AWS Backup 常見問答集

一般問題

AWS Backup 是一項全受管服務,可在 Amazon Simple Storage Service (S3)、Amazon FSx、Amazon Elastic Compute Cloud (EC2) 和 Amazon Relational Database Service (RDS) 等 AWS 服務,以及內部部署 VMware、VMware Cloud on AWS 和 VMware Cloud on AWS Outposts 等混合工作負載之間集中和自動化資料保護。AWS Backup 提供經濟高效、全受管、政策型服務,可進一步簡化大規模資料保護。使用 AWS Backup Audit Manager,您可對資料保護政策的合規進行稽核和報告,以協助滿足業務和法規要求。搭配使用 AWS Organizations,使用 AWS Backup 來集中部署資料保護政策以設定、管理和治理您的 AWS 帳戶和資源之間的備份活動。

藉助 AWS Backup,您可以定義跨 AWS 服務運作,被稱為備份計畫的集中資料保護政策,以用於運算、儲存和資料庫。備份計畫定義備份頻率和備份保留期等參數。在您定義資料保護政策並為政策指派 AWS 資源後,AWS Backup 會自動建置備份,並將這些備份存放到您所指定的加密備份文件庫內。 AWS Backup 中的集中政策還幫助您定義存取控制,在 AWS Organizations 中的所有帳戶之間對備份存取管理進行自動化。您可以使用 AWS Backup 中央主控台查看受保護的 AWS 資源、從備份還原以及監控備份和還原活動。另外,藉助 AWS Backup,您還可以產生合規指標報告,如備份頻率、資料保留期,以及 AWS 資源的備份覆蓋範圍等,並且向稽核人員展示合規狀況。

保護您的資料是實現商業和法規合規要求的重要步驟。應用程式中某些設計錯誤可能會意外遭到刪除或損壞資料,即便是耐久性資源也會受到威脅。以合規且一致的方式在所有應用程式中建置和管理您自己的備份工作流程,可能既複雜又耗費成本。AWS Backup 透過提供全受管、以政策為基礎的資料保護解決方案讓您無須使用昂貴的自訂解決方案,或執行手動程序。

AWS Backup 提供集中化主控台、自動備份計畫、備份保留管理以及備份監控和提醒。AWS Backup 提供進階功能,例如轉換備份至低成本儲存方案的生命週期政策。它也提供獨立於來源資料的備份儲存和加密、AWS Backup Audit Manager 的稽核與合規報告功能,以及透過 AWS Backup Vault Lock 刪除保護等。

您可以使用 AWS Backup 建立並管理以下 AWS 服務的備份:

Amazon Elastic Block Store (EBS) 磁碟區

Amazon EC2 執行個體 (包括 Windows 應用程式)

AWS CloudFormation 堆疊

EC2 上 Windows Volume Shadow Copy Service (VSS) 支援的應用程式 (包括 Windows Server、Microsoft SQL Server 和 Microsoft Exchange Server)。

Amazon RDS 資料庫 (包括 Amazon Aurora 叢集)

Amazon DynamoDB 資料表、Amazon Elastic File System (EFS) 檔案系統

Amazon FSx for NetApp ONTAP 檔案系統

Amazon FSx for OpenZFS 檔案系統

Amazon FSx for Windows File Server 檔案系統

Amazon FSx for Lustre 檔案系統

Amazon Neptune 資料庫

Amazon DocumentDB (with MongoDB compatibility) 資料庫

AWS Storage Gateway 磁碟區

Amazon S3

VMware CloudTM on AWS 和內部部署 VMware 虛擬機

Amazon Redshift 手動快照

SAP HANA on EC2

Amazon Timestream 資料庫

是,您可以使用 AWS Backup 可以備份內部部署 Storage Gateway 磁碟區和 VMware 虛擬機器,提供一種能在內部部署和 AWS 管理應用程式資料備份的常見方法。

是。利用服務現有備份功能而建立的備份,例如 EBS 快照,可以利用 AWS Backup 進行存取。同樣,AWS Backup 建立的備份,可以使用來源服務進行存取。

