AWS Backup 常見問答集

復原點表示在某個特定時間的資源內容。復原點也包括中繼資料，例如資源、復原參數和標籤的相關資訊。

備份計劃是一個政策表達式，用於定義 AWS 資源的備份時間和方式，例如 DynamoDB 表或 EFS 檔案系統。您可以將資源指派給備份計劃，然後 AWS Backup 會根據備份計劃自動進行備份和保留這些資源的備份。備份計劃是由一個或多個備份規則組成的。每個備份規則由 1) 備份計劃組成的，其中包括備份頻率 (復原點目標 - [RPO]) 和備份時段；2) 生命週期規則，指定何時將備份從一個儲存方案轉換到另一個儲存方案以及復原點何時失效；3) 用於放置建立之復原點的備份文件庫；以及 4) 建立備份時新增的標籤。例如，有一個備份計劃可能包含「每日備份規則」和「每月備份規則」。 每日規則每天會在午夜備份資源並將備份保留一個月。每月規則會在每個月的月初進行一次備份，並將備份保留一年。

備份文件庫是您的 AWS 帳戶中的加密儲存位置，可用於存放與整理您的備份 (復原點)。您可以在提供 AWS Backup 的每個 AWS 區域建立新的備份文件庫。使用 AWS Backup Vault Lock 在備份文件庫上啟用刪除保護，以防止惡意行為者重新加密您的資料。AWS Backup 會在您偏好的備份文件庫中存放持續備份和定期快照，並允許您根據要求進行瀏覽與復原。

AWS Backup 生命週期功能可以自動將復原點從溫儲存層轉換至成本較低的冷儲存層。冷儲存層僅適用於 EBS、EFS、DynamoDB、Timestream 和 VMware 虛擬機器的備份。

EFS、DynamoDB、S3、Timestream 和 VMware 虛擬機器的備份會在傳輸和靜態時與來源服務分開加密，新增額外的保護層。加密是在備份文件庫級別設定的。其他服務的備份 (EC2、EBS、Amazon FSx、RDS、Aurora、Amazon DocumentDB、Neptune、Storage Gateway) 則使用來源服務的備份加密方法進行加密。例如，使用快照當初建立時所在之磁碟區的加密金鑰，對 EBS 快照進行加密。

AWS Backup 可以在備份文件庫上設定以資源為基礎的政策，讓您可以控制備份文件庫及其中備份的存取。

具有在 AWS Backup 上構建的備份功能之服務可支援更多備份功能，例如備份的生命週期分層轉換至低成本儲存層、獨立於來源資料的備份儲存和加密、備份存取政策。目前，S3、EFS、Timestream、SAP HANA on EC2 和 DynamoDB 均支援 AWS Backup 進階功能，其備份功能已與 AWS Backup 整合。若要為 DynamoDB 啟動 AWS Backup 進階功能，您必須透過設定選擇使用。EFS、S3、Timestream、SAP HANA on EC2 和 VMware 虛擬機器自動支援 AWS Backup 進階功能。AWS Backup for S3 支援備份存取政策，以及使用不同金鑰的備份加密，但不支援冷儲存方案。

委派 AWS Organizations 中的備份政策管理和 AWS Backup 中的跨帳戶監控。由此將備份管理委派給專用的備份管理帳戶，從而消除了成員帳戶存取管理帳戶，以進行備份管理的需要。委派的備份管理員可以建立和管理備份策略，並監控跨帳戶的備份活動。您可以使用組織範圍內的備份管理委派，安全地大規模集中備份管理。

使用 AWS Backup Audit Manager 稽核並報告其資料保護政策的合規狀況。 AWS Backup 可幫助您根據組織最佳實務和監管標準，集中和自動化跨 AWS 服務的資料保護政策。AWS Backup Audit Manager 有助於維護和證明這些政策的合規性。

使用 AWS Backup Audit Manager，驗證在 AWS 中建立或遷移至 AWS 的工作負載是否滿足資料保護要求。AWS Backup Audit Manager 簡化了實作、追蹤和示範對備份管控和合規政策的遵守情況。

您可以透過 AWS 管理主控台、CLI、API 或軟體開發套件使用 AWS Backup Audit Manager。AWS Backup Audit Manager 提供內建合規控制。您可以自訂這些控制來定義您的資料保護政策。它旨在自動偵測違反定義的資料保護政策的行為，並會提示您採取更正措施。使用 AWS Backup Audit Manager，持續評估備份活動並產生稽核報告，以示範遵循法規要求。

