View a markdown version of this page

Backup Amazon S3 - AWS Backup
Panoramica di Backup su più livelliPrerequisitiTipi, quantità e dimensioni degli oggetti di bucket supportatiClassi di storage S3 supportateTipi di backupEventBridge Dipendenza da Amazon per i backup continui di S3Confronto dei tipi di backup S3Finestre di completamento del backup S3Procedure consigliate e considerazioni sui costi per i backup S3Messaggi di backup S3Impostazioni di backup avanzate di Amazon S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Backup Amazon S3

Panoramica di

AWS Backup supporta il backup e il ripristino centralizzati delle applicazioni che archiviano i dati solo in S3 o insieme ad altri AWS servizi per database, archiviazione ed elaborazione. Sono disponibili molte funzionalità per i backup S3, incluso Backup Audit Manager.

È possibile utilizzare un'unica policy di backup per AWS Backup automatizzare centralmente la creazione di backup dei dati delle applicazioni. AWS Backup organizza automaticamente i backup su diversi AWS servizi e applicazioni di terze parti in un'unica posizione centralizzata e crittografata (nota come backup vault) in modo da poter gestire i backup dell'intera applicazione attraverso un'esperienza centralizzata. Per S3, puoi creare backup continui e ripristinare i dati delle applicazioni archiviati in S3, nonché ripristinare i backup in un point-in-time con un singolo clic.

Backup su più livelli

Amazon S3 è l'unica risorsa che supporta il backup su più livelli su un livello di storage caldo a basso costo. Per ulteriori informazioni, consulta Backup su più livelli.

Prerequisiti per i backup S3

Autorizzazioni e policy per il backup e il ripristino di Amazon S3

Per eseguire il backup, la copia e il ripristino delle risorse S3, è necessario disporre delle policy corrette nel proprio ruolo. Per aggiungere queste policy, passa a Policy gestite da AWS. Aggiungi AWSBackupServiceRolePolicyForS3Backupe AWSBackupServiceRolePolicyForS3Restoreai ruoli che intendi utilizzare per il backup e il ripristino dei bucket S3.

Se non disponi di autorizzazioni sufficienti, richiedi al responsabile dell'account amministrativo (amministratore) dell'organizzazione di aggiungere le policy ai ruoli previsti.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM.

Backup e controllo delle versioni

È necessario abilitare il controllo delle versioni S3 sul bucket S3 da utilizzare per Amazon AWS Backup S3.

Ti consigliamo di impostare un periodo di scadenza del ciclo di vita per le versioni S3.

Tutti gli oggetti (incluse tutte le versioni) presenti nel bucket all'inizio del backup verranno archiviati nel punto di ripristino (backup completato). Questi possono includere la versione corrente di ogni oggetto, le versioni precedenti, i marker di eliminazione e le azioni del ciclo di vita degli oggetti in sospeso.

Il costo di archiviazione verrà calcolato per tutti gli oggetti del backup, inclusi gli oggetti programmati per l'eliminazione (oggetti con scadenza). È possibile utilizzare la CLI o gli script per rimuovere l'inclusione di oggetti pianificati per la scadenza.

Per ulteriori informazioni sulla configurazione delle policy del ciclo di vita di S3, segui le istruzioni in questa pagina.

Considerazioni sui backup di Amazon S3

Quando si esegue il backup di risorse S3, occorre tenere presenti le considerazioni seguenti:

  • Supporto mirato ai metadati degli oggetti: AWS Backup supporta i seguenti metadati: tag, liste di controllo degli accessi (ACL), metadati definiti dall'utente, data di creazione originale e ID della versione. Puoi anche ripristinare tutti i dati e i metadati di backup a eccezione della data di creazione originale, l'ID versione, la classe di storage e gli e-tag.

  • Quando ripristini un oggetto S3, AWS Backup applica un valore di checksum, anche se l'oggetto originale non utilizzava la funzione di checksum.