AWS 服務提供的備份功能可保護您的資料,例如 Amazon S3 複寫、Amazon EBS 快照、Amazon RDS 快照、Amazon FSx 備份、Amazon DynamoDB 備份和 AWS Storage Gateway 快照。現有各種服務的備份功能保持不變。AWS Backup 提供一種通用方法,能在 AWS 和內部部署的 AWS 服務之間管理備份。AWS Backup 是一項集中式服務,可提供備份排程、保留管理以及備份監控等功能。 AWS Backup 支援 S3、EBS、RDS、Amazon FSx、DynamoDB 和 Storage Gateway 目前提供的備份功能。對於基於 AWS Backup 構建、具有備份功能的 AWS 服務,例如 Amazon EFS 和 DynamoDB,AWS Backup 提供了備份管理功能。其他功能包括將備份轉換至低成本儲存方案的生命週期政策、獨立於來源資料的備份儲存和加密,以及備份存取政策。

AWS Backup 中建立的 Amazon Data Lifecycle Manager 政策和備份計畫彼此獨立工作,並提供兩種管理 EBS 快照的方法。Amazon Data Lifecycle Manager 提供一種 EBS 資源生命週期的簡化管理方法,例如磁碟區快照。如果要自動建立、保留和刪除 EBS 快照,則使用 Amazon Data Lifecycle Manager。使用 AWS Backup,從單一位置管理和監控您使用之 AWS 服務 (包括 EBS 磁碟區) 的備份。

AWS Backup 包含儀表板,可追蹤備份活動,例如備份、複製和還原作業。AWS Backup 的原生儀表板提供可擴展的機制,透過跨帳戶和跨區域支援監控多個環境的備份運作狀態。此外,可以使用內建指標來顯示和精確找出整個組織中的特定失敗作業。

在不支援 AWS Backup 原生儀表板的區域中,AWS 備份主控台包含 Amazon CloudWatch 儀表板,可讓客戶查看有關已完成或失敗備份、複製和還原作業的指標。在此儀表板中,您可以按時間段檢視作業狀態,並根據自身需要的排程自訂。

AWS Backup 與 AWS CloudTrail 整合,提供備份活動日誌的合併檢視,並簡化了受保護資源的稽核流程。

AWS Backup 與 Amazon Simple Notification Service (Amazon SNS) 整合,可自動提醒備份成功或初始還原等備份活動。

為獲得全受管體驗,您可以使用 AWS Backup Audit Manager 監控和報告您的帳戶和區域中的備份活動。

核心概念

復原點表示在某個特定時間的資源內容。復原點也包括中繼資料,例如資源、復原參數和標籤的相關資訊。

備份計劃是一個政策表達式,用於定義 AWS 資源的備份時間和方式,例如 DynamoDB 表或 EFS 檔案系統。您可以將資源指派給備份計劃,然後 AWS Backup 會根據備份計劃自動進行備份和保留這些資源的備份。備份計劃是由一個或多個備份規則組成的。每個備份規則由 1) 備份計劃組成的,其中包括備份頻率 (復原點目標 - [RPO]) 和備份時段;2) 生命週期規則,指定何時將備份從一個儲存方案轉換到另一個儲存方案以及復原點何時失效;3) 用於放置建立之復原點的備份文件庫;以及 4) 建立備份時新增的標籤。例如,有一個備份計劃可能包含「每日備份規則」和「每月備份規則」。 每日規則每天會在午夜備份資源並將備份保留一個月。每月規則會在每個月的月初進行一次備份,並將備份保留一年。

備份文件庫是您的 AWS 帳戶中的加密儲存位置,可用於存放與整理您的備份 (復原點)。您可以在提供 AWS Backup 的每個 AWS 區域建立新的備份文件庫。使用 AWS Backup Vault Lock 在備份文件庫上啟用刪除保護,以防止惡意行為者重新加密您的資料。AWS Backup 會在您偏好的備份文件庫中存放持續備份和定期快照,並允許您根據要求進行瀏覽與復原。

