기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

논리적 에어 갭 저장소에 대한 기본 백업

개요

논리적 에어 갭 저장소 기본 백업 기능을 사용하면 예약된 백업 작업과 온디맨드 백업 작업 모두에 대해 논리적 에어 갭 저장소를 동일한 계정 내의 기본 백업 대상으로 지정할 수 있습니다. 따라서 표준 백업 저장소와 논리적 에어 갭 저장소 모두에서 별도의 복사본을 유지 관리할 필요가 없으므로 비용을 절감하고 워크플로를 간소화하는 동시에 논리적 에어 갭의 보안 이점을 유지할 수 있습니다.

백업 계획, 조직 전체 정책 또는 온디맨드 백업에서 논리적 에어 갭 저장소를 기본 대상으로 할당할 수 있습니다. 이전에는 논리적 에어 갭 저장소에 백업하려면 먼저 백업 저장소에 백업을 생성한 다음 논리적 에어 갭 저장소에 복사해야 했습니다. 이 기능을 사용하면 리소스 유형에 따라 논리적 에어 갭 저장소에서 직접 백업을 생성하거나 논리적 에어 갭 저장소에 복사된 다음 삭제되는 임시 백업을 자동으로 관리할 AWS Backup 수 있습니다.

동작은 다음 두 가지 요인에 따라 달라집니다.

이 기능에 대한 새 요금은 없습니다. 논리적 에어 갭 저장소에 저장된 백업과 해당 리소스에 대한 임시 스냅샷(시스템의 보존 기간 동안)에 대해서만 일반적인 요금으로 요금이 부과됩니다. 자세한 내용은 AWS Backup 요금을 참조하세요.

작동 방식

기존 백업 계획을 업데이트하거나 새 백업 계획을 생성하고 논리적 에어 갭 저장소 ARN(필드 이름: TargetLogicallyAirGappedBackupVaultArn)을 기본 백업 대상으로 추가하여이 기능에 온보딩할 수 있습니다. AWS Backup 콘솔 또는 AWS Backup CLI 명령을 통해이 작업을 수행할 수 있습니다.

"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",

백업 작업의 대상으로 백업 저장소와 논리적 에어 갭 저장소를 모두 지정하는 경우는 리소스 유형 및 암호화 구성을 기반으로 적절한 워크플로를 AWS Backup 결정합니다.

논리적 에어 갭 저장소에 대한 기본 백업에 지원되는 리소스

논리적 에어 갭 저장소에 대해 지원되는 리소스의 전체 목록을 보려면 AWS Backup 기능 가용성을 참조하세요. 논리적 에어 갭 저장소를 지원하는 모든 리소스는이 기능을 사용할 때 별도의 복사본 2개를 저장하는 대신 백업 복사본 1개만 유지 관리하는 원칙을 따릅니다.

고려 사항 및 제한 사항:

전체 AWS Backup 관리를 지원하는 리소스

전체 AWS Backup 관리를 지원하는 Amazon EFS, Amazon S3, AWS Backup 고급 기능이 있는 Amazon DynamoDB 등과 같은 일부 리소스 유형은 논리적 에어 갭 저장소에 직접 백업할 수 있습니다. 백업 볼트에 복구 시점이 생성되지 않으므로 복사 작업이 필요하지 않습니다. 백업 계획에서 예약된 복사 작업은 논리적 에어 갭 저장소의 복구 시점을 소스로 사용합니다.

Amazon S3와 같이 연속 백업을 지원하는 리소스는 논리적 에어 갭 저장소에 직접 연속 백업을 수행할 수도 있습니다.

전체 AWS Backup 관리 및 논리적 에어 갭 저장소를 지원하는 리소스 유형 목록은 "전체 관리" 및 "논리적 에어 갭 저장소" 열의 리소스별 기능 가용성을 참조하세요.

리소스가 전체 AWS Backup 관리를 지원하지 않음

Amazon EBS/EC2, Amazon Aurora 및 Amazon FSx와 같은 리소스는 논리적 에어 갭 저장소에 직접 백업할 수 없습니다. 이러한 리소스 유형의 경우는 백업 저장소에 임시 복구 시점을 AWS Backup 생성한 다음 논리적 에어 갭 저장소에 자동으로 복사합니다.

임시 복구 시점에는 라는 특수 수명 주기 설정이 있습니다DELETE_AFTER_COPY. 논리적 에어 갭 저장소에 대한 복사가 성공적으로 완료되면가 임시 복구 시점을 AWS Backup 자동으로 삭제합니다. 백업 계획의 다른 모든 예약된 복사 작업은 논리적 에어 갭 저장소에 대한 복사와 함께 시작되며 현재 복사 환경에는 영향을 주지 않습니다.