  • Il nome chiave di un oggetto S3 può essere composto dalla maggior parte delle stringhe codificabili. UTF-8 I seguenti caratteri Unicode sono consentiti. #x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF.

    I nomi delle chiavi degli oggetti che includono caratteri non presenti in questo elenco potrebbero essere esclusi dai backup.

  • Transizione alla conservazione a freddo: utilizza la politica di gestione AWS Backup del ciclo di vita per definire la tempistica di scadenza del backup. La transizione al cold storage dei backup S3 non è supportata.

  • Per i backup periodici, AWS Backup fa del suo meglio per tenere traccia di tutte le modifiche ai metadati degli oggetti. Tuttavia, se un tag o un'ACL viene aggiornato più volte nell'arco di 1 minuto, AWS Backup potrebbe non essere in grado di acquisire tutti gli stati intermedi.

  • AWS Backup non offre supporto per i backup di oggetti. SSE-C-encrypted AWS Backup inoltre non supporta i backup delle configurazioni dei bucket, incluse le policy, le impostazioni, i nomi o i punti di accesso dei bucket.

  • AWS Backup non supporta i backup di S3 su. AWS Outposts

  • CloudTrail registrazione: se registri gli eventi di lettura dei dati, devi far recapitare CloudTrail i log a un bucket di destinazione diverso. Se si salvano CloudTrail i log nel bucket in cui vengono registrati, si verifica un ciclo infinito che può causare addebiti imprevisti.

    Per ulteriori informazioni, consulta Eventi di dati nella Guida per l’utente CloudTrail .

  • Registrazione degli accessi al server: se si abilita la registrazione degli accessi al server, è necessario che i log vengano recapitati a un bucket di destinazione diverso. Se si salvano questi log nel bucket in cui vengono registrati, si verifica un ciclo infinito. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.

Tipi, quantità e dimensioni degli oggetti di bucket supportati

AWS Backup supporta operazioni di backup e ripristino per oggetti S3 di qualsiasi dimensione, fino alla dimensione massima degli oggetti supportata da Amazon S3.

AWS Backup supporta il backup e il ripristino di bucket S3 per uso generico. I bucket di directory non sono supportati in questo momento.

Il limite massimo di una quantità di risorsa (noto come quota), ad esempio un bucket, consentita in un AWS account dipende dal servizio. Le quote di Amazon S3 sono diverse dalle quote.AWS Backup

In ogni AWS account, puoi creare backup per un massimo di 100 bucket per impostazione predefinita. Puoi richiedere un aumento della quota fino a 1.000 bucket.

Gli account con più di 1.000 bucket sono soggetti a limiti di quota; quando le richieste superano la quota, i lavori possono fallire. È consigliabile limitare un account a 1.000 bucket.

Classi di storage S3 supportate

AWS Backup consente di eseguire il backup dei dati S3 archiviati nelle seguenti classi di archiviazione S3:

  • S3 Standard

  • Standard S3 - Accesso infrequente (IA)

  • S3 Uno Zone-IA

  • S3 Glacier Instant Retrieval

  • S3 Intelligent-Tiering (S3 INT)

I backup di un oggetto nella classe di archiviazione S3 Intelligent-Tiering (INT) accedono a tali oggetti. Questo accesso consente a S3 di Intelligent-Tiering spostare automaticamente tali oggetti su Frequent Access.

I backup che accedono ai livelli Infrequent Access, incluse le Zone-IA classi S3 Standard - Infrequent Access (IA) e S3 One, rientrano nella tariffa di storage S3 di Frequent Access (applicabile ai livelli Infrequent Access o Archive Instant Access).

Le classi di storage archiviate S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive non sono supportate.

Per ulteriori informazioni sui prezzi di storage per Amazon S3, consulta la pagina dei prezzi di Amazon S3.