AWS Backup 生命週期功能可以自動將復原點從溫儲存層轉換至成本較低的冷儲存層。冷儲存層僅適用於 EBS、EFS、DynamoDB、Timestream 和 VMware 虛擬機器的備份。

EFS、DynamoDB、S3、Timestream 和 VMware 虛擬機器的備份會在傳輸和靜態時與來源服務分開加密,新增額外的保護層。加密是在備份文件庫級別設定的。其他服務的備份 (EC2、EBS、Amazon FSx、RDS、Aurora、Amazon DocumentDB、Neptune、Storage Gateway) 則使用來源服務的備份加密方法進行加密。例如,使用快照當初建立時所在之磁碟區的加密金鑰,對 EBS 快照進行加密。

AWS Backup 可以在備份文件庫上設定以資源為基礎的政策,讓您可以控制備份文件庫及其中備份的存取。

具有在 AWS Backup 上構建的備份功能之服務可支援更多備份功能,例如備份的生命週期分層轉換至低成本儲存層、獨立於來源資料的備份儲存和加密、備份存取政策。目前,S3、EFS、Timestream、SAP HANA on EC2 和 DynamoDB 均支援 AWS Backup 進階功能,其備份功能已與 AWS Backup 整合。若要為 DynamoDB 啟動 AWS Backup 進階功能,您必須透過設定選擇使用。EFS、S3、Timestream、SAP HANA on EC2 和 VMware 虛擬機器自動支援 AWS Backup 進階功能。AWS Backup for S3 支援備份存取政策,以及使用不同金鑰的備份加密,但不支援冷儲存方案。

委派 AWS Organizations 中的備份政策管理和 AWS Backup 中的跨帳戶監控。由此將備份管理委派給專用的備份管理帳戶,從而消除了成員帳戶存取管理帳戶,以進行備份管理的需要。委派的備份管理員可以建立和管理備份策略,並監控跨帳戶的備份活動。您可以使用組織範圍內的備份管理委派,安全地大規模集中備份管理。

合規

使用 AWS Backup Audit Manager 稽核並報告其資料保護政策的合規狀況。 AWS Backup 可幫助您根據組織最佳實務和監管標準,集中和自動化跨 AWS 服務的資料保護政策。AWS Backup Audit Manager 有助於維護和證明這些政策的合規性。

使用 AWS Backup Audit Manager,驗證在 AWS 中建立或遷移至 AWS 的工作負載是否滿足資料保護要求。AWS Backup Audit Manager 簡化了實作、追蹤和示範對備份管控和合規政策的遵守情況。

您可以透過 AWS 管理主控台、CLI、API 或軟體開發套件使用 AWS Backup Audit Manager。AWS Backup Audit Manager 提供內建合規控制。您可以自訂這些控制來定義您的資料保護政策。它旨在自動偵測違反定義的資料保護政策的行為,並會提示您採取更正措施。使用 AWS Backup Audit Manager,持續評估備份活動並產生稽核報告,以示範遵循法規要求。

AWS Backup Audit Manager 是一種旨在稽核備份需求 (如備份頻率或備份保留期) 合規的程序。AWS Backup Audit Manager 架構是一組控制,可以作為單一實體部署和管理。

AWS Backup Audit Manager 控制根據您定義的組態設定評估備份資源的組態。如果資源符合控制中定義的組態,則該控制的資源的合規狀態為 COMPLIANT。如果不符合,則狀態為 NON_COMPLIANT。如果 AWS Backup Audit Manager 控制評估的所有資源都合規,則控制的合規狀態為 COMPLIANT。同樣地,如果架構中的所有控制都合規,則架構的合規狀態為 COMPLIANT。

在 AWS Backup 主控台上,導覽至 AWS Backup Audit Manager Frameworks (AWS Backup Audit Manager 架構) 部分,並選擇架構名稱以檢視架構和控制的合規狀態。

您可以建立與 AWS Backup 活動相關的報告。這些報告可協助您取得備份、複製和還原任務的詳細資訊。您可以使用這些報告來監控您的操作狀態,並識別可能需要採取進一步動作的任何故障。

