AWS备份帐户

Question

我们都知道Cold Spaces被黑客入侵的情况以及他们的AWS账户基本上被删除了。我正在尝试整理关于将我的整个生产AWS账户存档到备份中的工具集和最佳实践的建议，只有我才有权访问。备份帐户将纯粹用于存储EBS快照，AMI，RDS等的DR目的。

思想？

Answer 1

将生产帐户与备份帐户分开以用于DR目的是一个很好的主意。 设置＆＃34;交叉帐户＆＃34;备份解决方案可以基于当前不适用于RDS的EBS snapshot sharing功能。 如果您想实施此类解决方案，请考虑以下事项：

• 快照是否会存储在源帐户和DR帐户中？如果是，那将花费你两倍。
• 您如何保护DR帐户的凭据？您应确保不允许用于跨帐户复制快照的凭据删除快照。
• 考虑旧点快照在某些时候被删除的方式。您可能希望使用不同的凭据单独处理快照删除。
• 确保您的快照可以轻松地从灾难恢复帐户恢复到原始帐户
• 想一想自动化这个跨帐户流程并简化和无错误的方法

我最近工作的公司在AWS Marketplace发布了名为“Cloud Protection Manager（CPM）v1.8.0”的产品，该产品支持AWS中的跨帐户备份和恢复，以及使用特殊帐户的流程仅适用于DR。

Answer 2

我认为您可以设置A VPC，然后使用VPC对等查看其他帐户并访问该帐户中的S3。

为了防止像coldspaces这样的事情，请确保使用MFA身份验证（没有理由不使用它，手机的Google身份验证应用程序是免费的，而不仅仅是使用一个密码作为保护。

此外，请勿使用帐户所有者，只需设置一个单独的IAM角色，仅使用您需要的权限（并在此帐户中启用MFA）。

唯一的问题是VPC对等在各个地区都不起作用，这比在同一地区的不同AZ中使用DR更好。