Tipi di backup S3

Con AWS Backup, puoi creare i seguenti tipi di backup dei tuoi bucket S3, inclusi dati di oggetti, tag, elenchi di controllo di accesso (ACL) e metadati definiti dall'utente:

  • I backup continui consentono di eseguire il ripristino a un momento qualsiasi negli ultimi 35 giorni. I backup continui per un bucket S3 devono essere configurati solo in un piano di backup.

    Consulta Point-in-TimeRecovery per un elenco dei servizi supportati e istruzioni su come utilizzarli per eseguire backup continui. AWS Backup

  • I backup periodici utilizzano snapshot dei dati per consentire di mantenere i dati per la durata specificata massima di 99 anni. Puoi pianificare backup periodici con frequenze di 1 ora, 12 ore, 1 giorno, 1 settimana o 1 mese. AWS Backup esegue backup periodici durante la finestra di backup definita nel piano di backup.

    Vedi Creazione di un piano di backup per capire come AWS Backup applicare il piano di backup alle tue risorse.

Cross-account e sono disponibili copie interregionali per i backup S3, ma le copie dei backup continui non dispongono di funzionalità di ripristino point-in-time.

I backup continui e periodici di bucket S3 devono risiedere entrambi nello stesso vault di backup.

AWS Backup per S3 si basa sulla ricezione di eventi S3 tramite Amazon. EventBridge Se questa impostazione è disabilitata nelle impostazioni di notifica dei bucket S3, i backup continui verranno interrotti per tali bucket con l'impostazione disattivata. Per ulteriori informazioni, consulta EventBridge Dipendenza da Amazon per i backup continui di S3.

La disattivazione AWS Backup della EventBridge regola Amazon comporterà anche l'interruzione continua del backup. Se disponi di un piano di backup attivo con una regola di backup continuo, quando tale regola si riattiva, AWS Backup ricreerà la EventBridge regola Amazon e verrà creato un nuovo backup continuo.

Per entrambi i tipi di backup, il primo backup è un backup completo, mentre i backup successivi sono incrementali a livello di oggetto.

EventBridge Dipendenza da Amazon per i backup continui di S3

Quando registri un bucket S3 nel backup AWS Backup continuo, crea AWS Backup automaticamente una regola EventBridge gestita da Amazon nel tuo account (denominata). AwsBackupManagedRule-N Questa regola sottoscrive i seguenti eventi S3 sul tuo bucket e li inoltra al servizio: AWS Backup

  • Oggetto creato

  • Aggiornamento dell'ACL dell'oggetto

  • Aggiunti tag degli oggetti

  • Eliminazione di tag degli oggetti

  • Oggetto eliminato

Questi eventi consentono di AWS Backup mantenere la finestra di ripristino continua (ripristino point-in-time).

AWS Backup Per ricevere questi eventi, S3 deve essere configurato per pubblicarli sul bus di EventBridge eventi Amazon predefinito. Questo è controllato dall'impostazione di EventBridge notifica Amazon del bucket, che è indipendente dalla regola AWS Backup-managed.

Importante

Se l'impostazione di EventBridge notifica Amazon a livello di bucket è disabilitata, S3 interrompe la pubblicazione di eventi a livello di oggetto. La EventBridge regola Amazon AWS Backup-managed rimane abilitata ma non riceve eventi per quel bucket. Questo errore è silenzioso: non viene generato alcun errore di notifica, avviso o processo di backup. AWS Backup

Verifica che Amazon EventBridge sia abilitato sul tuo bucket

Console: apri la console S3, seleziona il tuo bucket, scegli la scheda Proprietà, scorri fino a Notifiche eventi e verifica che Amazon EventBridge indichi On.

CLI:

aws s3api get-bucket-notification-configuration --bucket amzn-s3-demo-bucket

Interpreta la risposta come segue:

  • Se la risposta contiene"EventBridgeConfiguration": {}, Amazon EventBridge è abilitato.

  • Se il EventBridgeConfiguration campo non è presente nella risposta, Amazon EventBridge è disabilitato.