AWS Config 持續不斷地監控和記錄您的 AWS 資源組態,以便您依據所需的組態來自動評估記錄的組態。AWS Backup Audit Manager 與 AWS Config 整合,以追蹤備份活動並將資料保護政策轉錄到備份控制。部署備份控制後,AWS Backup Audit Manager 將根據控制評估備份活動,並記錄備份合規狀態。您還可以產生用於稽核和監控目的的報告。藉助 AWS Backup Audit Manager,您可以從 AWS Organization (AWS 組織) 的主帳戶建立多區域和多帳戶報告。

AWS 擁有雲端最資深的合規計劃,並且致力於協助客戶釐清他們的需求。AWS Backup 已通過評量,符合全球和業界的安全標準。它符合以下認證:PCI DSS、ISO 9001270012701727018,此外也符合 HIPAA 資格。這讓您能夠更簡單地驗證我們的安全性,並滿足自己的合規義務。如需詳細資訊和資源,請參閱我們的合規頁面。您也可以前往合規計畫範圍內的服務頁面查看完整的服務和認證清單。

您可以使用定義還原測試頻率、目標開始時間和還原點選擇標準的還原測試計畫,以自動執行還原測試。然後,您可以將資源指定給計畫,並指定預設還原參數和保留期,以便在清理之前執行內部測試。

在還原測試計畫執行完成之後,您可以透過顯示還原測試案例的成功完成以及還原工作的完成時間,使用結果來滿足合規和治理要求。 

是。AWS Backup 符合 PCI-DSS 標準,因此您可以使用它來傳輸付款資訊。您可以在 AWS Artifact 下載 PCI 合規套件,進一步了解如何在 AWS 上達到 PCI 合規。

是。AWS Backup 符合 HIPAA 相關標準,因此如果您有與 AWS 簽署的 HIPAA BAA,就可以使用 AWS Backup 傳輸受保護的醫療資訊 (PHI)。

一次寫入多次讀取 (WORM)

AWS Backup Vault Lock 功能可幫助您防止對備份生命週期做出變更,以及防止手動刪除備份,從而協助您滿足合規要求。AWS Backup Vault Lock 實作保護措施,驗證您是否使用一次寫入多次讀取 (WORM) 模型存放備份。

AWS Backup Vault Lock 來驗證是否任何使用者 (包括管理員或惡意動作的實施者) 都無法刪除您的備份或變更其生命週期設定,例如保留期和過渡到冷儲存。 AWS Backup 根據您的預定保留期保留這些備份,協助您實現業務連續性目標。AWS Backup Vault Lock 還可與保留期、冷儲存轉換和跨帳戶/區域複製等備份政策配合使用。這提供了額外的保護,並有助於滿足您的合規要求。AWS Backup Vault Lock 可防止您保留不符合可接受的最短和最長保留期限的備份。

AWS Backup Vault Lock 適用於駐留在 AWS Backup 備份文件庫中的資料,而 S3 Glacier Vault Lock 適用於單個 S3 Glacier Vault。 AWS Backup Vault Lock 可防止手動刪除備份和對備份生命週期設定做出變更,以協助您跨 AWS 服務集中保護備份。S3 Glacier Vault Lock 可讓您強制執行合規控制,這些控制設計用於支援個別 S3 Glacier 文件庫的長期記錄保留。 

AWS Backup Vault Lock 是 AWS Backup 文件庫層級的可選組態,包括三個屬性:最短可接受保留天數、最長可接受保留天數和寬限期。它可組織備份刪除操作和對其生命週期的變更。

如果您啟動 AWS Backup Vault Lock 組態,則 AWS Backup 將保護文件庫中所有新建立的復原點免遭刪除和對其生命週期的變更。AWS Backup 也會使所有保留期不符合 AWS Backup Vault Lock 可接受的保留期的備份任務失敗。

AWS Backup Vault Lock 驗證是否您的備份在達到保留期和到期前可用。 如果任何使用者,包括根帳戶使用者,試圖刪除備份或更新鎖定的文件庫中其生命週期屬性,則 AWS Backup 會拒絕該操作。

