View a markdown version of this page

Copias de seguridad de Amazon S3 - AWS Backup
Descripción general de Backup por nivelesRequisitos previosTipos de cubos, cantidades y tamaños de objetos admitidosClases de almacenamiento de S3 compatiblesTipos de copia de seguridadEventBridge Dependencia de Amazon para las copias de seguridad continuas de S3Comparación de tipos de copia de seguridad de S3Intervalos de conclusión de la copia de seguridad de S3Prácticas recomendadas y consideraciones de costos de las copias de seguridad de S3Mensajes de copia de seguridad de S3Configuración avanzada de las copias de seguridad de Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Copias de seguridad de Amazon S3

Descripción general de

AWS Backup admite la copia de seguridad y la restauración centralizadas de aplicaciones que almacenan datos solo en S3 o junto con otros AWS servicios de bases de datos, almacenamiento y computación. Hay muchas características disponibles para las copias de seguridad de S3, incluido Backup Audit Manager.

Puede utilizar una única política de copias de seguridad AWS Backup para automatizar de forma centralizada la creación de copias de seguridad de los datos de sus aplicaciones. AWS Backup organiza automáticamente las copias de seguridad de diferentes AWS servicios y aplicaciones de terceros en una ubicación centralizada y cifrada (conocida como bóveda de copias de seguridad) para que pueda gestionar las copias de seguridad de toda la aplicación mediante una experiencia centralizada. En el caso de S3, puede crear copias de seguridad continuas y restaurar los datos de las aplicaciones almacenados en S3 y restaurar las copias de seguridad a un momento dado con un solo clic.

Backup por niveles

Amazon S3 es el único recurso que admite la organización de copias de seguridad en niveles en un nivel de almacenamiento en caliente de menor coste. Para obtener más información, consulte Organización de copias de seguridad en niveles.

Requisitos previos para las copias de seguridad de S3

Permisos y políticas para la copia de seguridad y restauración de Amazon S3

Para realizar copias de seguridad, copiar y restaurar los recursos de S3, debe tener las políticas correctas en su rol. Para agregar estas políticas, vaya a Políticas administradas de AWS. Añada los AWSBackupServiceRolePolicyForS3Backupcaracteres y AWSBackupServiceRolePolicyForS3Restorea las funciones que desee utilizar para realizar copias de seguridad y restaurar los buckets de S3.

Si no tiene suficientes permisos, solicite al administrados de la cuenta administrativa (admin) de su organización que agregue las políticas a los roles previstos.

Para obtener más información, consulte Políticas administradas y políticas insertadas en la Guía del usuario de IAM.

Copias de seguridad y control de versiones

Debe habilitar el control de versiones de S3 en su bucket de S3 AWS Backup para usarlo en Amazon S3.

Se recomienda establecer un periodo de vencimiento del ciclo de vida para sus versiones de S3.

Cuando comience la copia de seguridad, todos los objetos (incluidas todas las versiones) del bucket se almacenarán en el punto de recuperación (copia de seguridad completada). Puede ser la versión actual de cada objeto, versiones anteriores, los marcadores de eliminación y los objetos pendientes de realizar acciones durante su ciclo de vida.

El costo de almacenamiento se calculará para todos los objetos de la copia de seguridad, incluidos los objetos cuya eliminación esté programada (objetos que caducarán). Puede usar la CLI o los scripts para eliminar la inclusión de objetos cuya caducidad está programada.

Para obtener más información sobre cómo configurar las políticas del ciclo de vida de S3, siga las instrucciones de esta página.

Consideraciones sobre las copias de seguridad de Amazon S3

Tenga en cuenta lo siguiente cuando haga copias de seguridad de recursos de S3:

  • Soporte de metadatos de objetos específicos: AWS Backup admite los siguientes metadatos: etiquetas, listas de control de acceso (ACL), metadatos definidos por el usuario, fecha de creación original e ID de versión. También puede restaurar todos los datos y metadatos de la copia de seguridad, excepto la fecha de creación original, el ID de la versión, la clase de almacenamiento y las etiquetas electrónicas.

  • Al restaurar un objeto de S3, AWS Backup aplica un valor de suma de comprobación, incluso si el objeto original no utilizaba la función de suma de comprobación.

  • El nombre de clave de un objeto de S3 puede estar compuesto por la mayoría de las cadenas UTF-8 codificables. Se admiten los siguientes caracteres Unicode: #x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF.

    Los nombres de clave de objeto que incluyen caracteres que no figuran en esta lista podrían quedar excluidos de las copias de seguridad.

  • Transición al almacenamiento en frío: utilice una política de gestión AWS Backup del ciclo de vida para definir el plazo de caducidad del backup. No se admite la transición al almacenamiento en frío de las copias de seguridad de S3.