Attiva EventBridge le notifiche Amazon

Console: apri la console S3, seleziona il tuo bucket, scegli Proprietà, scorri fino a Notifiche eventi EventBridge, scegli Amazon, scegli Modifica, attiva e scegli Salva.

CLI:

aws s3api put-bucket-notification-configuration \
    --bucket amzn-s3-demo-bucket \
    --notification-configuration '{"EventBridgeConfiguration": {}}'
Importante

put-bucket-notification-configurationè un'operazione di sostituzione, non un'unione. Se il tuo bucket ha altri obiettivi di notifica (SNS, SQS, Lambda), devi includerli nella stessa chiamata. In caso contrario, verranno rimossi.

Cosa succede se Amazon EventBridge è disabilitato su un bucket con backup continuo

  • S3 interrompe la pubblicazione di eventi a livello di oggetto per il bucket.

  • La EventBridge regola Amazon AWS Backup-managed rimane abilitata ma non riceve eventi per quel bucket.

  • Le nuove modifiche agli oggetti apportate dopo la disattivazione non si riflettono nella finestra di ripristino continuo.

  • I punti di ripristino esistenti e la precedente cronologia di backup continuo vengono mantenuti (non eliminati).

  • I job di backup pianificati con snapshot (periodici) definiti nel piano continuano a essere eseguiti secondo la pianificazione, con effetti solo sul tracciamento continuo (PITR).

  • Non viene generata alcuna notifica o avviso. L'errore è silenzioso AWS Backup lateralmente.

Rileva le modifiche alle impostazioni di EventBridge notifica di Amazon

Poiché AWS Backup non è in grado di rilevare quando Amazon a livello di bucket EventBridge è disabilitato, valuta la possibilità di configurare un monitoraggio proattivo per avvisarti quando le impostazioni di notifica cambiano. Puoi utilizzare uno o entrambi i seguenti approcci:

  • CloudTrail + Amazon EventBridge: crea una EventBridge regola Amazon che corrisponda alle chiamate PutBucketNotificationConfiguration API CloudTrail per avvisare in tempo reale quando qualcuno modifica la configurazione delle notifiche di un bucket. È possibile utilizzare il seguente schema di eventi:

    {
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["PutBucketNotificationConfiguration"]
  }
}

    Ciò richiede CloudTrail l'attivazione e la registrazione degli eventi di gestione di S3 (abilitata per impostazione predefinita). Il destinatario (SNS, Lambda, ecc.) deve controllare i dettagli dell'evento per determinare se le notifiche EventBridge Amazon sono state specificamente rimosse.

  • AWS Config— Utilizza la regola AWS Config gestita s3-event-notifications-enabledper contrassegnare i bucket non conformi alle modifiche alla configurazione.

EventBridge Autorizzazioni Amazon richieste per il ruolo di backup

Il ruolo IAM utilizzato per i job di backup continuo (PITR) di S3 deve disporre delle seguenti EventBridge autorizzazioni Amazon AWS Backup per consentire la gestione di: AwsBackupManagedRule

{
  "Sid": "EventBridgePermissionsForAwsBackupManagedRule",
  "Effect": "Allow",
  "Action": [
    "events:DeleteRule",
    "events:PutTargets",
    "events:DescribeRule",
    "events:EnableRule",
    "events:PutRule",
    "events:RemoveTargets",
    "events:ListTargetsByRule",
    "events:DisableRule"
  ],
  "Resource": [
    "arn:aws:events:*:*:rule/AwsBackupManagedRule*"
  ]
},
{
  "Sid": "EventBridgeListRulesPermissions",
  "Effect": "Allow",
  "Action": "events:ListRules",
  "Resource": "*"
}

La policy AWS gestita include AWSBackupServiceRolePolicyForS3Backup già queste autorizzazioni. Se utilizzi un ruolo IAM personalizzato, devi aggiungerlo in modo esplicito.

