本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立備份計畫
您可以使用 AWS Backup 主控台、API、CLI、 SDK 或 AWS CloudFormation 範本建立備份計劃。
**Topics**
+ [使用 AWS Backup 主控台建立備份計劃](#create-backup-plan-console)
+ [使用 建立備份計劃 AWS CLI](#create-backup-plan-cli)
+ [備份計畫選項和組態](plan-options-and-configuration.md)
+ [CloudFormation 備份計劃的 範本](plan-cfn.md)
+ [刪除備份計畫](deleting-a-backup-plan.md)
+ [更新備份計劃](updating-a-backup-plan.md)
## 使用 AWS Backup 主控台建立備份計劃
在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。從儀表板中,選擇 **Manage Backup plans (管理備份計劃)**。或者使用導覽窗格,選擇 **備份計畫**,然後選擇 **建立備份計畫**。
**開始選項**
新的備份計畫有三種選擇:
+ 根據現有計劃建立備份計劃
+ 建置新的計畫
+ [使用 建立備份計劃 AWS CLI](#create-backup-plan-cli)
在此程序中,我們會建立新的計劃。這個組態的每個部分都有一個連結,指向頁面上展開的區段,您可以瀏覽該區段以取得更多詳細資訊。
1. 在 中輸入計劃名稱**[備份計畫名稱](plan-options-and-configuration.md#plan-name)**。您無法在建立計劃之後變更計劃的名稱。
如果您嘗試建立與現有計劃相同的備份計劃,您會收到`AlreadyExistsException`錯誤。
1. 您可以選擇性地將標籤新增至備份計畫。
1. **備份規則組態:**您將在備份規則組態區段中,設定備份排程、時段和生命週期。
1. **排程:**
1. 在文字欄位中輸入**備份規則名稱**。
1. 在備份保存庫功能表中,選擇**預設**,或選擇**建立新的備份保存庫**以建立保存庫。
1. 在備份頻率選單中,選擇您希望此計劃建立備份的頻率。
1. **備份時段:**
1. **開始時間**預設為系統本機時區的凌晨 12:30 (24 小時內為 00:30)。
1. **以下時間後開始**預設為 8 小時。您可以變更此設定以指定備份的開始時段。
1. **完成時間**預設為 7 天。即使任務在啟動時段結束時啟動,也請確保有足夠的時間完成備份。
1. **[持續備份和point-in-time(PITR)](point-in-time-recovery.md):**您可以選取**為時間點復原 (PITR) 啟用持續備份**。若要確認這類備份支援哪些資源,請參閱[各資源的功能可用性](backup-feature-availability.md#features-by-resource)矩陣。
1. **生命週期**
1. **不常用儲存:**選取此方塊,可根據您在保留期間總計中指定的時間表,將合格的資源類型轉移至不常用儲存。要使用不常用儲存,保留期間總計必須為 90 天或更長的時間。不過,請注意下列事項。某些服務支援增量備份。對於增量備份,您必須至少有一個暖完整備份。 AWS Backup 建議您設定生命週期設定,在至少 8 天後才將備份移至冷儲存。如果過早將完整備份轉移至不常用儲存 (例如,在 1 天後轉移至不常用儲存),則 AWS Backup 將會建立另一個常用完整備份。
1. **Amazon EBS 的不常用儲存**是 [Amazon EBS 快照存檔](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html)。轉移至封存儲存體的快照在主控台中會顯示為不常用儲存層。如果已啟用不常用儲存,而且備份頻率是每月或更低的頻率,您就具備備份計畫轉移 EBS 快照。
1. **保留期總計**是您將資源存放在 AWS Backup的天數。這是常用儲存加上不常用儲存的總天數。
1. (*選用*) 您可以選擇使用支援資源類型的每個定期備份來建立備份索引 (連續備份將建立每日索引)。只有具有關聯索引的復原點 (備份) 才能包含在[備份搜尋](backup-search.md)中。
例如,每次備份計畫建立 S3 備份時,您也可以為該備份建立備份索引。這將允許該特定備份包含在未來的搜尋中。
在您要為其建立索引的資源類型 (些) 旁放置檢查。
