如何跨 AWS 账户复制 AWS 备份？

简短描述

使用 AWS 时，必须配置正确的权限才能跨多个 AWS 账户执行操作。此外，在使用 AWS Backup 管理跨账户资源之前，您使用的账户在 AWS Organizations 服务中必须属于同一个组织。

AWS Backup 支持的大多数资源都允许您创建跨账户备份。有关详细信息，请参阅不同资源的功能可用性。

解决方法

源账户要求

托管您的生产 AWS 资源和主备份的账户被称为源账户。在配置跨账户备份之前，请查看源账户的要求：

• 如果您的源账户中的资源是使用客户自主管理型密钥加密的，请与目标账户共享此密钥。对于除支持完全 AWS Backup 管理的服务之外的所有服务，跨账户备份功能仅支持客户自主管理型密钥。不支持 AWS 密钥，因为这类密钥无法在账户之间共享。
• 检查源账户中的用户是否具有创建复制任务的相应权限，例如 AWSBackupFullAccess。此权限提供备份管理员访问权限。备份管理员监督所有 AWS Backup 操作，包括创建和修改备份计划以及执行备份恢复。

目标账户要求

目标账户是您要在其中保存备份副本的 AWS 账户。您可以选择多个目标账户。目标账户在 AWS Organizations 中必须与源账户位于同一个组织中。

在设置跨账户备份之前，请执行以下操作配置目标账户：

• 在目标账户中创建备份保管库，然后分配一个客户自主管理型密钥来加密备份。
• 记下您的目标账户备份保管库的 Amazon 资源名称（ARN）。ARN 包含账户 ID 及其 AWS 区域。
• 您必须允许对目标备份保管库使用访问策略backup:CopyIntoBackupVault。如果没有此策略，尝试复制到目标账户会被拒绝。请参阅以下提供访问权限的策略示例：

{"Version": "2012-10-17","Statement": [{"Sid": "Allow account to copy into backup vault","Effect": "Allow","Action": "backup:CopyIntoBackupVault","Resource": "*","Principal": {"AWS": "arn:aws:iam::account-id:root"}}]}

有关目标账户要求的详细信息，请参阅与其他 AWS 账户共享备份保管库。

跨账户备份的安全注意事项

在 AWS Backup 中执行跨账户备份时，请务必考虑以下几点：

• 默认保管库不能用作不支持完全 AWS Backup 管理的资源的目标保管库。
• 由于最终一致性，跨账户备份在您禁用后可能会持续最多 15 分钟。
• 如果以后有任何目标账户离开组织，它们会保留备份。为防止潜在的数据泄露，请参阅从您的组织中删除成员账户。
• 如果您在跨账户复制期间删除了复制作业角色，当复制作业完成后，AWS Backup 便无法从源账户取消共享快照。

允许在 AWS Organizations 中进行跨账户备份

要使用跨账户备份功能，您必须在 AWS Organizations 管理账户中激活跨账户备份功能。AWS Organizations 管理账户是您组织中的主账户。

要为您的组织启用跨账户备份功能，请按照以下步骤进行操作：

1. 使用您的 AWS Organizations 管理账户凭证登录 AWS Backup 控制台。只能使用这些凭证启用跨账户备份。
2. 在我的账户部分中，选择设置。
3. 启用跨账户备份。

完成这些步骤后，您组织中的任何账户都可以与组织中的任何其他账户共享其备份保管库的内容。有关详细信息，请参阅与其他 AWS 账户共享备份保管库。

安排跨账户备份计划

要安排跨账户备份计划，请在 AWS Backup 控制台上按照以下步骤进行操作。

1. 打开 AWS Backup 控制台。
2. 在我的账户部分中，选择备份计划，然后选择创建备份计划。
3. 在创建备份计划页面上，选择创建新计划。
4. 在备份规则配置部分中，创建包括备份计划、备份时段和生命周期规则的备份规则。您可以稍后添加所需的任何其他备份规则。
5. 在计划中，选择您要采用的备份频率。
6. 最佳做法是使用备份时段的默认设置。
7. 选择备份保管库以保存备份的恢复点，或创建新的备份保管库。备份保管库让您能够将备份保存在本地（源）账户中
8. 在生成副本部分，为您的备份副本选择目标 AWS 区域，然后添加新的复制规则。
9. 启用复制到其他账户的保管库选项。在激活后，此选项会变为蓝色。出现外部保管库 ARN选项。
10. 输入目标账户备份保管库的 ARN。AWS Backup 会将备份复制到目标账户的保管库。目标区域列表会自动更新为外部保管库 ARN 中的区域。
11. 对于允许备份保管库访问权限，选择允许。然后在打开的向导中再次选择允许。
12. 对于转换为冷存储，选择何时将备份副本转换为冷存储的时间以及副本过期（删除）日期。
13. 选择创建计划。

加密保管库

默认保管库使用 AWS Key Management Service（AWS KMS）托管密钥进行加密。AWS KMS 托管式密钥无法与其他账户共享。最佳做法是改用客户保管库，因为它们是使用客户自主管理型密钥加密的。

您可能需要对不支持完全 AWS Backup 管理的加密资源执行跨账户备份，例如 Amazon Elastic Compute Cloud（Amazon EC2）。在这种情况下，您的资源必须是使用客户自主管理型密钥加密的。跨账户复制不支持 AWS 托管式密钥。有关详细信息，请参阅 AWS Backup 中的备份加密。

对于支持完全 AWS Backup 管理的服务，跨账户复制支持 SMK。有关详细信息，请参阅不同资源的功能可用性。另请参阅通过跨账户和跨区域备份保护加密的 Amazon Relational Database Service（Amazon RDS）数据库实例。