AWS 帳戶之間的資源複製或遷移 - AWS 方案指引
AWS AppConfigAWS Certificate ManagerAmazon CloudFrontAWS CodeArtifactAmazon DynamoDBAmazon EBSAmazon EC2Amazon ECRAmazon EFSAmazon ElastiCache (Redis OSS)AWS Elastic Beanstalk彈性 IP 位址AWS LambdaAmazon LightsailAmazon NeptuneAmazon OpenSearch ServiceAmazon RDSAmazon RedshiftAmazon Route 53Amazon S3Amazon SageMaker AIAWS WAF

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 帳戶之間的資源複製或遷移

從單一帳戶遷移 AWS 帳戶 到多帳戶架構後,在預先存在的帳戶中執行生產和非生產工作負載是常見的。將這些資源遷移到專用的生產和非生產帳戶或組織單位,可協助您管理這些工作負載的存取和聯網。以下是將常見 AWS 資源遷移到另一個資源的一些選項 AWS 帳戶。

本節重點介紹在 AWS 帳戶之間複製資料的策略。您應該努力讓工作負載盡可能無狀態,以避免需要在帳戶之間複寫運算資源。透過基礎設施即程式碼 (IaC) 來管理您的資源也是有益的,以便您可以在單獨 AWS 帳戶中重新佈建環境。

AWS AppConfig 組態和環境

AWS AppConfig 不支援將其組態直接複製到另一個組態 AWS 帳戶。不過,最佳實務是將 AWS AppConfig 組態和環境與託管環境 AWS 帳戶 的 分開管理。如需詳細資訊,請參閱使用 的跨帳戶組態 AWS AppConfig (AWS 部落格文章)。

AWS Certificate Manager 憑證

您無法將 AWS Certificate Manager (ACM) 憑證從一個帳戶直接匯出到另一個帳戶,因為用來加密憑證私有金鑰的 AWS Key Management Service (AWS KMS) 金鑰對於每個 AWS 區域 和 帳戶都是唯一的。但是,您可以在多個帳戶和區域中同時佈建具有相同域名的多個憑證。ACM 支援使用 DNS (建議) 或電子郵件驗證域擁有權。當您使用 DNS 驗證並建立新憑證時,ACM 會為憑證上每個域產生唯一的 CNAME 記錄。CNAME 記錄對於每個帳戶都是唯一的,必須在 72 小時內將其新增至 Amazon Route 53 託管區域或 DNS 提供商,才能正確驗證憑證。

Amazon CloudFront 分佈

Amazon CloudFront 不支援將分佈從一個 遷移 AWS 帳戶 到另一個 AWS 帳戶。不過,CloudFront 確實支援將替代域名從一個分發遷移到另一個分發,也稱為 CNAME。如需詳細資訊,請參閱如何在為 CloudFront 分佈設定 CNAME 別名 (知識中心) 時解決 CNAMEAlreadyExists 錯誤。AWS

AWS CodeArtifact 網域和儲存庫

雖然組織可以有多個域,但建議您擁有一個包含所有已發行成品的單一生產域。這有助於開發團隊在整個組織中尋找和共用套件。 AWS 帳戶 擁有網域的 可能與擁有與網域關聯之任何儲存庫的帳戶不同。您可以在儲存庫之間複製套件,但其必須屬於同一個域。如需詳細資訊,請參閱在儲存庫間複製套件 (CodeArtifact 文件)。

Amazon DynamoDB 資料表

可以使用下列其中一項服務將 Amazon DynamoDB 表遷移至其他 AWS 帳戶:

  • AWS Backup

  • DynamoDB 匯入和匯出至 Amazon S3

  • Amazon S3 和 AWS Glue

  • AWS Data Pipeline

  • Amazon EMR

如需詳細資訊,請參閱如何將 Amazon DynamoDB 資料表從一個資料表遷移 AWS 帳戶 到另一個資料表 (AWS 知識中心)。

Amazon EBS 磁碟區

您可以建立現有 Amazon Elastic Block Store (Amazon EBS) 磁碟區的快照,與目標帳戶共用快照,然後在目標帳戶中建立磁碟區複本。這會有效地將磁碟區從一個帳戶遷移到另一個帳戶。如需詳細資訊,請參閱如何與另一個 (知識中心) 共用加密的 Amazon EBS 快照或磁碟區 AWS 帳戶。AWS