1. (*選用*) 啟用惡意軟體掃描以在建立備份之後自動掃描備份。設定惡意軟體保護時,請指定要掃描的資源類型 (Amazon EC2、Amazon EBS、Amazon S3 或所有支援的資源) 和掃描類型 (完整或增量)。惡意軟體掃描僅適用於您選取的資源類型。例如,如果您的備份計劃同時包含 Amazon S3 和 Amazon EC2 資源,但您僅針對 Amazon EC2 啟用惡意軟體掃描,則服務只會掃描您的 EC2 備份。對於每個備份規則,您可以設定要使用的掃描類型。備份規則的排程將決定掃描類型發生的頻率。
**重要**
啟用惡意軟體保護之前,請確定您的備份角色和掃描器角色具有必要的許可。如需詳細資訊,請參閱[許可文件](https://docs.aws.amazon.com/aws-backup/latest/devguide/malware-protection.html#malware-access)。
1. (*選用*) 如果您想要將備份副本存放在其他 AWS 區域中,請使用**複製到目的地**,以建立合格資源的跨區域副本。
1. (*選用*) 新增至復原點的標籤。
1. 根據規格完成所有區段的設定時,請選擇**儲存備份規則**。
## 使用 建立備份計劃 AWS CLI
您也可以在 JSON 文件中定義備份計畫,然後使用 AWS Backup 主控台或 AWS CLI提供備份計畫。下列 JSON 文件包含範例備份計畫,可在太平洋時間 1:00 建立每日備份 (當地時間會根據日光、標準或暑期時間條件調整,如適用)。它會在一年後自動刪除備份。
```
{
"BackupPlan":{
"BackupPlanName":"test-plan",
"Rules":[
{
"RuleName":"test-rule",
"TargetBackupVaultName":"test-vault",
"ScheduleExpression":"cron(0 1 ? * * *)",
"ScheduleExpressionTimezone":"America/Los_Angeles",
"StartWindowMinutes":integer, // Value is in minutes
"CompletionWindowMinutes":integer, // Value is in minutes
"IndexActions": [
{
"ResourceTypes": [ "string" ]
}
],
"Lifecycle":{
"DeleteAfterDays":integer, // Value is in days
}
}
]
}
}
```
您可以使用自己選擇的名稱儲存 JSON 文件。以下 CLI 命令會顯示 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html),其 JSON名為 `test-backup-plan.json`:
```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```
請注意,雖然某些系統編號從 0 到 6 的星期幾,但我們編號從 1 到 7。如需詳細資訊,請參閱 [Cron 和 Rate 表達](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html)式。如需時區的詳細資訊,請參閱《*Amazon Location Service API 參考*》中的 [TimeZone](https://docs.aws.amazon.com/location/latest/APIReference/API_TimeZone.html)。
# 備份計畫選項和組態
當您在 AWS Backup 主控台中定義備份計劃時,您可以設定下列選項:
## 備份計畫名稱
您必須提供備份計劃的名稱。名稱限制為 50 個字元,包括英數字元、破折號、底線和句點。
## 備份規則
備份計劃是由一個或多個備份規則組成的。將備份規則新增至備份計畫,或編輯備份計畫中的現有規則:
1. 在 AWS Backup 主控台的左側導覽窗格中,選擇**備份計劃**。
1. 在 **備份計畫名稱** 下,選擇備份計畫。
1. 在 **備份規則** 區塊下:
+ 如要新增備份規則,請選擇 **新增備份規則**。
+ 如要編輯現有的備份規則,請選取該規則,然後選擇 **編輯**。
**注意**
如果您有具有多個規則的備份計劃,且兩個規則的時間範圍重疊, 會 AWS Backup 最佳化備份,並針對保留時間較長的規則進行備份。最佳化會考慮完整的開始時間,而非僅考慮每日備份的執行時間。
每個備份規則皆包含以下元素。
### 備份規則名稱
備份規則名稱區分大小寫。必須包含 1 到 50 個英數字元或連字號。
### Backup frequency (備份頻率)
備份頻率會決定 AWS Backup 建立快照備份的頻率。您可以使用主控台選擇的頻率包括每小時、每 12 小時、每日、每週或每月。您也可以建立 cron 運算式,以每小時的頻率建立快照備份。使用 AWS Backup CLI,您可以依每小時的頻率排程快照備份。
選取每週時,您可以指定在星期幾執行備份。選取每月時,您可以選擇一個月中的某一天。
