REL 9: Comment sauvegarder des données ?

Sauvegardez les données, les applications et la configuration pour répondre à vos exigences en matière d'objectifs de temps de récupération (RTO) et d'objectifs de point de récupération (RPO).

Ressources

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

Bonnes pratiques:

• Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources: Amazon S3 peut être utilisé comme destination de sauvegarde pour plusieurs sources de données. Les services AWS comme qu'Amazon EBS, Amazon RDS et Amazon DynamoDB intègrent des fonctionnalités permettant de créer des sauvegardes. Vous pouvez aussi utiliser des logiciels de sauvegarde tiers. Une sauvegarde n'est peut-être pas nécessaire si les données peuvent être reproduites à partir de sources pour atteindre le RPO.

• Sécuriser et chiffrer les sauvegardes: Détectez les accès au moyen des services d'authentification et d'autorisation comme AWS IAM et détectez les problèmes d'intégrité des données grâce au chiffrement.

• Effectuer automatiquement la sauvegarde des données: Configurez les sauvegardes pour qu'elles soient effectuées automatiquement en fonction d'une planification périodique ou en fonction des modifications apportées à l'ensemble de données. Les instances RDS, les volumes EBS, les tables DynamoDB et les objets S3 peuvent tous être configurés pour une sauvegarde automatique. Les solutions AWS Marketplace ou tierces peuvent également être utilisées.

• Effectuer une récupération périodique des données pour vérifier l'intégrité et les processus de sauvegarde: Confirmez que l'implémentation de votre processus de sauvegarde répond à vos objectifs de temps de récupération (RTO) et à vos objectifs de point de récupération (RPO) en effectuant un test de récupération.

Plan d'amélioration

Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources

Comprendre et utiliser les capacités de sauvegarde des services et ressources AWS utilisés par votre charge de travail: AWS offre des fonctionnalités permettant de sauvegarder vos données de charge de travail.
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

Faire des instantanés de vos volumes EBS Amazon EC2 chiffrés: Vous pouvez sauvegarder les données de vos volumes Amazon EBS sur Amazon S3 en créant des instantanés à un instant donné. Les instantanés sont des sauvegardes incrémentielles, ce qui signifie que seuls les blocs de l'appareil qui ont changé après votre instantané le plus récent sont enregistrés. Configurez les calendriers et stratégies de rétention des instantanés afin qu'ils répondent à vos besoins.

• Utilisez AWS CloudFormation ou un fournisseur tiers de confiance pour créer votre volume EBS avec le chiffrement KMS.
  AWS CloudFormation: AWS::EC2::Volume
• Prendre des instantanés régulièrement: Déterminez le calendrier et les processus appropriés pour prendre des instantanés réguliers des volumes EBS. Des variations sont possibles d'une application à l'autre.
  Amazon EBS snapshots
  • Déterminez le besoin de répliquer ces instantanés selon vos exigences de reprise après sinistre.: Vous pouvez avoir besoin de les répliquer sur d'autres comptes ou régions AWS.
    Copying an Amazon EBS snapshot

Répliquer vos systèmes de fichiers Amazon EFS: AWS ne permet pas de prendre des instantanés de systèmes de fichiers Amazon EFS par défaut. Configurez les calendriers et stratégies de rétention des instantanés afin qu'ils répondent à vos besoins.

• Automatiser une sauvegarde EFS sur EFS
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• Créez un événement planifié pour entraîner le déploiement et l'exécution de la solution de sauvegarde.
  • Une fois que vous avez la copie, vous pouvez utiliser les opérations d'API AWS (ou une solution tierce de confiance) pour copier vos données sur Amazon S3 afin de bénéficier d'une plus grande durabilité.: Utilisez AWS Data Pipeline si la région AWS que vous utilisez ne prend pas en charge Amazon EFS.
    Backing up Amazon EFS file systems using AWS Data Pipeline

Prendre des instantanés de vos instances Amazon RDS chiffrées: Par défaut, AWS prend un instantané tous les jours et les conserve pour ce jour-là. Configurez les calendriers et stratégies de rétention des instantanés afin qu'ils répondent à vos besoins.

• Utilisez AWS CloudFormation (ou un fournisseur tiers de confiance) pour créer votre instance RDS avec le chiffrement KMS.
  AWS::RDS::DBInstance
• Définissez vos préférences de fenêtre de sauvegarde, la période de rétention des sauvegardes, l'ID de clé KMS et les options de chiffrement de stockage.
  • Déterminez le besoin de répliquer ces instantanés selon vos exigences de reprise après sinistre.
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

Prendre des instantanés de vos tables Amazon DynamoDB: AWS ne prend pas d'instantanés de tables DynamoDB par défaut. Configurez les calendriers et stratégies de rétention des instantanés afin qu'ils répondent à vos besoins.