AWS Backup Audit Manager 是一種旨在稽核備份需求 (如備份頻率或備份保留期) 合規的程序。AWS Backup Audit Manager 架構是一組控制，可以作為單一實體部署和管理。

AWS Backup Audit Manager 控制根據您定義的組態設定評估備份資源的組態。如果資源符合控制中定義的組態，則該控制的資源的合規狀態為 COMPLIANT。如果不符合，則狀態為 NON_COMPLIANT。如果 AWS Backup Audit Manager 控制評估的所有資源都合規，則控制的合規狀態為 COMPLIANT。同樣地，如果架構中的所有控制都合規，則架構的合規狀態為 COMPLIANT。

在 AWS Backup 主控台上，導覽至 AWS Backup Audit Manager Frameworks (AWS Backup Audit Manager 架構) 部分，並選擇架構名稱以檢視架構和控制的合規狀態。

您可以建立與 AWS Backup 活動相關的報告。這些報告可協助您取得備份、複製和還原任務的詳細資訊。您可以使用這些報告來監控您的操作狀態，並識別可能需要採取進一步動作的任何故障。

AWS Config 持續不斷地監控和記錄您的 AWS 資源組態，以便您依據所需的組態來自動評估記錄的組態。AWS Backup Audit Manager 與 AWS Config 整合，以追蹤備份活動並將資料保護政策轉錄到備份控制。部署備份控制後，AWS Backup Audit Manager 將根據控制評估備份活動，並記錄備份合規狀態。您還可以產生用於稽核和監控目的的報告。藉助 AWS Backup Audit Manager，您可以從 AWS Organization (AWS 組織) 的主帳戶建立多區域和多帳戶報告。

AWS 擁有雲端最資深的合規計劃，並且致力於協助客戶釐清他們的需求。AWS Backup 已通過評量，符合全球和業界的安全標準。它符合以下認證：PCI DSS、ISO 9001、27001、27017 和 27018，此外也符合 HIPAA 資格。這讓您能夠更簡單地驗證我們的安全性，並滿足自己的合規義務。如需詳細資訊和資源，請參閱我們的合規頁面。您也可以前往合規計畫範圍內的服務頁面查看完整的服務和認證清單。

您可以使用定義還原測試頻率、目標開始時間和還原點選擇標準的還原測試計畫，以自動執行還原測試。然後，您可以將資源指定給計畫，並指定預設還原參數和保留期，以便在清理之前執行內部測試。

在還原測試計畫執行完成之後，您可以透過顯示還原測試案例的成功完成以及還原工作的完成時間，使用結果來滿足合規和治理要求。 

是。AWS Backup 符合 PCI-DSS 標準，因此您可以使用它來傳輸付款資訊。您可以在 AWS Artifact 下載 PCI 合規套件，進一步了解如何在 AWS 上達到 PCI 合規。

是。AWS Backup 符合 HIPAA 相關標準，因此如果您有與 AWS 簽署的 HIPAA BAA，就可以使用 AWS Backup 傳輸受保護的醫療資訊 (PHI)。

AWS Backup Vault Lock 功能可幫助您防止對備份生命週期做出變更，以及防止手動刪除備份，從而協助您滿足合規要求。AWS Backup Vault Lock 實作保護措施，驗證您是否使用一次寫入多次讀取 (WORM) 模型存放備份。

AWS Backup Vault Lock 來驗證是否任何使用者 (包括管理員或惡意動作的實施者) 都無法刪除您的備份或變更其生命週期設定，例如保留期和過渡到冷儲存。 AWS Backup 根據您的預定保留期保留這些備份，協助您實現業務連續性目標。AWS Backup Vault Lock 還可與保留期、冷儲存轉換和跨帳戶/區域複製等備份政策配合使用。這提供了額外的保護，並有助於滿足您的合規要求。AWS Backup Vault Lock 可防止您保留不符合可接受的最短和最長保留期限的備份。

AWS Backup Vault Lock 適用於駐留在 AWS Backup 備份文件庫中的資料，而 S3 Glacier Vault Lock 適用於單個 S3 Glacier Vault。 AWS Backup Vault Lock 可防止手動刪除備份和對備份生命週期設定做出變更，以協助您跨 AWS 服務集中保護備份。S3 Glacier Vault Lock 可讓您強制執行合規控制，這些控制設計用於支援個別 S3 Glacier 文件庫的長期記錄保留。 

AWS Backup Vault Lock 是 AWS Backup 文件庫層級的可選組態，包括三個屬性：最短可接受保留天數、最長可接受保留天數和寬限期。它可組織備份刪除操作和對其生命週期的變更。