您也可以勾選 **為支援的資源啟用連續備份** 核取方塊,以建立啟用時間點復原 (PITR) 的連續備份規則。與快照備份不同,連續備份可讓您執行時間點復原。若要深入瞭解連續備份,請參閱[時間點復原](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。
### 備份時段
備份時段是由備份時段開始時間和時段持續時間 (小時) 所組成。備份任務會在這個時段內開始進行。主控台中的預設設定為:
+ 上午 **12:30**,位於系統時區的本機 (24 小時系統中為 0:30)
+ 在 8 小時**內開始**
+ 在 7 天**內完成**
(**完成時間**參數不適用於 Amazon FSx 資源)
您可以使用 Cron 表達式來自訂備份頻率和備份時段的開始時間。若要查看 cron AWS 表達式的六個欄位,請參閱《*Amazon EventBridge 使用者指南*》中的 [Cron 和 rate 表達](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html)式。cron AWS 表達式的兩個範例是 `15 * ? * * *`(每小時在 15 分鐘後進行備份) 和 `0 12 * * ? *`(每天在 UTC 中午 12 點進行備份)。如需範例表格,請按一下前一個連結,然後向下捲動頁面。
AWS Backup 會評估介於 00:00 和 23:59 之間的 cron 表達式。如果建立了「每 12 小時」的備份規則,但開始時間在 11:59 之後,則每天只會執行一次。
觀察日光節約時間的時區備份計劃可能會受到向前轉移時間的影響。您可以切換到 UTC,或在時間向前轉移當天建立手動備份。如需詳細資訊,請參閱 [ EventBridge 排程器上的日光節約時間](https://docs.aws.amazon.com/scheduler/latest/UserGuide/schedule-types.html#daylist-savings-time)。
持續備份和point-in-time(PITR) 會參考一段時間內記錄的變更;因此,無法以時間或 Cron 表達式排程這些變更。
一般而言, AWS 資料庫服務無法在維護時段之前或期間 1 小時啟動備份,而 Amazon FSx 無法在維護時段或自動備份時段之前或期間 4 小時啟動備份 (Amazon Aurora 不受此維護時段限制)。排程在這些時間內的快照備份會失敗。當您為支援的服務選擇使用 AWS Backup 處理快照和連續備份時,就會發生例外狀況。 AWS Backup 會自動排程備份時段以免發生衝突。如需支援的 服務清單,以及如何使用 AWS Backup 進行連續備份的指示,請參閱[Point-in-Time復原](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。
### 重疊的備份規則
備份計畫有時可能會包含多個重疊的規則。當不同規則的開始時段重疊時, 會在規則下 AWS Backup 以較長的保留期間保留備份。例如,假設備份計畫有兩條規則:
1. 每小時備份,啟動時段為 1 小時,保留 1 天。
1. 每 12 小時備份,啟動時段為 8 小時,保留 1 週。
24 小時後,第二條規則會建立兩個備份 (因為保留期較長)。第一條規則會建立八個備份 (因為第二條規則的 8 小時啟動時段會禁止執行更多的每小時備份)。具體而言:
| 在此啟動時段期間 | 此規則會建立 1 個備份 |
| --- | --- |
| 午夜至上午 8 點 | 12 小時 |
| 8 至 9 | 每小時 |
| 9 至 10 | 每小時 |
| 10 至 11 | 每小時 |
| 11 至中午 | 每小時 |
| 中午至下午 8 點 | 12 小時 |
| 8 至 9 | 每小時 |
| 9 至 10 | 每小時 |
| 10 至 11 | 每小時 |
| 11 至午夜 | 每小時 |
在啟動時段期間,備份任務狀態會保持在 `CREATED` 狀態,直到順利開始或啟動時段時間用完為止。如果在開始時段內 AWS Backup 收到允許重試任務的錯誤, AWS Backup 將至少每 10 分鐘自動重試一次開始任務,直到備份成功開始 (任務狀態變更為 `RUNNING`) 或任務狀態變更為 `EXPIRED`(預期會在開始時段時間結束時發生)。
### 生命週期和儲存層
會按照您指定的天數 (稱為備份*生命週期*) 存放備份。在備份生命週期結束前都可以還原備份。
這在 AWS Backup 主控台備份規則組態的生命週期區段中設定為**總保留期間**。
如果您使用 AWS CLI,則會使用 參數 來設定[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)。快照的保留期為 1 天到 100 年 (如不輸入則無限期),而連續備份的保留期則為 1 天到 35 天。備份的建立日期是備份任務開始的日期,而不是完成的日期。如果您的備份任務未在開始的相同日期完成,請使用開始的日期來協助計算保留期間。
