。 

AWS 备份保管库锁是处于 AWS Backup 文件库级的可选配置，由三个属性组成：最低可接受保留天数、最高可接受保留天数以及宽限期。它可以阻止备份删除操作和对备份生命周期的更改。

如果您激活 AWS 备份保管库锁配置，AWS Backup 将保护文件库中所有新创建的恢复点，防止删除以及它们的生命周期遭受更改。AWS Backup 也会使所有保留期不满足 AWS 备份保管库锁可接受保留期的备份作业失败。

AWS 备份保管库锁可验证您的备份在达到保留期和过期之前是否均可用。 如果任何用户（包括根账户用户）试图在锁定的文件库中删除备份或更新其生命周期属性，AWS Backup 将拒绝该操作。

有了宽限期，您可以在定义的天数内测试该功能。只要宽限期未过期，您就可以更新并删除 AWS 备份保管库锁配置。当宽限期过期后，AWS Backup 将不允许对配置进行任何更改。

法律封存，也称为诉讼封存，用于组织必须保留某些数据以进行保存、审计或作为法律诉讼和电子发现中的证据。这些封存可以防止删除备份，即使备份的保留期已过，并且在明确发布之前保持不变。

使用 AWS Backup，您可以定义一个中心备份策略，用以管理跨 AWS 服务的计算、存储和数据库服务的应用程序的备份和还原。 定义备份策略并分配 S3 资源后，AWS Backup 自动创建 S3 备份并将这些备份存储在您指定的加密存储库中。为 S3 存储桶创建持续备份或定期备份，包括对象数据、对象标签、访问控制列表（ACL）和用户定义元数据。第一次备份为完全快照备份，而随后的备份为递增备份。如果发生数据中断事件，请从备份库中选择一个备份，并将一个 S3 存储桶（或单独的 S3 对象）还原到一个新的或现有的 S3 存储桶。AWS Backup 中的中心策略还可以帮助您定义访问控制，在 AWS Organizations 内的所有账户中自动进行备份访问管理。

AWS Backup 和 Amazon S3 均具有帮助您管理应用程序业务连续性的功能。您可以利用 AWS Backup 跨多个 AWS 服务集中管理应用程序的备份和还原，而利用 S3 功能，您可以管理 S3 存储桶和对象中的数据。如果您是一名备份管理员，负责多个 AWS 服务中应用程序的备份、还原和合规性，您可以使用 AWS Backup 满足这些需求。借助版本控制、对象锁定、和复制等 Amazon S3 的功能，可帮助存储管理员保存数据，防止意外删除 Amazon S3 数据。您可以将两组功能组合使用，从而管理组织内部的数据备份和还原。

如果您已经制定应用程序的备份计划，且希望为 Amazon S3 采用，您只需使用标签或 S3 存储桶 ARN 将 Amazon S3 资源添加到现有备份计划中即可。AWS Backup 会比对 S3 存储桶中的标签和分配给备份计划的标签，并将这些资源与应用程序使用的其他 AWS 服务一起进行备份。

AWS Backup 中可用于 Amazon S3 资源的备份选项有两个：连续备份和定期备份。连续备份可以将 Amazon S3 资源还原到过去 35 天内的任何时间点。您可以使用时间点功能将 Amazon S3 资源还原到过去 35 天内的任何时间。定期备份会无限期地保留数据。您可以按照 1 小时、12 小时、1 天、1 周或 1 个月的频率计划快照备份时间，也可按需创建快照。连续备份适合用于防止意外删除，而定期快照有助于满足长期数据留存的需要。

有。创建 S3 存储桶备份和对象的前提条件是开启 S3 版本控制。由于 AWS Backup 会备份和存储 S3 数据的所有未过期版本，因此还需要为您的版本设置生命周期过期时间，否则可能会增加您的 S3 成本。请参阅技术文档以了解更多信息。

AWS Backup 将云中、完全托管式服务的功能扩展到您的 VMware 环境，为您提供 AWS 和本地部署的 AWS 环境中备份的视图。AWS Backup 集成 VMware ESXi VMs，预定 VMware 备份的时间并对其进行管理，并在 AWS 中存储备份，因此您可以从 AWS 中对 VMware 数据保护进行全面管理。利用 AWS Backup，您可以高效地在 AWS 中存储备份，跨 AWS 区域和账户复制备份，实现业务连续性和勒索软件保护。您可以在本地部署或在 AWS 上恢复 VMware 备份，用于业务连续性验证和测试/开发使用案例。AWS Backup 的策略驱动方法可帮助您以自动化、可扩展方式，集中管理对 VMware 工作负载以及所支持的 AWS 计算、存储和数据库服务的保护。

