AWS 계정 간에 AWS Backup을 복사하려면 어떻게 해야 하나요?

간략한 설명

AWS를 사용하는 경우 여러 AWS 계정에 걸쳐 작업을 수행하려면 올바른 권한을 구성해야 합니다. 또한 AWS Backup을 사용하여 교차 계정 리소스를 관리하기 전에, 사용 중인 계정이 AWS Organizations 서비스의 동일한 조직에 속해 있어야 합니다.

AWS Backup이 지원하는 대부분의 리소스가 교차 계정 백업 생성을 지원합니다. 자세한 내용은 리소스별 특성 가용성을 참조하세요.

해결 방법

소스 계정 요구 사항

프로덕션 AWS 리소스 및 기본 백업을 호스팅하는 계정을 소스 계정이라고 합니다. 교차 계정 백업을 구성하기 전에, 다음과 같은 소스 계정에 대한 요구 사항을 검토하세요.

• 소스 계정의 리소스가 고객 관리형 키로 암호화된 경우 이 키를 대상 계정과 공유하세요. 전체 AWS Backup Management를 지원하는 서비스를 제외한 모든 서비스에서, 교차 계정 백업 기능은 고객 관리형 키만 지원합니다. AWS 키는 계정 간에 공유할 수 없기 때문에 지원되지 않습니다.
• 소스 계정의 사용자에게 AWSBackupFullAccess와 같은, 복사 작업을 생성할 수 있는 적절한 권한이 있는지 확인하세요. 이 권한은 백업 관리자 액세스를 제공합니다. 백업 관리자는 백업 계획 생성 및 수정, 백업 복원 수행을 비롯한 모든 AWS Backup 작업을 감독합니다.

대상 계정 요구 사항

대상 계정은 백업 사본을 보관하려는 AWS 계정입니다. 여러 대상 계정을 선택할 수 있습니다. 대상 계정은 AWS Organizations에 있는 소스 계정과 동일한 조직에 있어야 합니다.

교차 계정 백업을 설정하기 전에 다음을 수행하여 대상 계정을 구성하세요.

• 대상 계정에 백업 볼트를 생성한 다음, 고객 관리형 키를 할당하여 백업을 암호화하세요.
• 대상 계정 백업 볼트의 Amazon 리소스 이름(ARN)에 유의하세요. ARN에는 계정 ID와 해당 AWS 리전이 포함됩니다.
• 대상 백업 볼트에 대한 액세스 정책 backup:CopyIntoBackupVault를 반드시 허용해야 합니다. 이 정책이 없으면 대상 계정으로 복사하려는 시도가 거부됩니다. 액세스를 제공하는 다음 예제 정책을 참조하세요.

{"Version": "2012-10-17","Statement": [{"Sid": "Allow account to copy into backup vault","Effect": "Allow","Action": "backup:CopyIntoBackupVault","Resource": "*","Principal": {"AWS": "arn:aws:iam::account-id:root"}}]}

대상 계정 요구 사항에 대한 자세한 내용은 다른 AWS 계정과 백업 볼트 공유를 참조하세요.

교차 계정 백업에 대한 보안 고려 사항

AWS Backup에서 교차 계정 백업을 수행할 때는 다음 사항을 고려하는 것이 중요합니다.

• 기본 저장소는 전체 AWS Backup 관리를 지원하지 않는 리소스의 대상 저장소로 사용할 수 없습니다.
• 교차 계정 백업은 최종 일관성으로 인해 비활성화한 후에도 최대 15분 동안 지속될 수 있습니다.
• 대상 계정이 나중에 조직을 떠나더라도 해당 계정에 백업이 유지됩니다. 잠재적인 데이터 유출을 방지하려면 조직에서 구성원 계정 제거를 참조하세요.
• 교차 계정 복사 중에 복사 작업 역할을 삭제하면, AWS Backup이 복사 작업 완료 시 소스 계정에서 스냅샷 공유를 해제할 수 없습니다.

