我们都知道 Cold Spaces 遭到黑客攻击以及他们的 AWS 账户基本上被删除的情况。我正在尝试将关于一组工具的建议、将我的整个生产 AWS 帐户归档到只有我可以访问的备份中的最佳实践。备份帐户将纯粹用于 DR 目的,存储 EBS 快照、AMI、RDS 等。
想法?
问问题
675 次
2 回答
1
将生产帐户与备份帐户分开以进行灾难恢复是一个绝妙的主意。设置“跨账户”备份解决方案可以基于RDS 目前不可用的EBS 快照共享功能。如果您想实施这样的解决方案,请考虑以下事项:
- 快照是否会同时存储在源帐户和 DR 帐户中?如果是这样,那将花费您两倍的费用。
- 您如何保护 DR 帐户的凭据?您应该确保用于跨帐户复制快照的凭据不允许删除快照。
- 考虑在某些时候删除旧快照的方式。您可能希望使用不同的凭据单独处理快照删除。
- 确保您的快照可以轻松地从 DR 帐户恢复到原始帐户
- 想办法自动化这个跨账户流程,让它变得简单且无错误
我工作的公司最近在AWS Marketplace发布了一款名为“Cloud Protection Manager (CPM) v1.8.0”的产品,该产品支持 AWS 中的跨账户备份和恢复,以及一个特殊账户仅用于 DR 的流程。
于 2015-03-19T18:18:37.837 回答
0
我认为您将能够设置一个 VPC,然后使用 VPC 对等来查看另一个帐户并访问该帐户中的 S3。
为防止诸如冷空间之类的事情,请确保您使用 MFA 身份验证(没有理由不使用它,您手机的谷歌身份验证应用程序是免费的,并且比仅使用单个密码作为保护更安全。
也不要使用帐户所有者,而是使用您需要的权限设置一个单独的 IAM 角色(并在此帐户上启用 MFA)。
唯一的问题是 VPC 对等不能跨区域工作,这比在同一区域的不同 AZ 中拥有 DR 更好。
于 2015-06-03T17:50:06.620 回答