논리적 에어 갭 저장소로의 복사가 실패하면 지정한 보존 기간에 따라 임시 복구 시점이 백업 저장소에 유지됩니다. 이렇게 하면 백업 작업이 완료된 후 항상 사용 가능한 복구 시점을 확보할 수 있습니다. 복구 시점이 나중에 논리적 에어 갭 저장소에 수동으로 복사되는 경우 DELETE_AFTER_COPY 규칙에 따라 자동으로 정리됩니다.

복사 수명 주기 후 삭제

임시 복구 시점에는 값이 DeleteAfterEvent인 라는 새 수명 주기 속성이 있습니다DELETE_AFTER_COPY. 이 속성은 모든 복사 작업이 완료된 후 또는 지정한 보존 기간 중 먼저 도래하는 시점 이후에 복구 시점이 자동으로 삭제됨을 나타냅니다.

다음 조건이 모두 충족되면 임시 복구 시점이 삭제됩니다.

복사본이 진행되는 동안 임시 복구 시점이 수동으로 삭제되지 않도록 해야 하는 경우 잠긴 백업 저장소를 대상 백업 저장소로 사용하는 것이 좋습니다.

전체 AWS Backup 관리를 지원하지 않는 리소스에 대한 연속 백업

Amazon Aurora와 같은 리소스의 경우 연속 백업을 활성화하면는 백업 저장소에 연속 복구 시점을 AWS Backup 생성하고 논리적 에어 갭 저장소에 복사되는 임시 스냅샷을 생성합니다. 백업 볼트에 연속 복구 시점을 유지하기 때문에 복사 성공 또는 실패 여부에 관계없이 복사가 완료된 후에는 임시 스냅샷이 항상 삭제됩니다.

백업 저장소에서 Amazon Aurora에 대한 연속 복구 시점을 생성하지 않고 논리적 에어 갭 저장소에서 Amazon S3에 대한 연속 복구 시점을 원하는 경우 현재 계획에서 연속 백업(EnableContinuousBackup) 설정을 비활성화하고 다른 계획에서 S3 연속을 활성화할 수 있습니다.

Amazon Aurora 백업 스토리지 사용량 이해에서 Aurora 백업 스토리지에 대해 자세히 알아볼 수 있습니다.

지원되지 않는 리소스

논리적 에어 갭 저장소에서 리소스 유형을 지원하지 않거나 완전 관리되지 않는 리소스가 AWS 관리형 키로 암호화된 경우는 백업 저장소에서만 백업을 AWS Backup 생성합니다. 논리적 에어 갭 저장소에 대한 복사는 시도되지 않습니다. 백업 작업이 성공적으로 완료되고 백업이 논리적 에어 갭 저장소로 이동하지 않은 이유를 나타내는 메시지가 표시됩니다.

비용 고려 사항

논리적 에어 갭 저장소 기본 백업 구성

AWS Backup 콘솔 AWS CLI AWS CloudFormation, 또는 백업 정책을 통해 논리적 에어 갭 저장소 기본 AWS Organizations 백업을 구성할 수 있습니다.

백업 계획 구성

Console

백업 계획에 대해 논리적 에어 갭 저장소 기본 백업을 구성하려면

1. https://console.aws.amazon.com/backup AWS Backup 콘솔을 엽니다.

2. 탐색 창에서 백업 계획을 선택한 다음 백업 계획 생성을 선택하거나 편집할 기존 백업 계획을 선택합니다.

3. 백업 규칙 구성 섹션에서 백업 규칙 설정을 지정합니다.

4. 백업 저장소에서 임시 복구 시점이 저장될 백업 저장소(완전히 관리되지 않는 리소스의 경우) 또는 논리적 에어 갭 저장소에 배치할 수 없는 경우 백업이 저장될 백업 저장소를 선택합니다.

5. 논리적 에어 갭 저장소(선택 사항)에서 백업을 저장할 논리적 에어 갭 저장소를 선택합니다.

   참고

   논리적 에어 갭 저장소는 백업 저장소와 동일한 계정 및 리전에 있어야 합니다.

6. 수명 주기 및 복사 옵션을 포함하여 나머지 백업 규칙 설정을 구성합니다.

7. 계획 생성 또는 변경 사항 저장을 선택합니다.

AWS CLI

CLI 명령을 사용하여 새 계획을 create-backup-plan 생성하거나 기존 계획을 update-backup-plan 업데이트하고 백업 규칙에 TargetLogicallyAirGappedBackupVaultArn 파라미터를 포함합니다.