透過寬限期,您可以在自己定義的天數內測試該功能。只要寬限期未到期,您都可以更新和移除 AWS Backup Vault Lock 組態。寬限期到期後,AWS Backup 不允許對組態做出任何變更。

AWS Backup for Simple Storage Service (Amazon S3)

藉助 AWS Backup,您可以定義集中備份政策,在 AWS 服務之間為運算、儲存和資料庫服務管理您的應用程式的備份與復原。 在您定義備份政策並指派 S3 資源後,AWS Backup 會自動建立 S3 備份,並將這些備份存放到您所指定的加密儲存文件庫內。建立 S3 儲存貯體的持續時間點備份或定期備份,包括物件資料、物件標籤、存取控制清單 (ACL) 和使用者定義的中繼資料。第一次備份為完整快照,後續則採用增量改進快照的形式。如果發生資料中斷事件,從備份文件庫中選擇一個備份,然後將 S3 儲存貯體 (或個別 S3 物件) 復原至新的或現有 S3 儲存貯體。AWS Backup 中的集中政策還幫助您定義存取控制,在 AWS Organizations 中的所有帳戶之間對備份存取管理進行自動化。

AWS Backup 和 Simple Storage Service (Amazon S3) 均提供可協助您管理應用程式的業務持續性的功能。使用 AWS Backup,您可以在多項 AWS 服務之間為您的應用程式集中管理備份和還原,而使用 AWS Backup for S3,您可管理 S3 儲存貯體和物件中的資料。如果您是負責跨多項 AWS 服務對您的應用程式進行備份、復原並管理其合規狀況的備份管理員,您可以使用 AWS Backup 滿足此類需求。Amazon S3 功能,如版本控制Object Lock複寫等,可協助儲存管理員保留資料,並防止意外刪除 Amazon S3 資料。您可以同時使用這兩個功能集在整個組織範圍內管理備份和復原。

如果您已經有應用程式備份計畫,而且想要對 Amazon S3 使用它,只需使用標籤或 Amazon S3 儲存貯體 ARN 將您的 S3 資源新增至現有的備份計劃。AWS Backup 會匹配 S3 儲存貯體中的標籤和您指派給備份計畫的標籤,並備份那些資源以及您的應用程式所使用的其他 AWS 服務。

AWS Backup 為您提供兩種用於 Amazon S3 資源的備份選項︰持續備份和定期備份。持續備份可將 Amazon S3 資源還原至過去 35 天內的任何時間點。您可以使用時間點功能將您的 Amazon S3 資源還原至最近 35 天內任一時間的狀況。定期備份可無限期保留資料。您可以按 1 小時、12 小時、1 天、1 週以及 1 個月等頻率排程快照,或者隨需建立快照。持續備份適用於撤銷意外刪除,而定期快照可協助您滿足長期資料保留需求。

是,開啟 S3 版本控制是建立 S3 儲存貯體和物件的備份的先決條件。還會為您的版本設定生命週期過期時間 – 如果您不這樣做,您的 S3 成本可能會增加,因為 AWS Backup 會備份並存放您的 S3 資料的所有未過期版本。參閱我們的技術文件了解更多資訊。

適用於 VMware 的 AWS Backup 支援

AWS Backup 會擴展其雲端內的全受管服務功能至您的 VMware 環境,協助您在 AWS 和內部部署 AWS 環境之間提供備份的統一檢視。AWS Backup 與 VMware ESXi VM 整合,排定與管理 VMware 備份,並在 AWS 中存放備份,以便您可以從 AWS 全面管理 Vmware 資料保護。使用 AWS Backup,您可以高效地將備份存放於 AWS,跨 AWS 區域和帳戶複製備份,從而實現業務持續性和勒索軟體保護。您可以在內部部署或 AWS 中復原 VMware 備份,將其用於商業持續性驗證與測試/開發使用案例。AWS Backup 的政策驅動型方法幫助您以自動、可擴展的方式為運算、儲存和資料庫集中管理對 VMware 工作負載和支援的 AWS 服務的保護。

