EC2 和 RDS 是很多人將服務往雲端搬遷的首選

EC2 有 Lifecycle Manager 備份 EC2 或 EBS

而 RDS 也內建可以設定備份和備份保留天數

可是備份仍然遇到一個問題

就是 RDS 只能夠一天備份一次和按需備份

備份也需要分開到 EC2 和 RDS 介面查看

沒有一個統一介面查看備份內容

有沒有一個統一介面去管理這些備份呢？

有的 AWS Backup 就是一個這樣的服務

可以管理這些備份

同時也是今天要介紹服務

甚麼是 AWS Backup

AWS Backup 這是一項全受管服務

可讓您將雲端和地端服務輕鬆地集中管理及自動化資料保護的 AWS 服務

使用此服務您可以設定備份原則並監控 AWS 資源集中在一個地方

每項服務及區域支持程度不一

詳細需要參考官方支援程度說明

以一個備份服務來說

更可以提供異地和跨帳戶的備援

這也是會建議使用 AWS Backup 的原因

除了可以做到備份監控以外

也可以輕鬆做到異地備援

設定 AWS Backup

建立 IAM Role

建立一個 IAM Role 並使用以下信任關係和權限政策

信任關係

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "backup.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

權限政策

政策不需要另外建立新的

關聯兩項 AWS 受管的政策即可

將 AWSBackupServiceRolePolicyForBackup 和 AWSBackupServiceRolePolicyForBackup 關聯至 IAM Role

建立 KMS Key

每個備份存放的 Vault（金庫）都需要指定 KMS Key 加密

因此需要去 KMS 介面建立一把 KMS Key

建立 Vault

到 AWS Backup 新增一個 Vault

並選擇前一個步驟建立的 KMS Key

建立備份計劃

建立完 Vault 之後

就可以開始建立備份計劃

在建立備份計劃的時候需要指定存放的 Vault

需要注意的是備份時間不可小於一小時

即使使用 cron 的形式做設定

間格也不可以小於一小時

Backup windows 如果和 RDS 內建備份重疊，則只會執行一個備份

關聯資源

進入剛剛建立好的備份計劃後

就可以設定要關聯的資源

Name 的部分是關於這個關聯的名稱

不影響實際備份的操作

在選擇 IAM Role 時記得選擇一開始建立的 IAM Role

而資源的部分則可以根據不同的實例或 AWS 服務進行指定

這樣就可以按功能不同備份進不同的 Vault

設定好後，不會馬上執行備份，印象中會是下一個排程時間才會進行備份

參考資料：

1. AWS Backup
2. 什麼是 AWS Backup？