62 lines
2.3 KiB
Markdown
62 lines
2.3 KiB
Markdown
---
|
||
title: "AWS Backup Concepts"
|
||
type: concept
|
||
tags:
|
||
- AWS
|
||
- Backup
|
||
- DR
|
||
- Cloud-Native
|
||
sources:
|
||
- ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup
|
||
- ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program
|
||
last_updated: 2026-04-28
|
||
---
|
||
|
||
# AWS Backup Concepts
|
||
|
||
本页面汇总 AWS Backup 相关的核心概念。
|
||
|
||
## Vault Lock(备份保管库锁定)
|
||
|
||
Vault Lock 是 AWS Backup 备份保管库的一种合规模式。在合规模式下:
|
||
|
||
- 一旦 Vault Lock 生效,即使 AWS 根用户也无法在设定的生命周期结束前删除恢复点
|
||
- 有效防御勒索软件攻击(攻击者无法加密/删除备份)
|
||
- 适用于需要满足监管合规要求(如 SEC、FINRA、GDPR)的场景
|
||
|
||
> 对比 CTP Topic 44(Micro Focus 评估):Micro Focus 内部评估同样认可 Vault Lock 是防勒索软件的关键能力。
|
||
|
||
## 增量备份(Incremental Backup)
|
||
|
||
增量备份仅捕获自上次备份以来的数据变更:
|
||
|
||
- **优势**:首次全量备份后,后续仅备份变更,大幅节省存储成本
|
||
- **机制**:备份链(Backup Chain)追踪变更,恢复时按顺序重放
|
||
- **AWS Backup 自动处理**:无需手动管理备份链
|
||
|
||
> 与全量备份相比,增量备份显著降低了存储成本和备份窗口时长。
|
||
|
||
## 跨账户备份(Cross-Account Backup)
|
||
|
||
通过 AWS Organizations 将备份从源账户复制到独立的 DR/Bunker 账户:
|
||
|
||
- **隔离原则**:备份账户与工作负载账户物理分离,防止账户被入侵时备份一并丢失
|
||
- **即时恢复**:备份保留在 DR 账户内,无需跨账户数据拷贝即可恢复
|
||
- **多区域复制**:结合跨区域复制,实现地理冗余
|
||
|
||
## Backup Plan(备份计划)
|
||
|
||
备份计划是 AWS Backup 的核心策略配置:
|
||
|
||
- **规则(Rules)**:定义备份频率、保留期、启动窗口、复制规则等
|
||
- **分配(Assignments)**:将计划应用于特定资源或资源集
|
||
- **生命周期(Lifecycle)**:定义恢复点何时从热存储转为冷存储(Glacier)
|
||
|
||
## Backup Vault(备份保管库)
|
||
|
||
备份保管库是存储恢复点的加密容器:
|
||
|
||
- 每个保管库使用 AWS KMS CMK 加密
|
||
- 支持基于资源的策略(Resource-based Policy)控制访问
|
||
- 与 Vault Lock 结合实现合规锁定
|