---
title: "AWS Backup Concepts"
type: concept
tags:
  - AWS
  - Backup
  - DR
  - Cloud-Native
sources:
  - ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup
  - ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program
last_updated: 2026-04-28
---

# AWS Backup Concepts

本页面汇总 AWS Backup 相关的核心概念。

## Vault Lock（备份保管库锁定）

Vault Lock 是 AWS Backup 备份保管库的一种合规模式。在合规模式下：

- 一旦 Vault Lock 生效，即使 AWS 根用户也无法在设定的生命周期结束前删除恢复点
- 有效防御勒索软件攻击（攻击者无法加密/删除备份）
- 适用于需要满足监管合规要求（如 SEC、FINRA、GDPR）的场景

> 对比 CTP Topic 44（Micro Focus 评估）：Micro Focus 内部评估同样认可 Vault Lock 是防勒索软件的关键能力。

## 增量备份（Incremental Backup）

增量备份仅捕获自上次备份以来的数据变更：

- **优势**：首次全量备份后，后续仅备份变更，大幅节省存储成本
- **机制**：备份链（Backup Chain）追踪变更，恢复时按顺序重放
- **AWS Backup 自动处理**：无需手动管理备份链

> 与全量备份相比，增量备份显著降低了存储成本和备份窗口时长。

## 跨账户备份（Cross-Account Backup）

通过 AWS Organizations 将备份从源账户复制到独立的 DR/Bunker 账户：

- **隔离原则**：备份账户与工作负载账户物理分离，防止账户被入侵时备份一并丢失
- **即时恢复**：备份保留在 DR 账户内，无需跨账户数据拷贝即可恢复
- **多区域复制**：结合跨区域复制，实现地理冗余

## Backup Plan（备份计划）

备份计划是 AWS Backup 的核心策略配置：

- **规则（Rules）**：定义备份频率、保留期、启动窗口、复制规则等
- **分配（Assignments）**：将计划应用于特定资源或资源集
- **生命周期（Lifecycle）**：定义恢复点何时从热存储转为冷存储（Glacier）

## Backup Vault（备份保管库）

备份保管库是存储恢复点的加密容器：

- 每个保管库使用 AWS KMS CMK 加密
- 支持基于资源的策略（Resource-based Policy）控制访问
- 与 Vault Lock 结合实现合规锁定