JSON 문서를 사용하여 백업 계획을 생성하는 CLI 명령의 예:

aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json

CLI에서 직접 백업 계획을 생성하는 CLI 명령의 예:

aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'

온디맨드 백업 구성

Console

온디맨드 백업을 위해 논리적 에어 갭 저장소 기본 백업을 구성하려면

1. https://console.aws.amazon.com/backup AWS Backup 콘솔을 엽니다.

2. 탐색 창에서 보호된 리소스를 선택합니다.

3. 보호된 리소스 페이지에서 온디맨드 백업 생성을 선택합니다.

4. 백업할 리소스 유형과 리소스 ARN을 선택합니다.

5. 백업 볼트에서 백업 볼트를 선택합니다.

6. 논리적 에어 갭 저장소(선택 사항)에서 백업을 저장할 논리적 에어 갭 저장소를 선택합니다.

7. 나머지 설정을 구성하고 온디맨드 백업 생성을 선택합니다.

AWS CLI

start-backup-job 명령을 새 --logically-air-gapped-backup-vault-arn 파라미터와 함께 사용합니다.

aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35

논리적 에어 갭 저장소 기본 백업 모니터링

AWS Backup 콘솔 AWS CLI또는 Amazon EventBridge 이벤트를 사용하여 백업 및 복사 작업의 상태를 모니터링할 수 있습니다.

백업 작업 모니터링

백업 작업 상태(DescribeBackupJob)를 모니터링하여 리소스가 보호 상태를 유지하도록 합니다. 백업 작업이 실패하면 복구 시점이 생성되지 않은 것입니다.

복사 작업 모니터링

논리적 에어 갭 저장소에 대한 복사 작업(ListCopyJobs)의 실패 여부를 모니터링합니다. 복사 작업이 실패하면 복구 시점이 논리적 에어 갭 저장소 보호 없이 표준 백업 저장소에 남아 있습니다.

복구 시점 모니터링

EXPIRED 복구 시점(ListRecoveryPointsByBackupVault)을 모니터링하여가 복구 시점을 삭제할 수 없음을 나타낼 AWS Backup 수 있습니다(권한 누락 때문일 수 있음). EXPIRED 복구 시점은 비용에 영향을 미칠 수 있습니다.

온보딩 및 마이그레이션

현재 복사 작업을 사용하여 논리적 에어 갭 저장소에 백업을 복사하는 경우 논리적 에어 갭 저장소 기본 백업으로 마이그레이션하여 비용을 절감할 수 있습니다. 또한 기존 Amazon S3 연속 백업을 백업 저장소에서 논리적 에어 갭 저장소로 마이그레이션할 수 있습니다. 이 가이드에서는 논리적 에어 갭 저장소 기본 백업 기능으로 마이그레이션하는 데 필요한 사전 조건과 단계를 설명합니다.

사전 조건 및 모범 사례

논리적 에어 갭 저장소 기본 백업 기능을 효과적으로 사용하기 전에 사전 조건과 권장 모범 사례가 있습니다.

사전 조건

현재, 기본 백업 대상으로 논리적 에어 갭 저장소는 백업 리소스와 동일한 AWS 계정 및 AWS 리전 내의 백업만 지원합니다. 논리적 에어 갭 저장소 백업은 본질적으로 별도의 서비스 계정에 저장되므로 별도의 계정에 복사할 필요 없이 교차 계정/교차 조직 격리를 제공합니다. 리전 간 백업이 필요한 경우 논리적 에어 갭 저장소를 복사 대상으로 계속 사용합니다. 이 기능으로 마이그레이션하기 전에 다음 요구 사항을 충족해야 합니다.

모범 사례

마이그레이션 계획

전체 AWS Backup 관리 마이그레이션 경로를 지원하는 리소스

완전 관리형 리소스의 경우 복사 작업 없이 논리적 에어 갭 저장소에 직접 백업할 수 있습니다.

스냅샷 기반 백업의 경우

이 프로세스는 백업 볼트가 잠겨 있는지 여부에 관계없이 모든 스냅샷 시나리오에 적용됩니다. 기존 백업 계획을 마이그레이션하거나 새 백업 계획에서 기존 백업 저장소(기본) 및 논리적 에어 갭 저장소(복사)를 사용하는 경우:

Amazon S3 연속 백업의 경우

논리적 에어 갭 저장소를 기본 백업 대상으로 사용하면 Amazon S3에 대한 연속 백업을 지원합니다. 그러나 단일 볼트에서 리소스당 하나의 활성 연속 복구 시점만 유지할 수 있습니다. 기존 활성 Amazon S3 연속 복구 시점이 있는 경우 다른 볼트에 새 복구 시점을 생성하기 전에 연결을 해제하거나 삭제해야 합니다. 기존 활성 Amazon S3 연속 복구 시점이 있는 논리적 에어 갭 저장소 대상(동일한 계정의 대상)을 백업 계획에 추가하면 연속 백업 작업이 실패합니다.