• Utilisez CloudFormation ou un fournisseur tiers de confiance pour créer votre table DynamoDB et ses paramètres de durée de vie (TTL), ses stratégies IAM et ses alarmes CloudWatch associés.: Utiliser la AWS CLI, les kits SDK AWS ou un fournisseur tiers de confiance pour créer votre Auto Scaling DynamoDB
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• Utiliser les opérations d'API DynamoDB pour créer et restaurer des sauvegardes: L'instantané est automatiquement chiffré à l'aide de clés gérées par AWS.
  On-Demand Instance backup and restore for DynamoDB.
• Utiliser les opérations d'API DynamoDB pour permettre la restauration à un instant dans le passé: Cela vous permet de restaurer l'état de n'importe quel moment au cours des 35 derniers jours.
  Point-in-time recovery for DynamoDB

Copier les fichiers journaux dans CloudWatch Logs vers Amazon S3 pour la rétention et l'archivage: AWS stocke les fichiers journaux CloudWatch Logs aussi longtemps que vous le spécifiez dans votre stratégie de rétention. Si vous avez besoin des journaux plus longtemps pour des analyses, des expertises ou du stockage, vous pouvez les exporter vers Amazon S3.
Exporting log data to Amazon S3

• Utilisez CloudFormation ou un fournisseur tiers de confiance pour créer vos groupes de journaux CloudWatch Logs et leur période de rétention associée en jours.
  AWS::Logs::LogGroup
• Créez l'événement planifié pour appeler une fonction AWS Lambda qui utilisera l'API GetLogEvents CloudWatch Logs et placez les données des journaux dans Amazon S3.
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • Spécifiez la stratégie de cycle de vie sur le compartiment S3 pour configurer quand les journaux seront placés dans Amazon S3 Glacier pour l'archivage et une suppression finale.
    Object lifecycle management

Sécuriser et chiffrer les sauvegardes

Utiliser le chiffrement sur chacun de vos magasins de données: La sauvegarde est également chiffrée si vos données sources le sont.

• Activer le chiffrement dans RDS: Vous pouvez configurer le chiffrement au repos à l'aide d'AWS Key Management Service lorsque vous créez une instance RDS.
  Encrypting Amazon RDS Resources
• Activer le chiffrement sur les volumes EBS: Vous pouvez configurer le chiffrement par défaut ou spécifier une clé unique lors de la création du volume.
  Amazon EBS Encryption
• Utiliser le chiffrement Amazon DynamoDB requis: DynamoDB chiffre toutes les données au repos. Vous pouvez utiliser une clé principale client (CMK) détenue par AWS ou une clé CMK gérée par AWS, en spécifiant une clé stockée dans votre compte.
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• Chiffrer vos données stockées dans Amazon EFS: Configurez le chiffrement lorsque vous créez votre système de fichiers.
  Encrypting Data and Metadata in EFS
• Configurer le chiffrement dans les régions source et de destination: Vous pouvez configurer le chiffrement au repos dans S3 à l'aide de clés stockées dans KMS, mais les clés sont spécifiques à la région. Vous pouvez spécifier les clés de destination lorsque vous configurez la réplication.
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

Mettre en œuvre les autorisations de moindre privilège pour accéder à vos sauvegardes: Suivez les bonnes pratiques pour limiter l'accès aux sauvegardes, instantanés et réplicas conformément aux bonnes pratiques de sécurité.
Security Pillar: AWS Well-Architected

Effectuer automatiquement la sauvegarde des données

Utilisez AWS Backup pour planifier vos sauvegardes des services qu'ils prennent en charge.: AWS Backup est un service de sauvegarde entièrement géré qui facilite la centralisation et l'automatisation de la sauvegarde des données sur l'ensemble des services AWS dans le cloud et sur site.
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• Créer des plans de sauvegarde: Un plan de sauvegarde est une expression de stratégie qui définit quand et comment vous souhaitez sauvegarder vos ressources AWS.
  Managing Backups Using AWS Backup Plans
• Création de coffres de sauvegarde: Un coffre de sauvegarde est un conteneur qui permet d'organiser vos sauvegardes.
  Organizing Backups Using AWS Backup Vaults
• Créer des sauvegardes: Une sauvegarde représente le contenu des ressources à un moment spécifié.
  AWS Backup: Backups

Créez un événement EventBridge qui appelle une machine d'état Step Function pour effectuer vos sauvegardes.: Vous pouvez créer une machine d'état dans AWS Step Functions qui coordonne vos sauvegardes.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

Effectuer une récupération périodique des données pour vérifier l'intégrité et les processus de sauvegarde

Incluez la restauration dans l'automatisation de vos sauvegardes.: Vous pouvez étendre votre machine d'état dans AWS Step Functions pour effectuer la restauration de chacun des systèmes sur lequel vous effectuez une sauvegarde.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language