Amazon EC2 執行個體或 AMI

無法將現有 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 Amazon Machine Image (AMI) 直接遷移到其他 AWS 帳戶。相反,您可以在來源帳戶中建立自訂 AMI、與目標帳戶共用 AMI、從目標帳戶中的共用 AMI 啟動新 EC2 執行個體,然後取消註冊共用 AMI。如需詳細資訊,請參閱如何將 Amazon EC2 執行個體或 AMI 傳輸至不同的 AWS 帳戶 (AWS 知識中心)。

Amazon ECR 登錄檔

Amazon Elastic Container Registry (Amazon ECR) 支援跨帳戶和跨區域複寫。可以在來源登錄檔中設定複寫,並在目標登錄檔中設定登錄檔許可政策。如需詳細資訊,請參閱設定跨帳戶複寫 (Amazon ECR 文件) 和允許來源帳戶的根使用者複製所有儲存庫 (Amazon ECR 文件)。

Amazon EFS 檔案系統

Amazon Elastic File System (Amazon EFS) 支援跨帳戶和跨區域複寫。您可以在來源檔案系統上設定複寫。如需詳細資訊,請參閱複寫檔案系統 (Amazon EFS 文件)。

Amazon ElastiCache (Redis OSS) 叢集

您可以使用 Amazon ElastiCache (Redis OSS) 資料庫叢集的備份,將其遷移至不同的帳戶。如需詳細資訊,請參閱遷移 ElastiCache (Redis OSS) 叢集的最佳實務 (AWS 知識中心)。

AWS Elastic Beanstalk 環境

對於 AWS Elastic Beanstalk,您可以使用已儲存的組態 (Elastic Beanstalk 文件) 將環境遷移至不同的 AWS 帳戶。如需詳細資訊,請參閱如何將 Elastic Beanstalk 環境從一個遷移 AWS 帳戶 到另一個 AWS 帳戶 (AWS 知識中心)。

彈性 IP 位址

您可以在相同 AWS 帳戶 中的 之間轉移彈性 IP 地址 AWS 區域。如需詳細資訊,請參閱傳輸彈性 IP 地址 (Amazon VPC 文件)。

AWS Lambda 圖層

根據預設,您建立的 AWS Lambda layer 是私有的 AWS 帳戶。不過,您可以選擇與其他 共用 layer AWS 帳戶 或使其公開。若要複製圖層,請在另一個圖層中重新佈建。 AWS 帳戶如需詳細資訊,請參閱設定圖層許可 (Lambda 文件)。

Amazon Lightsail 執行個體

您可以建立 Amazon Lightsail 執行個體的快照,然後將快照匯出至 Amazon Machine Image (AMI) 和 Amazon EBS 磁碟區的加密快照。如需詳細資訊,請參閱將 Amazon Lightsail 快照匯出至 Amazon EC2 (Lightsail 文件)。根據預設,快照會使用在 AWS Key Management Service () 中建立的 AWS 受管金鑰進行加密AWS KMS。不過,此類型的 KMS 金鑰無法在兩者之間共用 AWS 帳戶。相反,您可以透過可從目標帳戶中使用的客戶受管金鑰來手動加密 AMI 的複本。如需詳細資訊,請參閱允許其他帳戶中的使用者使用 KMS 金鑰 (AWS KMS 文件)。然後,您可以將複製的 AMI 與目標共用, AWS 帳戶 並從複製Lightsail的 AMI 為 啟動新的 EC2 執行個體。如需詳細資訊,請參閱使用新的啟動執行個體精靈啟動執行個體 (Amazon EC2 文件)。

Amazon Neptune 叢集

您可以將 Amazon Neptune 資料庫叢集的自動化快照複製到另一個 AWS 帳戶。如需詳細資訊,請參閱複製資料庫 (DB) 叢集快照 (Neptune 文件)。

您也可以與最多 20 個AWS 帳戶 共用手動快照,其可以直接從快照中還原資料庫叢集。如需詳細資訊,請參閱共用資料庫叢集快照 (Neptune 文件)。

Amazon OpenSearch Service 域

若要在 Amazon OpenSearch Service 域之間複製資料,您可以使用 Amazon S3 建立來源域的快照,然後將快照還原到不同 AWS 帳戶中的目標域。如需詳細資訊,請參閱如何從另一個 (知識中心) 中的 Amazon OpenSearch Service 網域還原資料 AWS 帳戶。AWS