Re-enable copertura di backup continua

Re-enable Amazon a livello di bucket EventBridge utilizzando i passaggi della console o della CLI precedenti. S3 riprenderà a pubblicare gli eventi e la regola gestita riprenderà a inoltrarli a. AWS Backup Le modifiche apportate mentre Amazon EventBridge era disattivato non verranno acquisite retroattivamente. Il punto di ripristino continuo esistente e la cronologia di backup precedente rimangono validi.

Confronto dei tipi di backup S3

La strategia di backup per le risorse S3 può includere solo backup continui, solo backup (snapshot) periodici o una combinazione di entrambi. Le informazioni riportate di seguito consentono di scegliere la soluzione migliore per l'organizzazione in uso:

Solo backup continui:

  • Dopo che il primo backup completo dei dati esistenti è stato completato, le modifiche ai dati del bucket S3 vengono monitorate mentre si verificano.

  • Le modifiche monitorate consentono di utilizzare PITR (ripristino point-in-time) per il periodo di conservazione del backup continuo. Per eseguire un processo di ripristino, scegli il punto temporale in cui desideri eseguire il ripristino.

  • Il periodo di conservazione di ogni backup continuo è composto da un massimo di 35 giorni.

  • Per i piani di backup creati tramite CLI, le impostazioni di backup avanzate per Amazon S3 (che includono l'opzione di includere tag e ACL nel backup) sono attivate per impostazione predefinita. Puoi escluderli nelle opzioni di backup. Vedi un Impostazioni di backup avanzate di Amazon S3 esempio della sintassi.

Solo backup (snapshot) periodici, pianificati o on demand:

  • AWS Backup analizza l'intero bucket S3, recupera l'ACL e i tag di ogni oggetto e avvia una richiesta Head per ogni oggetto presente nell'istantanea precedente ma non trovato nell'istantanea creata.

  • Il backup è point-in-time coerente.

  • La data e l'ora di backup registrate sono l'ora in cui viene AWS Backup completato l'attraversamento del bucket, non il momento in cui è stato creato un job di backup.

  • Il primo backup di un bucket è un backup completo. Ogni backup successivo è incrementale e rappresenta la modifica dei dati dall'ultimo snapshot.

  • Lo snapshot acquisito dal backup periodico può avere un periodo di conservazione massimo 99 anni.

Backup continui combinati con backup: periodic/snapshot

  • Al termine del primo backup completo dei dati esistenti (ogni bucket), le modifiche nel bucket vengono monitorate mentre si verificano.

  • Puoi eseguire un ripristino point-in-time da un punto di ripristino continuo.

  • Gli snapshot sono point-in-time coerenti.

  • Gli snapshot vengono acquisiti direttamente dal punto di ripristino continuo, eliminando la necessità di ripetere la scansione di un bucket per consentire processi più rapidi.

  • Gli snapshot e i punti di ripristino continui condividono la derivazione dei dati; lo storage dei dati tra snapshot e punti di ripristino continui non è duplicato.

  • Quando le impostazioni di backup avanzate di Amazon S3, ad esempio l'inclusione di tag e ACL in un backup, vengono modificate per un punto di continuous ripristino, AWS Backup interrompe quel punto di ripristino e ne crea uno nuovo con le impostazioni aggiornate.

Quando è in esecuzione un processo di backup continuo per un bucket S3, puoi comunque avviare processi di backup periodici (snapshot). Tuttavia, si applica il seguente comportamento:

  • I job di backup con snapshot utilizzeranno le stesse opzioni di backup (impostazioni degli ACL e dei tag degli oggetti) del backup continuo esistente.

  • Se si specificano opzioni di backup diverse per un processo di snapshot rispetto a quelle utilizzate dal backup continuo, il processo di snapshot utilizzerà comunque le impostazioni del backup continuo e verrà completato con lo stato «Completato con problemi».

