2.3 KiB
2.3 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| AWS Backup Concepts | concept |
|
|
2026-04-28 |
AWS Backup Concepts
本页面汇总 AWS Backup 相关的核心概念。
Vault Lock(备份保管库锁定)
Vault Lock 是 AWS Backup 备份保管库的一种合规模式。在合规模式下:
- 一旦 Vault Lock 生效,即使 AWS 根用户也无法在设定的生命周期结束前删除恢复点
- 有效防御勒索软件攻击(攻击者无法加密/删除备份)
- 适用于需要满足监管合规要求(如 SEC、FINRA、GDPR)的场景
对比 CTP Topic 44(Micro Focus 评估):Micro Focus 内部评估同样认可 Vault Lock 是防勒索软件的关键能力。
增量备份(Incremental Backup)
增量备份仅捕获自上次备份以来的数据变更:
- 优势:首次全量备份后,后续仅备份变更,大幅节省存储成本
- 机制:备份链(Backup Chain)追踪变更,恢复时按顺序重放
- AWS Backup 自动处理:无需手动管理备份链
与全量备份相比,增量备份显著降低了存储成本和备份窗口时长。
跨账户备份(Cross-Account Backup)
通过 AWS Organizations 将备份从源账户复制到独立的 DR/Bunker 账户:
- 隔离原则:备份账户与工作负载账户物理分离,防止账户被入侵时备份一并丢失
- 即时恢复:备份保留在 DR 账户内,无需跨账户数据拷贝即可恢复
- 多区域复制:结合跨区域复制,实现地理冗余
Backup Plan(备份计划)
备份计划是 AWS Backup 的核心策略配置:
- 规则(Rules):定义备份频率、保留期、启动窗口、复制规则等
- 分配(Assignments):将计划应用于特定资源或资源集
- 生命周期(Lifecycle):定义恢复点何时从热存储转为冷存储(Glacier)
Backup Vault(备份保管库)
备份保管库是存储恢复点的加密容器:
- 每个保管库使用 AWS KMS CMK 加密
- 支持基于资源的策略(Resource-based Policy)控制访问
- 与 Vault Lock 结合实现合规锁定