如果您在 之間有網路連線 AWS 帳戶,您也可以使用 OpenSearch Service 中的跨叢集複寫 (OpenSearch Service 文件) 功能。 OpenSearch

Amazon RDS 快照

對於 Amazon Relational Database Service (Amazon RDS),您最多可與 20 個AWS 帳戶共用資料庫執行個體或叢集的手動快照。然後,可從共用快照中還原資料庫執行個體或資料庫叢集。如需詳細資訊,請參閱如何與其他 (知識中心) 共用手動 Amazon RDS 資料庫快照或 Aurora 資料庫叢集快照 AWS 帳戶。AWS

您也可以使用 AWS Database Migration Service (AWS DMS) 來設定不同帳戶中資料庫執行個體之間的連續複寫。但是,這需要帳戶之間的網路連線,例如 VPC 對等互連或傳輸閘道。

Amazon Redshift 叢集

若要將 Amazon Redshift 叢集遷移至不同的叢集 AWS 帳戶,您可以在來源帳戶中建立叢集的手動快照,與目標共用快照 AWS 帳戶,然後從快照還原叢集。如需詳細資訊,請參閱如何將 Amazon Redshift 佈建叢集複製到不同的 AWS 帳戶 (AWS 知識中心)。

Amazon Route 53 域和託管區域

您可以在 AWS 帳戶之間傳輸 Amazon Route 53 域。如需詳細資訊,請參閱將域傳送到其他 AWS 帳戶 (Route 53 文件)。

您也可以將 Route 53 託管區域遷移到不同的區域 AWS 帳戶。如需有關何時建議或要求這麼做的詳細資訊,請參閱將託管區域遷移至其他 AWS 帳戶 (Route 53 文件)。遷移託管區域時,會在目標 AWS 帳戶中重新建立它。如需指示,請參閱將託管區域遷移至其他 AWS 帳戶 (Route 53 文件)。

Amazon S3 儲存貯體

您可以使用 Amazon Simple Storage Service (Amazon S3) 相同區域複寫功能在相同 AWS 區域的 S3 儲存貯體之間複製物件。如需詳細資訊,請參閱複製物件 (Amazon S3 文件)。注意下列事項:

  • 將複本擁有權變更為 AWS 帳戶 擁有目的地儲存貯體的 。如需指示,請參閱變更複本擁有者 (Amazon S3 文件)。

  • 更新儲存貯體擁有者條件,以反映目標儲存貯體的 AWS 帳戶 ID。如需詳細資訊,請參閱使用儲存貯體擁有者條件驗證儲存貯體擁有權 (Amazon S3 文件)。

  • 截至 2023 年 4 月,會針對新建立的儲存貯體啟用儲存貯體擁有者強制設定,儲存貯體存取控制清單 (ACL) 和物件 ACL 會失效。如需詳細資訊,請參閱即將推出的 Amazon S3 安全變更 (AWS 部落格文章)。

  • 可以使用 S3 批次複寫 (Amazon S3 文件) 來複寫在設定複寫之前已存在的物件。

Amazon SageMaker AI 模型

SageMaker AI 模型在訓練期間存放在 Amazon S3 儲存貯體中。透過從目標帳戶授與 S3 儲存貯體的存取權,您可以將儲存在來源帳戶中的模型部署到目標帳戶。如需詳細資訊,請參閱如何將 Amazon SageMaker AI 模型部署至不同的 AWS 帳戶(AWS 知識中心)。

AWS WAF Web ACLs

AWS WAF Web 存取控制清單 (Web ACLs) 必須與其相關聯的資源位於相同的帳戶中,例如 Amazon CloudFront 分佈、Application Load Balancer、Amazon API Gateway REST APIs 和 AWS AppSync GraphQL APIs。您可以使用 AWS Firewall Manager 來集中管理 區域內 AWS Organizations 和區域間整個組織的 AWS WAF Web ACLs。如需詳細資訊,請參閱 AWS Firewall Manager AWS WAF 政策入門 (Firewall Manager 文件)。