備份的維護會在儲存層中進行。如 [AWS Backup 定價](https://aws.amazon.com/backup/pricing/)所述,每一層會產生不同的儲存和還原成本。每個備份的建立和存放會在常用儲存中進行。視您選擇存放備份的時間長度而定,您可能希望將備份轉移至名為不常用儲存的較低成本層。[各資源的功能可用性](backup-feature-availability.md#features-by-resource) 會顯示哪些資源具有此選用功能。
------
#### [ Console ]
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 建立或編輯備份計畫。
1. 在備份規則組態的生命週期區段中,勾選**將備份從常用儲存移到不常用儲存**此方塊。
1. (*選用*) 如果 Amazon EBS 是您備份的其中一個資源,而且備份頻率是每月或更低的頻率,您可以使用 EBS 快照存檔將其轉移至不常用儲存層。
1. 輸入您希望備份保持在暖儲存體中的值 (以天為單位)。 AWS Backup 建議至少保留 8 天。
1. 輸入保留期總計的值 (以天為單位)。保留期總計和常用儲存中時間之間的差異,在於備份在不常用儲存中保留的天數。
------
#### [ AWS CLI ]
1. 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) 或 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。
1.
1. 包括 EBS 資源的布林值參數 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)。
1. 納入 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html) 參數。
1. 使用 `DeleteAfterDays` 參數。此值必須為 90 (天) 加上您在 `MoveToColdStorageAfterDays` 中輸入的值。
------
不常用儲存目前可用於下列資源類型:
| Resource Type (資源類型) | 不常用儲存中的增量或完整備份 |
| --- | --- |
| AWS CloudFormation | 增量 |
| DynamoDB (含 進階功能) | 完整;所有層均無增量備份 |
| Amazon EBS (使用 EBS 快照存檔) | 完整;轉移後,增量備份將變為「完整」。 |
| Amazon EFS | 增量 |
| 在 Amazon EC2 執行個體上執行的 SAP HANA 資料庫 | 增量 |
| Amazon Timestream | 增量 |
| VMware 虛擬機器 | 增量 |
一旦您透過主控台或命令列啟用不常用儲存的轉移,不常用儲存 (或封存) 中的備份會發生下列情況:
+ 轉換的備份除了在暖儲存中的時間之外,還必須存放在冷儲存中至少 90 天。 AWS Backup 需要將保留時間設定為比「在 天後轉換為冷儲存」設定更長 90 天。在備份轉移至冷儲存後,您就無法再變更「轉移至冷儲存前所需天數」設定。
+ 某些服務支援增量備份。對於增量備份,您必須至少有一個暖完整備份。 AWS Backup 建議您設定生命週期設定,在至少 8 天後才將備份移至冷儲存。如果完整備份轉換到冷儲存太快 (例如,在 1 天後轉換到冷儲存), AWS Backup 將建立另一個暖完整備份。
+ 對於支援增量備份的資源類型,如果暖備份不再參考轉換的資料, 會將資料從暖儲存 AWS Backup 轉換為冷儲存。不常用儲存中保留之備份的資料,在僅供其他不常用備份參考的情況,會依不常用儲存層價格計費。其他備份則繼續依常用儲存層定價。
### 備份文件庫
備份保存庫是用來組織備份的容器。以備份規則建立的備份會整理在備份規則指定的備份文件庫中。您可以使用備份文件庫來設定用來加密備份文件庫中備份的 AWS Key Management Service (AWS KMS) 加密金鑰,以及控制備份文件庫中備份的存取。您也可以將標籤新增至備份文件庫,以協助您整理它們。如果您不想要使用預設的文件庫,可以建立自己的文件庫。如需建立備份文件庫的逐步說明,請參閱[備份保存庫建立和刪除](create-a-vault.md)。
### 複製到區域
作為備份計畫的一部分,您可以選擇在相同或其他 中建立備份複本 AWS 區域。這些副本可以在相同帳戶或其他帳戶中進行。如需有關備份副本的詳細資訊,請參閱[跨 AWS 區域建立備份副本](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)。
當您定義備份副本時,您可以設定下列選項:
#### 目的地區域
備份副本的目的地區域。
#### (進階設定) 備份文件庫
副本的目的地備份文件庫。
#### (進階設定) IAM 角色
建立複本 AWS Backup 時使用的 IAM 角色。該角色也必須 AWS Backup 列為信任的實體,讓 AWS Backup 能夠擔任該角色。如果您選擇**預設**,且您的帳戶中不存在 AWS Backup 預設角色,則會為您建立具有正確許可的角色。
#### (進階設定) 生命週期
指定何時將備份副本轉換為冷儲存,以及何時到期 (刪除) 副本。轉移至冷儲存的備份必須在冷儲存中存放至少 90 天之久。在副本轉換至冷儲存後,您就無法變更此值。
**Expire (到期)** 指定在副本刪除建立後的天數。此值必須超過 **Transition to cold storage (轉換至冷儲存)** 值的 90 天。
如果未在複製設定中指定 的值 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle)(在主控台中顯示為**過期**),則複製將遵循從中複製之備份的生命週期設定。
### 新增至復原點的標籤
您在此列出的標籤會在備份建立時自動新增至備份。
## 新增至備份計畫的標籤
這些標籤與備份計劃本身相關聯,以協助您整理並追蹤您的備份計畫。
## 進階備份設定
進階備份設定可讓您設定不同 AWS 服務的資源特定備份選項。
### Amazon EC2 進階備份設定
為在 Amazon EC2 執行個體上執行的第三方應用程式,啟用應用程式一致備份。目前, AWS Backup 支援 Windows VSS 備份。從 Windows VSS 備份 AWS Backup 排除特定 Amazon EC2 執行個體類型。如需詳細資訊,請參閱[建立 Windows VSS 備份](windows-backups.md)。
### Amazon S3 進階備份設定
AWS Backup 提供進階設定,以控制 Amazon S3 備份中包含哪些中繼資料。您可以選擇從備份中排除存取控制清單 (ACLs) 和物件標籤,這符合使用儲存貯體層級許可而非物件層級 ACLs的 Amazon S3 最佳實務。
如需為 ACLs 和物件標籤設定 Amazon S3 備份選項的詳細資訊,請參閱 [進階 Amazon S3 備份設定](s3-backups.md#s3-advanced-backup-settings)。
**重要**
當您從備份中排除 ACLs 時,在沒有 ACLs 的情況下還原的物件將使用目的地儲存貯體的預設擁有權設定。目的地儲存貯體必須具有適當的物件擁有權組態。
**注意**
當連續備份任務為 Amazon S3 儲存貯體執行,且您啟動快照備份任務時,無論快照任務指定的設定為何,快照都會使用與連續備份相同的 ACL 和物件標籤設定。
## 惡意軟體掃描
AWS Backup 與 Amazon GuardDuty 整合,以提供復原點的自動惡意軟體掃描。當您在備份計畫中啟用惡意軟體掃描時, AWS Backup 會自動掃描備份是否有惡意軟體,並提供掃描結果,協助您做出還原資料的明智決策。
若要設定備份計劃的惡意軟體掃描:
1. 建立信任`malware-protection.guardduty.amazonaws.com`並連接 AWS 受管政策 的 IAM 角色`AWSBackupGuardDutyRolePolicyForScans`。
1. 將 AWS 受管政策`AWSBackupServiceRolePolicyForScans`連接至備份選擇的 IAM 角色。
1. 在您的備份計劃組態中,新增指定下列項目的掃描設定:
+ 掃描服務 (GuardDuty)
+ 要掃描的資源類型 (Amazon EC2、Amazon EBS、Amazon S3)
+ GuardDuty 要擔任的 IAM 角色 ARN
1. 在備份規則中設定掃描動作以指定:
+ 掃描服務 (GuardDuty)
+ 掃描類型 (增量或完整掃描)
如需 受管政策的詳細資訊,請參閱 [AWSBackupGuardDutyRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupGuardDutyRolePolicyForScans)和 [AWSBackupServiceRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupServiceRolePolicyForScans)。
# CloudFormation 備份計劃的 範本
我們提供三個範例 CloudFormation 範本供您參考。第一種範本會建立簡單的備份計畫。第二種範本會在備份計畫中啟用 VSS 備份。第三個範本可在備份計畫中啟用 Amazon GuardDuty 惡意軟體防護掃描。
**注意**
如果您要使用預設的服務角色,請將 *service-role* 換成 `AWSBackupServiceRolePolicyForBackup`。