AWS Backup 使用您部署在 VMware 环境中的 AWS Backup 网关连接到 VMware 工作负载。AWS Backup 网关通过 VMware vCenter Server 发现虚拟机，拍摄虚拟机快照，管理 AWS Backup 和 VMware 环境之间的数据备份和还原。您可以使用标签、VM 资源 ID 或 VM 文件夹或虚拟机管理程序的组分配来将 VM 分配给备份策略。这些通过支持的 AWS Backup 服务集中管理 VMware 虚拟机的数据保护。完成这些步骤之后，AWS Backup 开始将虚拟机安全备份到存储库中。您可以从 AWS Backup 中查看 VMware 备份，根据需要在本地或 AWS 中还原备份。

AWS Backup 支持 VMware ESXi 6.7.X、NFS 上运行的 7.0.X 虚拟机、VMFS、以及在本地、VMware CloudTM on AWS 和 VMware CloudTM on AWS Outposts 中的 VSAN 的数据存储。AWS Backup 还支持 SCSI Hot-Add 和 网络块设备（NBD）这两种将数据从源虚拟机（VM）复制到 AWS 的传输模式。

您可以使用 AWS Backup 保护您在 VMware CloudTM on AWS Outposts 上的虚拟机。AWS Backup 将您的 VM 备份存储到您的 VMware CloudTM on AWS Outposts 连接到的 AWS 区域中。当使用 VMware CloudTM 满足应用程序数据的低延迟和本地数据处理需求时，您可以使用 AWS Backup 保护您的 VMware CloudTM on AWS Outposts 虚拟机。根据您的数据驻留需求，您可以选择 AWS Backup 将应用程序数据的备份存储在 Outposts 连接到的父 AWS 区域中。

您可以从 AWS Backup 控制台将 VMware 备份恢复到一个本地部署的新 VMware 虚拟主机、VMware CloudTM on AWS、VMware CloudTM on AWS Outposts、Amazon EBS 或 Amazon EC2。

可以。根据企业需要，您可以在 AWS Backup 中配置生命周期策略，将 VMware 备份自动从暖存储转移到成本低廉的冷存储。传输到冷存储的备份最短需存储 90 天，未满 90 天删除的备份会产生按比例支付的费用，该费用等于剩余天数的存储费用。

AWS Backup 首先支持对 VMware 虚拟机的完全备份，然后支持永久递增备份，您可以按需或通过备份计划中配置的时间表创建备份。

原定设置下，AWS Backup 通过使用虚拟机上的 VMware Tool 静默设置获取应用程序一致的 VMware 虚拟机备份。如果静默功能不可用，则 AWS Backup 获取崩溃一致性备份。

支持。在 VMware 备份传输至 AWS 的过程中，AWS Backup 对 VMware 备份进行压缩，帮助您以最佳方式实现与 AWS 的联网。

是。您的 VM 备份在传输和静止时使用 AES-256 加密算法进行加密。您还可以使用客户托管密钥加密存储在云端的备份。

将 VMware 备份的副本存储在与您的生产备份不同的 AWS 区域，以满足业务连续性、灾难恢复和合规性要求。

可以。您可以将 VMware 备份复制到其他 AWS 账户，帮助您在生产、开发/测试环境，以及在不同部门和项目账户间使用备份。 通过 AWS Backup 和 AWS Organizations 的集成，将 VMware 备份到另一个 AWS 账户，还提供了额外级别的账户隔离和安全。

所需的网络带宽取决于您希望保护的 VMware VM、每个 VM 生成的递增数据，以及您的备份窗口和恢复要求。我们建议您至少为 AWS 提供 100mbps 的带宽，以使用 AWS Backup 备份本地 VMware 虚拟机。

可以。如果网络通过 Direct Connect 或 VPN 连接到您的 Amazon VPC，您可以在私有的不可路由网络上部署 AWS Backup 网关。Backup 网关流量通过由 AWS PrivateLink 提供支持的 VPC 端点进行路由。AWS PrivateLink 使用 VPC 中带有私有 IP 的弹性网络接口（ENI）来支持各 AWS 服务之间的私有连接。

我们将按您的 VPC 端点保持预置状态的小时数收费。我们将按照由 VPC 端点处理的每 GB 数据收取数据处理费用，无论流量的来源或目的地如何。请访问 AWS PrivateLink 定价以了解更多信息。