AWS Organizations 내 교차 계정 백업 허용

교차 계정 백업을 사용하려면 AWS Organizations 관리 계정에서 교차 계정 백업 기능을 활성화해야 합니다. AWS Organizations 관리 계정은 조직의 기본 계정입니다.

조직의 교차 계정 백업을 켜려면 다음 단계를 따르세요.

1. AWS Organizations 관리 계정 보안 인증 정보를 사용하여 AWS Backup 콘솔에 로그인합니다. 이러한 보안 인증 정보로만 교차 계정 백업을 켤 수 있습니다.
2. 내 계정 섹션에서 설정을 선택합니다.
3. 교차 계정 백업을 켜세요.

이 단계를 수행하고 나면, 조직의 모든 계정에서 조직의 다른 계정과 백업 볼트의 콘텐츠를 공유할 수 있습니다. 자세한 내용은 ](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html#share-vault-cab)다른 AWS 계정과 백업 볼트 공유[를 참조하세요.

교차 계정 백업 일정 생성

교차 계정 백업 일정을 생성하려면 AWS Backup 콘솔을 사용하여 다음 단계를 따르세요.

1. AWS Backup 콘솔을 엽니다.
2. 내 계정 섹션에서, 백업 계획을 선택한 다음, 백업 계획 생성을 선택합니다.
3. 백업 계획 생성 페이지에서, 새 계획 수립을 선택합니다.
4. 백업 규칙 구성 섹션에서 백업 일정, 백업 기간 및 수명 주기 규칙을 포함하는 백업 규칙을 생성합니다. 나중에 필요한 다른 백업 규칙을 추가할 수 있습니다.
5. 일정에서 원하는 백업 빈도를 선택합니다.
6. 백업 기간에 대한 기본 설정을 사용하는 것이 가장 좋습니다.
7. 백업 볼트를 선택하여 백업용 복구 지점을 저장하거나 새 백업 볼트를 만드세요. 백업 볼트를 사용하면 로컬(소스) 계정에 백업 저장 가능
8. 사본 생성 섹션에서 백업 사본의 대상 AWS 리전을 선택한 다음 새 복사 규칙을 추가합니다.
9. 다른 계정의 볼트로 복사 옵션을 켜세요. 이 옵션이 활성화되면 파란색으로 바뀝니다. 외부 볼트 ARN 옵션이 나타납니다.
10. 대상 계정 백업 볼트의 ARN을 입력합니다. AWS Backup이 백업을 대상 계정의 볼트에 복사합니다. 대상 리전 목록은 외부 Vault ARN의 리전으로 자동 업데이트됩니다.
11. 백업 볼트 액세스 허용에서 허용을 선택합니다. 그런 다음 열리는 마법사에서 허용을 다시 선택합니다.
12. 콜드 스토리지로 전환에서 백업 사본을 콜드 스토리지로 전환할 시기와 사본을 만료(삭제)할 시기를 선택합니다.
13. 계획 생성을 선택합니다.

암호화된 볼트

기본 저장소는 AWS Key Management Service(AWS KMS) 관리 키로 암호화됩니다. AWS 관리형 키는 다른 계정과 공유할 수 없습니다. 고객 볼트는 고객 관리형 키로 암호화되므로 고객 볼트를 대신 사용하는 것이 가장 좋습니다.

Amazon Elastic Compute Cloud(Amazon EC2)와 같이 전체 AWS Backup 관리를 지원하지 않는 암호화된 리소스에 대해서는 교차 계정 백업을 수행하고 싶을 수도 있습니다. 이 경우 반드시 고객 관리형 키로 리소스를 암호화해야 합니다. 교차 계정 복사에는 AWS 관리형 키가 지원되지 않습니다. 자세한 내용은 AWS Backup의 백업 암호화를 참조하세요.

전체 AWS Backup 관리를 지원하는 서비스의 경우, 교차 계정 복사에 대한 SMK가 지원됩니다. 자세한 내용은 리소스별 특성 가용성을 참조하세요. 또한 교차 계정 및 교차 리전 백업을 통한 암호화된 Amazon Relational Database Service(RDS) DB 인스턴스 보호도 참조하세요.