```
Description: backup plan template to back up all resources daily at 5am UTC, and tag all recovery points with backup:daily.
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
- kms:*
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "BackupVaultWithDailyBackups"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupPlanWithDailyBackups:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithDailyBackups"
BackupPlanRule:
- RuleName: "RuleForDailyBackups"
TargetBackupVault: !Ref BackupVaultWithDailyBackups
ScheduleExpression: "cron(0 5 ? * * *)"
DependsOn: BackupVaultWithDailyBackups
DDBTableWithDailyBackupTag:
Type: "AWS::DynamoDB::Table"
Properties:
TableName: "TestTable"
AttributeDefinitions:
- AttributeName: "Album"
AttributeType: "S"
KeySchema:
- AttributeName: "Album"
KeyType: "HASH"
ProvisionedThroughput:
ReadCapacityUnits: "5"
WriteCapacityUnits: "5"
Tags:
- Key: "backup"
Value: "daily"
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/service-role/service-role"
TagBasedBackupSelection:
Type: "AWS::Backup::BackupSelection"
Properties:
BackupSelection:
SelectionName: "TagBasedBackupSelection"
IamRoleArn: !GetAtt BackupRole.Arn
ListOfTags:
- ConditionType: "STRINGEQUALS"
ConditionKey: "backup"
ConditionValue: "daily"
BackupPlanId: !Ref BackupPlanWithDailyBackups
DependsOn: BackupPlanWithDailyBackups
```
```
Description: backup plan template to enable Windows VSS and add backup rule to take backup of assigned resources daily at 5am UTC.
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
- kms:*
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "BackupVaultWithDailyBackups"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupPlanWithDailyBackups:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithDailyBackups"
AdvancedBackupSettings:
- ResourceType: EC2
BackupOptions:
WindowsVSS: enabled
BackupPlanRule:
- RuleName: "RuleForDailyBackups"
TargetBackupVault: !Ref BackupVaultWithDailyBackups
ScheduleExpression: "cron(0 5 ? * * *)"
DependsOn: BackupVaultWithDailyBackups
```
```
Description: Backup plan template with Amazon GuardDuty Malware Protection scanning enabled.