잠금 해제된 백업 저장소에서 논리적 에어 갭 저장소로 Amazon S3 연속 복구 시점을 마이그레이션하려면:

Amazon S3 연속 복구 시점을 잠긴 백업 저장소에서 논리적 에어 갭 저장소로 마이그레이션하려면:

전체 AWS Backup 관리 마이그레이션 경로를 지원하지 않는 리소스

완전 관리되지 않는 리소스에는 논리적 에어 갭 저장소에 대한 복사 작업이 필요합니다. 이 프로세스는 표준 백업 저장소에 임시 복구 시점(청구 가능)을 생성하며,이 시점은 논리적 에어 갭 저장소에 자동으로 복사된 다음 복사가 완료된 후 삭제됩니다. 논리적 에어 갭 저장소 대상을 포함하도록 백업 계획을 업데이트하는 경우:

문제 해결

수명 주기 비호환성 오류와 함께 백업 또는 복사 작업이 실패함

백업 작업에 대한 오류: Backup job failed because the lifecycle is outside the valid range for backup vault.

복사 작업 오류: Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.

가능한 원인: 보존 기간이 논리적 에어 갭 저장소의 최소 또는 최대 보존 설정과 호환되지 않아 백업 작업 또는 복사 작업이 실패합니다.

해결 방법: 논리적 에어 갭 저장소에 대해 구성된 최소 및 최대 보존 기간 내에 속하는 보존 기간을 지정하도록 백업 계획을 업데이트합니다.

"이미 연속 백업이 활성화되어 있습니다"와 함께 연속 백업 작업이 실패합니다.

오류: Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.

가능한 원인: 다른 볼트에 리소스에 대한 연속 복구 시점이 이미 있으므로 연속 백업 작업이 실패합니다.

해결 방법: 각 리소스에는 연속 복구 시점이 하나만 있을 수 있습니다. 백업 볼트가 잠금 해제된 경우 disassociate-recovery-point 명령을 사용하여 기존 연속 복구 시점의 연결을 해제합니다. 백업 볼트가 잠긴 경우 수명 주기에 따라 기존 연속 복구 시점이 만료될 때까지 기다립니다.

백업 작업이 “문제와 함께 완료됨”으로 완료됨 - 지원되지 않는 리소스 유형

메시지: Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.

가능한 원인: 지원되지 않는 완전 관리형 리소스에 대한 백업 작업은 리소스가 지원되지 않음을 나타내는 메시지와 함께 “문제와 함께 완료됨”으로 표시됩니다.

해결 방법: 지원되지 않는 리소스 유형은 백업 볼트에만 백업됩니다. 이러한 백업을 백업 볼트에 보관하려는 경우 별도의 조치가 필요하지 않습니다. 지원되지 않는 리소스를 논리적 에어 갭 저장소와 혼합하지 않으려면 다음을 수행할 수 있습니다.

백업 작업이 '문제와 함께 완료됨'으로 완료됨 - 지원되지 않는 암호화 키

메시지: Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.

가능한 원인: 지원되지 않는 완전 관리형 리소스에 대한 백업 작업은 리소스가 AWS 관리형 키로 암호화되었음을 나타내는 메시지와 함께 '문제와 함께 완료됨'으로 표시됩니다.

해결 방법: 관리형 키로 암호화된 완전하지 않은 AWS 관리형 리소스는 논리적 에어 갭 저장소에 복사할 수 없습니다. 이러한 백업을 백업 볼트에 보관하려는 경우 별도의 조치가 필요하지 않습니다. 지원되지 않는 리소스를 논리적 에어 갭 저장소와 혼합하지 않으려면 다음을 수행할 수 있습니다.

복구 시점은 EXPIRED 상태로 유지됩니다.

가능한 원인: 임시 복구 시점이 EXPIRED 상태로 전환되지만 삭제되지는 않습니다.

해결 방법: AWS Backup 복구 시점을 삭제할 권한이 없을 수 있습니다. 백업 역할에 필요한 IAM 권한이 있는지 확인합니다. expired 복구 시점을 수동으로 삭제해야 할 수 있습니다.

백업 빈도가 높아 복사 작업이 대기열에 있거나 실패함

가능한 원인: 백업이 복사본이 완료될 수 있는 것보다 더 자주 예약되므로 논리적 에어 갭 저장소로 작업 복사가 대기열에 추가되거나 실패합니다.

해결 방법: 백업 빈도를 줄이거나 백업 일정을 조정하여 백업 사이에 더 많은 시간을 허용합니다. 동시 복사 제한에 대한 자세한 내용은 AWS Backup 할당량 설명서를 참조하세요.