    Quando ciò si verifica, viene visualizzato il seguente messaggio di stato: "Periodic/snapshot backup for bucket <bucket name> has different backup options than the continuous backup. When using continuous backups along with snapshot backups for the same bucket, the snapshot will use the same settings for backing up ACLs and Object tags as the continuous backup."

La tabella seguente mostra quando è necessaria una scansione completa quando si passa BackupOptions a punti di ripristino continui esistenti:

Comportamento della scansione completa quando BackupOptions viene modificato
Precedente BackupOptions Nuovo BackupOptions Scansione completa
BackupACLS e backup abilitati ObjectTags BackupACLS e backup disattivati ObjectTags No
BackupACLS e backup abilitati ObjectTags BackupACLS abilitato; backup disabilitato ObjectTags No
BackupACLS e backup abilitati ObjectTags BackupACLS disabilitato; backup abilitato ObjectTags No
BackupACLS e backup disattivati ObjectTags BackupACLS e backup abilitati ObjectTags
BackupACLS abilitato; backup disabilitato ObjectTags BackupACLS e backup abilitati ObjectTags
BackupACLS disabilitato; backup abilitato ObjectTags BackupACLS e backup abilitati ObjectTags

Finestre di completamento del backup S3

La tabella seguente mostra bucket di esempio di varie dimensioni che forniscono linee guida delle stime del tempo di completamento del backup completo iniziale di un bucket S3. I tempi di backup variano in base a dimensioni, contenuto, configurazione e impostazioni di ciascun bucket.

Dimensione bucket Numero di oggetti Tempo stimato per il completamento del backup iniziale
425 GB (gigabyte) 135 milioni 31 ore
800 TB (terabyte) 670 milioni 38 ore
6 PB (petabyte) 5 miliardi 100 ore
370 TB (terabyte) 7,5 miliardi 180 ore

Procedure consigliate e considerazioni sui costi per i backup S3

Procedure consigliate per grandi gruppi

Per bucket con più di 300 milioni di oggetti:

  • Per i bucket con più di 300 milioni di oggetti, la velocità di backup può raggiungere i 17.000 oggetti al secondo durante il backup completo iniziale del bucket (i backup incrementali avranno una velocità diversa); i bucket contenenti meno di 300 milioni di oggetti eseguono il backup a una velocità vicina a 1.000 oggetti al secondo.

  • Si consigliano backup continui.

  • Se il ciclo di vita del backup è pianificato per più di 35 giorni, è anche possibile abilitare i backup snapshot per il bucket nello stesso vault in cui sono archiviati i backup continui.

Ottimizzazione della strategia di Backup

  • Per gli account che eseguono backup almeno giornalmente o con maggiore frequenza, è possibile ottenere vantaggi in termini di costi utilizzando backup continui se i dati all'interno dei backup presentano modifiche minime tra i backup.

  • I bucket più grandi che non cambiano frequentemente possono trarre vantaggio dai backup continui, poiché ciò può comportare una riduzione dei costi quando non è necessario eseguire scansioni dell'intero bucket insieme a più richieste per oggetto su oggetti preesistenti (oggetti che sono invariati rispetto al backup precedente).

  • I bucket che contengono più di 100 milioni di oggetti e che hanno un tasso di eliminazione basso rispetto alla dimensione complessiva del backup potrebbero ottenere vantaggi in termini di costi con un piano di backup contenente un backup continuo con un periodo di conservazione di 2 giorni e snapshot di un periodo di conservazione più lungo.

  • Il tempo del backup (snapshot) periodico è allineato all'inizio del processo di backup quando non è necessaria la scansione di un bucket. Le scansioni non sono necessarie in un bucket contenente backup continui e snapshot, poiché in questi casi gli snapshot vengono acquisiti da un punto di ripristino continuo.

