REL 9: 您如何備份資料？

備份資料、應用程式和組態，以符合復原時間目標 (RTO) 和復原點目標 (RPO) 的要求。

資源

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

最佳實務:

• 識別並備份所有需要備份的資料，或從來源複製資料: Amazon S3 可做為多個資料來源的備份目的地。Amazon EBS、Amazon RDS 和 Amazon DynamoDB 等 AWS 服務已內建用於建立備份的功能。也可以使用第三方備份軟體。或者，如果可以從其他來源複製資料以滿足 RPO，則可能不需要備份

• 保護和加密備份: 透過 AWS IAM 等身份驗證和授權來偵測存取，並透過使用加密來偵測資料完整性受損情況。

• 自動執行資料備份: 設定備份以根據定期排程或資料集中的變更自動執行。RDS 執行個體、EBS 磁碟區、DynamoDB 表和 S3 物件都可以設定為自動備份。您也可以使用 AWS Marketplace 解決方案或第三方解決方案。

• 定期執行資料復原以驗證備份的完整性和程序: 透過執行復原測試，驗證您的備份程序實作是否符合復原時間目標 (RTO) 和復原點目標 (RPO)。

改進方案

識別並備份所有需要備份的資料，或從來源複製資料

了解和使用工作負載所使用的 AWS 服務和資源的備份功能: AWS 提供備份工作負載資料的功能
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

拍攝加密 Amazon EC2 EBS 磁碟區的快照: 您可以透過拍攝時間點快照，將 Amazon EBS 磁碟區上的資料備份到 Amazon S3。快照是增量備份，這表示只會儲存最近一次快照後裝置上發生變更的區塊。設定滿足您要求的快照計畫和保留政策。

• 使用 AWS CloudFormation (或受信任的第三方供應商) 建立 KMS 加密的 EBS 磁碟區。
  AWS CloudFormation: AWS::EC2::Volume
• 定期拍攝快照: 決定定期拍攝 EBS 磁碟區快照的時間表和適當的程序。它可能因應用程式而異。
  Amazon EBS snapshots
  • 根據災難復原要求確定複寫這些快照的需求。: 您可能需要將這些複寫到其他帳戶或 AWS 區域
    Copying an Amazon EBS snapshot

複寫您的 Amazon EFS 檔案系統: 預設情況下，AWS 不拍攝 Amazon EFS 檔案系統的快照。設定滿足您要求的快照計畫和保留政策。

• 自動化 EFS 到 EFS 備份
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• 建立排程事件，以部署和執行備份解決方案。
  • 擁有複本後，您可以使用 AWS API 操作 (或受信任的第三方解決方案) 將資料複製到 Amazon S3，以提高持久性: 如果您使用的 AWS 區域不支援 Amazon EFS，則可使用 AWS Data Pipeline。
    Backing up Amazon EFS file systems using AWS Data Pipeline

拍攝加密 Amazon RDS 執行個體的快照: 預設情況下，AWS 每天拍攝快照並保留一天。設定滿足您要求的快照計畫和保留政策。

• 使用 AWS CloudFormation (或受信任的第三方供應商) 建立 KMS 加密的 RDS 執行個體。
  AWS::RDS::DBInstance
• 設定首選的備份時段、備份保留期、KMS 金鑰 ID 和儲存加密選項。
  • 根據災難復原要求確定複寫這些快照的需求。
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

拍攝 Amazon DynamoDB 表的快照: 預設情況下，AWS 不拍攝 DynamoDB 表的快照。設定滿足您要求的快照計畫和保留政策。

• 使用 CloudFormation 或受信任的第三方供應商來建立 DynamoDB 表及其關聯的 TTL 設定、IAM 政策和 CloudWatch 警示: 使用 AWS CLI 或 AWS 開發套件或受信任的第三方供應商建立 DynamoDB Auto Scaling。
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• 使用 DynamoDB API 操作建立備份和恢復備份: 快照會使用 AWS 受管金鑰自動加密。
  On-Demand Instance backup and restore for DynamoDB.
• 使用 DynamoDB API 操作來實現時間點復原: 這可讓您恢復到過去 35 天內的任何時間。
  Point-in-time recovery for DynamoDB

將 CloudWatch Logs 中的日誌檔案複製到 Amazon S3 以進行保留和存檔: AWS 儲存 CloudWatch Logs 日誌檔案的時間長度由您在保留政策中指定。如果您需要日誌保留更長的時間，以便進行分析、取證和存檔，則可以將其匯出至 Amazon S3。
Exporting log data to Amazon S3

• 使用 CloudFormation 或受信任的第三方供應商建立您的 CloudWatch Logs 日誌群組及其關聯的保留期限 (以天為單位)。
  AWS::Logs::LogGroup
• 建立排程事件以叫用將使用 CloudWatch Logs GetLogEvents API 的 AWS Lambda 函數，並將日誌資料放入 Amazon S3。
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • 在 S3 儲存貯體上指定生命週期政策，以決定何時將日誌放入 Amazon S3 Glacier 進行存檔並最終刪除。
    Object lifecycle management

保護和加密備份

在每個資料存放區使用加密: 如果來源資料已加密，則備份也會加密。

• 在 RDS 中啟用加密: 您可以在建立 RDS 執行個體時，使用 AWS Key Management Service 設定靜態加密。
  Encrypting Amazon RDS Resources
• 在 EBS 磁碟區啟動加密: 您可以在建立磁碟區時設定預設加密或指定唯一金鑰。
  Amazon EBS Encryption
• 使用必要的 Amazon DynamoDB 加密: DynamoDB 會加密所有靜態資料。您可以使用 AWS 擁有的客戶主金鑰 (CMK) 或 AWS 受管 CMK，指定存放在您帳戶中的金鑰。
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• 加密存放在 Amazon EFS 中的資料: 在建立檔案系統時設定加密。
  Encrypting Data and Metadata in EFS
• 在來源和目的地區域設定加密: 您可以使用 KMS 中存放的金鑰來設定 S3 中的靜態加密，但金鑰受到區域限定。您可以在設定複寫時指定目的地金鑰。
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

實作存取備份的最低權限: 遵循最佳實務，以根據安全最佳實務限制對備份、快照和複本的存取。
Security Pillar: AWS Well-Architected

自動執行資料備份

使用 AWS Backup 排定其支援之服務的備份。: AWS Backup 是一種全受管備份服務，可讓您在雲端和現場部署輕鬆集中化和自動化 AWS 服務的資料備份。
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• 建立備份計畫: 備份計畫是一種政策表現方式，可定義備份 AWS 資源的時間和方式。
  Managing Backups Using AWS Backup Plans
• 建立備份保存庫: 備份保存庫是用於組織備份的容器。
  Organizing Backups Using AWS Backup Vaults
• 建立備份: 備份代表資源在指定時間的內容。
  AWS Backup: Backups

建立叫用 Step Function 狀態機器來執行備份的 EventBridge 事件。: 您可以在 AWS Step Functions 中建立狀態機器來協調備份。
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

定期執行資料復原以驗證備份的完整性和程序

將還原包含在備份的自動化中。: 您可以在 AWS Step Functions 中擴展狀態機器，以還原執行備份的每個系統。
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language