如果您啟動 AWS Backup Vault Lock 組態，則 AWS Backup 將保護文件庫中所有新建立的復原點免遭刪除和對其生命週期的變更。AWS Backup 也會使所有保留期不符合 AWS Backup Vault Lock 可接受的保留期的備份任務失敗。

AWS Backup Vault Lock 驗證是否您的備份在達到保留期和到期前可用。 如果任何使用者，包括根帳戶使用者，試圖刪除備份或更新鎖定的文件庫中其生命週期屬性，則 AWS Backup 會拒絕該操作。

透過寬限期，您可以在自己定義的天數內測試該功能。只要寬限期未到期，您都可以更新和移除 AWS Backup Vault Lock 組態。寬限期到期後，AWS Backup 不允許對組態做出任何變更。

當組織必須保留某些資料以用於保存、稽核，或作為法律程序的證據和電子蒐證時，將使用法務保留，也稱為訴訟保留。即使保留期已過，這些保留可防止備份被刪除，並一直保留直至明確釋放。

藉助 AWS Backup，您可以定義集中備份政策，在 AWS 服務之間為運算、儲存和資料庫服務管理您的應用程式的備份與復原。 在您定義備份政策並指派 S3 資源後，AWS Backup 會自動建立 S3 備份，並將這些備份存放到您所指定的加密儲存文件庫內。建立 S3 儲存貯體的持續時間點備份或定期備份，包括物件資料、物件標籤、存取控制清單 (ACL) 和使用者定義的中繼資料。第一次備份為完整快照，後續則採用增量改進快照的形式。如果發生資料中斷事件，從備份文件庫中選擇一個備份，然後將 S3 儲存貯體 (或個別 S3 物件) 復原至新的或現有 S3 儲存貯體。AWS Backup 中的集中政策還幫助您定義存取控制，在 AWS Organizations 中的所有帳戶之間對備份存取管理進行自動化。

AWS Backup 和 Simple Storage Service (Amazon S3) 均提供可協助您管理應用程式的業務持續性的功能。使用 AWS Backup，您可以在多項 AWS 服務之間為您的應用程式集中管理備份和還原，而使用 AWS Backup for S3，您可管理 S3 儲存貯體和物件中的資料。如果您是負責跨多項 AWS 服務對您的應用程式進行備份、復原並管理其合規狀況的備份管理員，您可以使用 AWS Backup 滿足此類需求。Amazon S3 功能，如版本控制、Object Lock 和複寫等，可協助儲存管理員保留資料，並防止意外刪除 Amazon S3 資料。您可以同時使用這兩個功能集在整個組織範圍內管理備份和復原。

如果您已經有應用程式備份計畫，而且想要對 Amazon S3 使用它，只需使用標籤或 Amazon S3 儲存貯體 ARN 將您的 S3 資源新增至現有的備份計劃。AWS Backup 會匹配 S3 儲存貯體中的標籤和您指派給備份計畫的標籤，並備份那些資源以及您的應用程式所使用的其他 AWS 服務。

AWS Backup 為您提供兩種用於 Amazon S3 資源的備份選項︰持續備份和定期備份。持續備份可將 Amazon S3 資源還原至過去 35 天內的任何時間點。您可以使用時間點功能將您的 Amazon S3 資源還原至最近 35 天內任一時間的狀況。定期備份可無限期保留資料。您可以按 1 小時、12 小時、1 天、1 週以及 1 個月等頻率排程快照，或者隨需建立快照。持續備份適用於撤銷意外刪除，而定期快照可協助您滿足長期資料保留需求。

是，開啟 S3 版本控制是建立 S3 儲存貯體和物件的備份的先決條件。還會為您的版本設定生命週期過期時間 – 如果您不這樣做，您的 S3 成本可能會增加，因為 AWS Backup 會備份並存放您的 S3 資料的所有未過期版本。參閱我們的技術文件了解更多資訊。

AWS Backup 會擴展其雲端內的全受管服務功能至您的 VMware 環境，協助您在 AWS 和內部部署 AWS 環境之間提供備份的統一檢視。AWS Backup 與 VMware ESXi VM 整合，排定與管理 VMware 備份，並在 AWS 中存放備份，以便您可以從 AWS 全面管理 Vmware 資料保護。使用 AWS Backup，您可以高效地將備份存放於 AWS，跨 AWS 區域和帳戶複製備份，從而實現業務持續性和勒索軟體保護。您可以在內部部署或 AWS 中復原 VMware 備份，將其用於商業持續性驗證與測試/開發使用案例。AWS Backup 的政策驅動型方法幫助您以自動、可擴展的方式為運算、儲存和資料庫集中管理對 VMware 工作負載和支援的 AWS 服務的保護。