AWS Backup 透過您在 VMware 環境中部署的 AWS Backup 閘道連接至 VMware 工作負載。AWS Backup 閘道會透過 VMware vCenter 伺服器探索 VM,拍攝 VM 快照,並在 AWS Backup 和您的 VMware 環境之間管理資料備份與復原。您可以使用標籤、VM 資源 ID,或按 VM 資料夾或虛擬化管理程序進行群組指派,將 VM 指派到您的備份政策。這些政策會使用支援的 AWS Backup 服務集中控管 VMware VM 的資料保護。在完成這些步驟後,AWS Backup 會開始安全地將 VM 備份到其儲存文件庫。您可以從 AWS Backup 檢視您的 VMware 備份,根據您的要求復原內部部署或 AWS 中的備份。

AWS Backup 支援在內部部署、VMware CloudTM on AWS 和 VMware CloudTM on AWS Outposts 的 NFS、VMFS 和 VSAN 資料儲存上執行的 VMware ESXi 6.7.X 和 7.0.X VM。AWS Backup 支援 SCSI 熱新增和網路區塊型儲存裝置 (NBD) 輸送模式,以便從來源虛擬機器 (VM) 複製資料到 AWS。

您可以使用 AWS Backup 在 VMware CloudTM AWS Outposts 上保護您的虛擬機器。AWS Backup 將您的 VM 備份存放在 VMware CloudTM on AWS Outposts 連線的 AWS 區域中。使用 VMware CloudTM 來滿足應用程式資料的低延遲和本機資料處理需求時,您可以使用 AWS Backup 來保護您的 VMware CloudTM on AWS Outposts 虛擬機器。根據您的資料駐留要求,您可以選擇 AWS Backup 將應用程式資料的備份存放在 Outposts 連線的父 AWS 區域中。

您可以從 AWS Backup 主控台將 VMware 備份還原至新的內部部署 VMware 虛擬主機、VMware CloudTM on AWS、VMware CloudTM on AWS Outposts、Amazon EBS 或 Amazon EC2。

可以,根據組織需要,您可以在 AWS Backup 中設定生命週期政策,將您的 VMware 備份從溫儲存轉換到低成本冷儲存。轉換至冷儲存的備份至少必須儲存 90 天,而在 90 天內刪除的備份則需按比例支付剩餘天數的儲存費用。

AWS Backup 支援 VMware VM 的第一次完整,以及增量改進永久備份,您可以隨需或透過備份計畫中設定的安排建立這些備份。

AWS Backup 預設會使用 VM 的 VMware Tools Quiescence 設定擷取 VMware VM 的應用程式一致備份。若 Quiescence 功能不可用,AWS Backup 會擷取當機一致備份。

是,AWS Backup 會壓縮傳輸到 AWS 的 VMware 備份,幫助您以最佳方式使用您的 AWS 網路連接。

是,您的 VM 備份會在傳輸和靜態時透過使用 AES-256 加密演算法被加密。您還可以使用客戶管理的金鑰加密存放於雲端的備份。

從生產備份將 VMware 備份的複本存放於不同的 AWS 區域,以滿足業務持續性、災難復原以及合規要求。

可以,您可以複製 VMware 備份到另一個 AWS 帳戶,幫助您在您的生產和開發/測試環境之間,或者不同部門和專案帳戶之間使用備份。 複製 VMware 備份到另一個 AWS 帳戶因 AWS Backup 和 AWS Organizations 的整合得以實現,同時提供更多一層帳戶隔離和安全性。

所需的網路頻寬取決於您要保護的 VMware VM、每個 VM 的大小、每個 VM 產生的增量改進資料,以及您的備份時段和復原要求。我們建議您至少有 100 Mbps 頻寬連接到 AWS,以便使用 AWS Backup 備份內部部署 VMware VM。

您必須為 VPC 端點持續佈建的小時數付費。無論流量的來源或目的地為何,透過 VPC 端點處理的每個 GB 還按照資料處理的標準收費。如需進一步了解,請瀏覽 AWS PrivateLink 定價。