Ciclo di vita degli oggetti e marcatori di eliminazione

  • Le policy del ciclo di vita di S3 hanno una funzionalità opzionale chiamata Elimina i contrassegni di eliminazione degli oggetti scaduti. Quando questa funzionalità viene interrotta, i contrassegni di eliminazione, a volte in quantità di milioni, scadono senza alcun piano di pulizia. Quando si esegue il backup di bucket senza questa funzionalità, due problemi influiscono su tempi e costi:

    • I contrassegni di eliminazione vengono sottoposti a backup, al pari degli oggetti. Il tempo di backup e il tempo di ripristino possono essere influenzati a seconda del rapporto tra oggetti e contrassegni di eliminazione.

    • Ogni oggetto e contrassegno di cui viene eseguito il backup ha un costo minimo. A ogni contrassegno di eliminazione viene addebitata la stessa tariffa di un oggetto da 128 KiB.

Considerazioni sui costi della classe di storage

  • Per ogni oggetto in un unico oggetto S3-GIR (Amazon S3 Glacier Instant Retrieval), AWS Backup esegue più chiamate, il che comporterà costi di recupero quando viene eseguito un backup.

    Costi di recupero simili si applicano ai bucket con oggetti nelle classi di storage S3 One. S3-IA Zone-IA

AWS ottimizzazione dei costi del servizio

  • L'utilizzo delle funzionalità di AWS KMS CloudTrail CloudWatch, Amazon e Amazon GuardDuty come parte della tua strategia di backup può comportare costi aggiuntivi rispetto allo storage dei dati con bucket S3. Per informazioni sulla regolazione di queste funzionalità, consulta le seguenti sezioni:

    • Riduzione dei costi SSE-KMS con le chiavi Amazon S3 Bucket nella Amazon S3 User Guide.

    • Puoi ridurre CloudTrail i costi escludendo AWS KMS gli eventi e disabilitando gli eventi relativi ai dati S3:

      • Escludi AWS KMS eventi: nella Guida per l'CloudTrail utente, la creazione di un percorso nella console (selettori di eventi di base) consente di escludere AWS KMS gli eventi per filtrarli dal percorso (l'impostazione predefinita include tutti gli eventi KMS):

        • L'opzione per registrare o escludere gli eventi KMS è disponibile solo se gli eventi di gestione vengono registrati sul trail. Se scegli di non registrare gli eventi di gestione, gli eventi KMS non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi KMS.

        • AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un grande volume (oltre il 99%) di eventi. Queste azioni sono ora registrate come eventi di lettura. Low-volume, le azioni KMS pertinenti come DisableDelete, e ScheduleKey (che in genere rappresentano meno dello 0,5% del volume degli eventi KMS) vengono registrate come eventi di scrittura.

        • Per escludere eventi a volume elevato come Encrypt, Decrypt e GenerateDataKey, ma registrare comunque eventi rilevanti come Disable, Delete e ScheduleKey, scegli di registrare gli eventi di gestione Scrittura e deseleziona la casella di controllo Escludi eventi AWS KMS .

      • Disabilita eventi di dati S3: per impostazione predefinita, i trail e gli archivi dati di eventi non registrano gli eventi di dati. Disattiva gli eventi di dati S3 prima del backup iniziale per ridurre i costi.

    • Per ridurre CloudWatch i costi, puoi interrompere l'invio di CloudTrail eventi ai CloudWatch registri quando aggiorni un percorso per disabilitare le impostazioni dei registri. CloudWatch

    • Stima del costo di GuardDuty utilizzo nella Amazon GuardDuty User Guide.

Messaggi di backup S3

Quando un processo di backup viene completato o fallito, è possibile che venga visualizzato il seguente messaggio. La tabella seguente può aiutarti a determinare la possibile causa del messaggio di stato.

Scenario Stato di un processo Messaggio Esempio

Non è stato possibile eseguire il backup di tutti gli oggetti per un'istantanea o un backup continuo iniziale

FAILED

«Non è stato eseguito il backup di alcun oggetto dal BucketNamebucket di origine. Per ricevere notifiche di questi errori, abilita le notifiche degli eventi SNS».