AWS Backup 透過您在 VMware 環境中部署的 AWS Backup 閘道連接至 VMware 工作負載。AWS Backup 閘道會透過 VMware vCenter 伺服器探索 VM，拍攝 VM 快照，並在 AWS Backup 和您的 VMware 環境之間管理資料備份與復原。您可以使用標籤、VM 資源 ID，或按 VM 資料夾或虛擬化管理程序進行群組指派，將 VM 指派到您的備份政策。這些政策會使用支援的 AWS Backup 服務集中控管 VMware VM 的資料保護。在完成這些步驟後，AWS Backup 會開始安全地將 VM 備份到其儲存文件庫。您可以從 AWS Backup 檢視您的 VMware 備份，根據您的要求復原內部部署或 AWS 中的備份。

AWS Backup 支援在內部部署、VMware CloudTM on AWS 和 VMware CloudTM on AWS Outposts 的 NFS、VMFS 和 VSAN 資料儲存上執行的 VMware ESXi 6.7.X 和 7.0.X VM。AWS Backup 支援 SCSI 熱新增和網路區塊型儲存裝置 (NBD) 輸送模式，以便從來源虛擬機器 (VM) 複製資料到 AWS。

您可以使用 AWS Backup 在 VMware CloudTM AWS Outposts 上保護您的虛擬機器。AWS Backup 將您的 VM 備份存放在 VMware CloudTM on AWS Outposts 連線的 AWS 區域中。使用 VMware CloudTM 來滿足應用程式資料的低延遲和本機資料處理需求時，您可以使用 AWS Backup 來保護您的 VMware CloudTM on AWS Outposts 虛擬機器。根據您的資料駐留要求，您可以選擇 AWS Backup 將應用程式資料的備份存放在 Outposts 連線的父 AWS 區域中。

您可以從 AWS Backup 主控台將 VMware 備份還原至新的內部部署 VMware 虛擬主機、VMware CloudTM on AWS、VMware CloudTM on AWS Outposts、Amazon EBS 或 Amazon EC2。

可以，根據組織需要，您可以在 AWS Backup 中設定生命週期政策，將您的 VMware 備份從溫儲存轉換到低成本冷儲存。轉換至冷儲存的備份至少必須儲存 90 天，而在 90 天內刪除的備份則需按比例支付剩餘天數的儲存費用。

AWS Backup 支援 VMware VM 的第一次完整，以及增量改進永久備份，您可以隨需或透過備份計畫中設定的安排建立這些備份。

AWS Backup 預設會使用 VM 的 VMware Tools Quiescence 設定擷取 VMware VM 的應用程式一致備份。若 Quiescence 功能不可用，AWS Backup 會擷取當機一致備份。

是，AWS Backup 會壓縮傳輸到 AWS 的 VMware 備份，幫助您以最佳方式使用您的 AWS 網路連接。

是，您的 VM 備份會在傳輸和靜態時透過使用 AES-256 加密演算法被加密。您還可以使用客戶管理的金鑰加密存放於雲端的備份。

從生產備份將 VMware 備份的複本存放於不同的 AWS 區域，以滿足業務持續性、災難復原以及合規要求。

可以，您可以複製 VMware 備份到另一個 AWS 帳戶，幫助您在您的生產和開發/測試環境之間，或者不同部門和專案帳戶之間使用備份。 複製 VMware 備份到另一個 AWS 帳戶因 AWS Backup 和 AWS Organizations 的整合得以實現，同時提供更多一層帳戶隔離和安全性。

所需的網路頻寬取決於您要保護的 VMware VM、每個 VM 的大小、每個 VM 產生的增量改進資料，以及您的備份時段和復原要求。我們建議您至少有 100 Mbps 頻寬連接到 AWS，以便使用 AWS Backup 備份內部部署 VMware VM。

是。如果私有不可路由網路是經由 Direct Connect 或 VPN 連接到您的 Amazon VPC，即可在該網路部署 AWS Backup 閘道。Backup 閘道流量經由採用 AWS PrivateLink 技術的 VPC 端點路由，以便使用彈性網絡介面 (ENI) 搭配 VPC 的私有 IP 啟用 AWS 服務間的私有連線。

您必須為 VPC 端點持續佈建的小時數付費。無論流量的來源或目的地為何，透過 VPC 端點處理的每個 GB 還按照資料處理的標準收費。如需進一步了解，請瀏覽 AWS PrivateLink 定價。