Resources:
BackupVault:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "MalwareScanBackupVault"
BackupPlanWithMalwareScanning:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithMalwareScanning"
BackupPlanRule:
- RuleName: "DailyBackupWithIncrementalScan"
TargetBackupVault: !Ref BackupVault
ScheduleExpression: "cron(0 5 ? * * *)"
Lifecycle:
DeleteAfterDays: 35
ScanActions:
- MalwareScanner: GUARDDUTY
ScanMode: INCREMENTAL_SCAN
- RuleName: "MonthlyBackupWithFullScan"
TargetBackupVault: !Ref BackupVault
ScheduleExpression: "cron(0 5 1 * ? *)"
Lifecycle:
DeleteAfterDays: 365
ScanActions:
- MalwareScanner: GUARDDUTY
ScanMode: FULL_SCAN
ScanSettings:
- MalwareScanner: GUARDDUTY
ResourceTypes:
- EBS
ScannerRoleArn: !GetAtt ScannerRole.Arn
DependsOn: BackupVault
ScannerRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "malware-protection.guardduty.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/AWSBackupGuardDutyRolePolicyForScans"
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/service-role/service-role"
- "arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForScans"
TagBasedBackupSelection:
Type: "AWS::Backup::BackupSelection"
Properties:
BackupSelection:
SelectionName: "MalwareScanSelection"
IamRoleArn: !GetAtt BackupRole.Arn
ListOfTags:
- ConditionType: "STRINGEQUALS"
ConditionKey: "backup"
ConditionValue: "true"
BackupPlanId: !Ref BackupPlanWithMalwareScanning
DependsOn: BackupPlanWithMalwareScanning
```
# 刪除備份計畫
只有在刪除所有關聯的選取資源之後,才能刪除備份計劃。這些選擇也稱為*資源指派*。如果未在刪除備份計畫之前刪除這些備份計畫,主控台會顯示錯誤:「必須在刪除備份計畫之前刪除相關備份計畫選擇。」 使用 主控台或使用 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupSelection.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupSelection.html)。
刪除備份計劃將會刪除該計劃的目前版本。目前版本和舊版本 (如果有) 仍會存在,但不會再列在主控台的 **Backup plans (備份計畫)** 之下。
**注意**
刪除備份計劃時,不會刪除現有的備份。若要移除現有的備份,請使用 [刪除備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html) 將其從備份文件庫中刪除。
**使用 AWS Backup 主控台刪除備份計劃**
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在左側的導覽窗格中,選擇 **Backup plans (備份計劃)**。
1. 在清單中選擇您的備份計劃。
1. 選取與該備份計劃關聯的任何資源指派。
1. 選擇 **刪除**。
# 更新備份計劃
建立備份計畫後,即可開始編輯計畫,例如新增標籤,或者新增、編輯或刪除備份規則。您對備份計劃所做的任何變更,並不會影響備份計劃所建立的現有備份計畫。這些變更只適用於未來建立的備份。
例如,當您更新備份規則中的保留期,在您進行此更新之前的備份將維持相同的保留期。該備份規則建立的任何備份都將會反映更新後的保留期。
您無法在建立計劃之後變更計劃的名稱。
**使用 AWS Backup 主控台編輯備份計劃**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,選擇 **Backup plans (備份計劃)**。
1. 在第二個窗格下,會顯示**備份計劃**、現有的後備計劃。選取資料欄**備份計畫名稱**中的底線連結,以查看所選備份計畫的詳細資訊。
1. 您可以編輯備份規則、檢視資源指派、檢視備份任務、管理標籤或變更 Windows VSS 設定。
1. 若要更新備份規則,請選取備份規則的名稱。
選取**管理標籤**以新增或刪除標籤。
選取**進階備份設定**旁的**編輯**,以開啟或關閉 Windows VSS。
1. 變更您偏好的設定,然後選取**儲存** (儲存)。