Il ruolo di Backup non dispone dell'autorizzazione per ottenere l'ACL della versione dell'oggetto. Di conseguenza, non viene eseguito il backup di nessuno degli oggetti.

Non è stato possibile eseguire il backup di tutti gli oggetti per un successivo backup continuo.

COMPLETED

«Non è stato eseguito il backup di alcun oggetto dal bucket BucketNamedi origine. Per ricevere notifiche di questi errori, abilita le notifiche degli eventi SNS».

Impostazioni di backup avanzate di Amazon S3

AWS Backup fornisce impostazioni avanzate per controllare quali metadati sono inclusi nei backup di Amazon S3. Facoltativamente, puoi escludere le liste di controllo degli accessi (ACL) e i tag degli oggetti, il che può essere utile se gli oggetti sono configurati senza ACL e tag di oggetto. In altre parole, se non utilizzi ACL o tag di oggetti per le tue risorse S3, potresti trovare utile escluderli dai tuoi backup.

Configurazione del backup degli ACL e dei tag degli oggetti

È possibile configurare le opzioni di backup degli ACL e dei tag degli oggetti tramite la AWS Backup console o tramite. AWS CLI

Console
Configura le opzioni ACL e tag utilizzando la console

  1. Apri la AWS Backup console all'indirizzo https://console.aws.amazon.com/backup/.

  2. Nel riquadro di navigazione, scegli Piani di backup, quindi scegli Crea piano di backup.

  3. Nelle impostazioni del piano di backup, espandi Impostazioni di backup avanzate.

  4. Per le risorse Amazon S3, configura le seguenti opzioni:

    • Acl di backup: seleziona la casella di controllo per includere gli ACL o lasciala deselezionata per escluderli.

      Backup dei tag degli oggetti: seleziona la casella di controllo per includere i tag degli oggetti nel backup.

  5. Completa la configurazione del piano di backup e scegli Crea piano.

AWS CLI

Puoi includere o escludere selettivamente le liste di controllo degli accessi (ACL) e i tag degli oggetti dai tuoi backup di Amazon S3 utilizzando le seguenti opzioni di backup:

ACL di backup

Controlla se gli ACL degli oggetti sono inclusi nel backup. Imposta su per disabled escludere gli ACL. Impostazione predefinita: enabled

BackupObjectTags

Controlla se i tag degli oggetti sono inclusi nel backup. Imposta su disabled per escludere i tag. Impostazione predefinita: enabled

Configura le opzioni ACL e tag utilizzando il AWS CLI

Per configurare le opzioni di backup ACL e object tag utilizzando il AWS CLI, usa il update-backup-plan comando con impostazioni di backup avanzate:


aws backup update-backup-plan \
    --backup-plan-id "your-backup-plan-id" \
    --backup-plan '{
        "BackupPlanName": "MyS3BackupPlan",
        "Rules": [{
            "RuleName": "MyS3BackupRule",
            "TargetBackupVaultName": "MyBackupVault",
            "ScheduleExpression": "cron(0 2 ? * * *)",
            "Lifecycle": {
                "DeleteAfterDays": 30
            },
            "RecoveryPointTags": {},
            "CopyActions": [],
            "EnableContinuousBackup": false
        }],
        "AdvancedBackupSettings": [{
            "ResourceType": "S3",
            "BackupOptions": {
                "BackupACLs": "disabled",
                "BackupObjectTags": "disabled"
            }
        }]
    }'

I BackupOptions parametri controllano l'inclusione dei metadati:

  • "BackupACLs": "disabled"- Esclude gli ACL dai backup

  • "BackupObjectTags": "disabled"- Esclude i tag degli oggetti dai backup

  • "BackupACLs": "enabled"- Include gli ACL nei backup (impostazione predefinita)

  • "BackupObjectTags": "enabled"- Include i tag degli oggetti nei backup (impostazione predefinita)