REL 9: 如何备份数据？

备份数据、应用程序和配置，以满足恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

资源

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

最佳实践:

• 识别和备份需要备份所有数据，或从源复制数据: Amazon S3 可用作多个数据源的备份目标位置。Amazon EBS、Amazon RDS 和 Amazon DynamoDB 等 AWS 服务具有创建备份的内置功能。此外，也可使用第三方备份软件。另外，如果可以从其他源中复制数据以满足 RPO 要求，您可能不需要进行备份

• 保护并加密备份: 通过身份验证和授权（例如 AWS IAM）检测访问，并使用加密检测数据完整性是否受损。

• 自动执行数据备份: 将备份配置为根据定期计划自动备份，或在数据集发生更改时自动备份。RDS 实例、EBS 卷、DynamoDB 表和 S3 对象均可配置为自动备份。您还可以使用 AWS Marketplace 解决方案或第三方解决方案。

• 定期执行数据恢复以验证备份完整性和流程: 通过执行恢复测试，验证您的备份流程实施是否满足恢复时间目标 (RTO) 和恢复点目标 (RPO) 要求。

改进计划

识别和备份需要备份所有数据，或从源复制数据

了解并使用 AWS 服务的备份功能，以及工作负载使用的资源: AWS 提供了备份工作负载数据的功能
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

拍摄加密 Amazon EC2 EBS 卷的快照: 您可以通过拍摄时间点快照，将 Amazon EBS 卷上的数据备份到 Amazon S3 中。快照是增量备份，这意味着只保存拍摄最新快照之后出现更改的设备上的数据块。设置满足您的要求的快照计划和保留策略。

• 使用 AWS CloudFormation（或受信任的第三方提供商）创建具有 KMS 加密功能的 EBS 卷。
  AWS CloudFormation: AWS::EC2::Volume
• 定期拍摄快照: 确定对 EBS 卷定期拍摄快照的计划和适当流程。可能因应用程序而异。
  Amazon EBS snapshots
  • 根据灾难恢复要求确定复制这些快照的需求。: 您可能需要将这些快照复制到其他账户或 AWS 区域
    Copying an Amazon EBS snapshot

复制 Amazon EFS 文件系统: 默认情况下，AWS 不拍摄 Amazon EFS 文件系统的快照。设置满足您的要求的快照计划和保留策略。

• 自动执行 EFS 到 EFS 备份
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• 创建计划事件，使备份解决方案得以部署和执行。
  • 完成复制后，您可以使用 AWS API 操作（或受信任的第三方解决方案）将数据复制到 Amazon S3，以实现更高的耐用性: 如果您使用的 AWS 区域不支持 Amazon EFS，请使用 AWS Data Pipeline。
    Backing up Amazon EFS file systems using AWS Data Pipeline

拍摄已加密的 Amazon RDS 实例的快照: 默认情况下，AWS 每天拍摄一次快照并在当天保留。设置满足您的要求的快照计划和保留策略。

• 使用 AWS CloudFormation（或受信任的第三方提供商）创建具有 KMS 加密功能的 RDS 实例。
  AWS::RDS::DBInstance
• 设置首选备份时段、备份保留期、KMS 密钥 ID 和存储加密选项。
  • 根据灾难恢复要求确定复制这些快照的需求。
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

拍摄 Amazon DynamoDB 表的快照: 默认情况下，AWS 不拍摄 DynamoDB 表的快照。设置满足您的要求的快照计划和保留策略。

• 使用 CloudFormation 或受信任的第三方提供商创建 DynamoDB 表及其相关 TTL 设置、IAM 策略和 CloudWatch 警报: 使用 AWS CLI、AWS SDK 或受信任的第三方提供商创建 DynamoDB Auto Scaling。
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• 使用 DynamoDB API 操作创建备份并还原备份: 系统会自动使用 AWS 托管密钥加密快照。
  On-Demand Instance backup and restore for DynamoDB.
• 使用 DynamoDB API 操作启用时间点恢复: 这能让您还原到过去 35 天内的任意时间点。
  Point-in-time recovery for DynamoDB

将 CloudWatch Logs 中的日志文件复制到 Amazon S3 以实现保留和存档: AWS 按照您在保留策略中指定的期限存储 CloudWatch Logs 日志文件。如果您需要将日志存储更长时间以用于分析、取证和存档，可以将它们导出至 Amazon S3 。
Exporting log data to Amazon S3

• 使用 CloudFormation 或受信任的第三方提供商创建 CloudWatch Logs 日志组及其相关保留期（以天为单位）。
  AWS::Logs::LogGroup
• 创建计划的事件以调用 AWS Lambda 函数，该函数会使用 CloudWatch Logs GetLogEvents API 并将日志数据导入 Amazon S3 中。
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • 在 S3 存储桶上指定生命周期策略，指明何时将日志导入 Amazon S3 Glacier 以用于存档并最终删除。
    Object lifecycle management

保护并加密备份

对每个数据存储使用加密: 如果源数据已加密，则备份也将被加密。

• 在 RDS 中启用加密: 当您创建 RDS 实例时，可以使用 AWS Key Management Service 配置静态加密。
  Encrypting Amazon RDS Resources
• 在 EBS 卷中启用加密: 您可以配置默认加密或在创建卷时指定唯一密钥。
  Amazon EBS Encryption
• 使用所需的 Amazon DynamoDB 加密: DynamoDB 可加密所有静态数据。您可以使用 AWS 拥有的客户主密钥 (CMK) 或 AWS 托管 CMK，指定账户中存储的密钥。
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• 加密 Amazon EFS 中存储的数据: 在创建文件系统时配置加密。
  Encrypting Data and Metadata in EFS
• 在源和目标区域中配置加密: 您可以使用 KMS 中存储的密钥在 S3 中配置静态加密，但这些密钥是特定于区域的。您在配置复制时可以指定目标密钥。
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

实施用于访问您的备份的最小权限: 请遵循最佳实践，根据安全最佳实践来限制对备份、快照和副本的访问。
Security Pillar: AWS Well-Architected

自动执行数据备份

使用 AWS Backup 对支持的服务安排备份。: AWS Backup 是一项完全托管的备份服务，可让您轻松对云端和本地不同 AWS 服务中的数据进行集中自动备份。
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• 创建备份计划: 备份计划是一种策略表达式，可定义想要备份 AWS 资源的时间和方式。
  Managing Backups Using AWS Backup Plans
• 创建备份文件库: 备份文件库是用于整理备份的容器。
  Organizing Backups Using AWS Backup Vaults
• 创建备份: 备份代表指定时间内的资源内容。
  AWS Backup: Backups

创建 EventBridge 事件，通过调用 Step Function 状态机来执行备份。: 您可以在 AWS Step Functions 中创建可协调备份的状态机。
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

定期执行数据恢复以验证备份完整性和流程

在备份自动化过程中加入还原。: 您可以借助 AWS Step Functions 状态机对各个已执行备份的系统执行还原操作。
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language