  • En el caso de las copias de seguridad periódicas, AWS Backup hace todo lo posible por realizar un seguimiento de todos los cambios en los metadatos de los objetos. Sin embargo, si actualiza una etiqueta o una ACL varias veces en un minuto, es posible que AWS Backup no capture todos los estados intermedios.

  • AWS Backup no admite copias de seguridad de SSE-C-encryptedobjetos. AWS Backup tampoco admite copias de seguridad de las configuraciones de los buckets, incluidas las políticas, los ajustes, los nombres o los puntos de acceso de los buckets.

  • AWS Backup no admite copias de seguridad de S3 en adelante AWS Outposts.

  • CloudTrail registro: si registra eventos de lectura de datos, debe enviar los CloudTrail registros a un depósito de destino diferente. Si guardas CloudTrail los registros en el depósito que ellos registran, se produce un bucle infinito que puede provocar cargos inesperados.

    Para obtener más información, consulte Eventos de datos en la Guía del usuario de CloudTrail .

  • Registro de acceso al servidor: si habilita el registro de acceso al servidor, debe enviar los registros a un bucket de destino diferente. Si guarda estos registros en el bucket en el que se registran, se crea un bucle infinito. Para obtener más información, consulte Habilitación del registro de acceso al servidor de Amazon S3.

Tipos de cubos, cantidades y tamaños de objetos admitidos

AWS Backup admite operaciones de copia de seguridad y restauración de objetos S3 de cualquier tamaño, hasta el tamaño máximo de objeto admitido por Amazon S3.

AWS Backup admite la copia de seguridad y la restauración de depósitos S3 de uso general. Por el momento no se admiten los buckets de directorio.

El límite máximo de la cantidad de un recurso (denominado cuota), como un bucket, permitido en una cuenta de AWS depende del servicio. Las cuotas de Amazon S3 son diferentes de las cuotas de AWS Backup.

En cada AWS cuenta, puede crear copias de seguridad de hasta 100 depósitos de forma predeterminada. Puede solicitar un aumento de cuota de hasta 1000 buckets.

Las cuentas con más de 1000 buckets están sujetas a límites de cuota; si las solicitudes superan la cuota, es posible que los trabajos generen errores. Se recomienda limitar una cuenta a 1000 buckets.

Clases de almacenamiento de S3 compatibles

AWS Backup le permite hacer copias de seguridad de los datos de S3 almacenados en las siguientes clases de almacenamiento de S3:

  • S3 Standard

  • S3 Standard - Acceso infrecuente

  • S3 One Zone-IA

  • S3 Glacier Instant Retrieval

  • S3 Intelligent-Tiering (S3 INT)

Las copias de seguridad de un objeto de la clase de almacenamiento S3 Intelligent-Tiering (INT) acceden a esos objetos. Este acceso hace Intelligent-Tiering que S3 mueva automáticamente esos objetos a Frequent Access.

Las copias de seguridad que acceden a los niveles de acceso poco frecuente, incluidas las Zone-IA clases S3 Standard: Infrequent Access (IA) y S3 One, se transfieren al costo de almacenamiento S3 de acceso frecuente (se aplica a los niveles de acceso infrecuente o acceso instantáneo a archivos).

No se admiten las clases de almacenamiento archivadas S3 Glacier Flexible Retrieval y S3 Glacier Deep Archive.

Para obtener más información acerca de los precios de almacenamiento para Amazon S3, consulte Precios de Amazon S3.

Tipos de copia de seguridad de S3

Con él AWS Backup, puede crear los siguientes tipos de copias de seguridad de sus depósitos de S3, incluidos los datos de objetos, las etiquetas, las listas de control de acceso (ACL) y los metadatos definidos por el usuario:

  • Las copias de seguridad continuas le permiten realizar una restauración a cualquier momento de los últimos 35 días. Las copias de seguridad continuas de un bucket de S3 solo deben configurarse en un plan de copia de seguridad.

    Consulte Point-in-TimeRecuperación para obtener una lista de los servicios compatibles e instrucciones sobre cómo utilizarlos AWS Backup para realizar copias de seguridad continuas.

  • Las copias de seguridad periódicas utilizan instantáneas de sus datos para que pueda retenerlos durante un periodo especificado de hasta 99 años. Puede programar copias de seguridad periódicas en frecuencias de 1 hora, 12 horas, 1 día, 1 semana o 1 mes. AWS Backup realiza copias de seguridad periódicas durante el intervalo de copia de seguridad que defina en su plan de copia de seguridad.

    Consulte Crear un plan de respaldo para entender cómo AWS Backup se aplica el plan de respaldo a sus recursos.

Cross-account y hay copias entre regiones disponibles para las copias de seguridad de S3, pero las copias de las copias de seguridad continuas no tienen capacidades de restauración puntual.

Las copias de seguridad continuas y periódicas de los buckets de S3 deben residir en el mismo almacén de copias de seguridad.

AWS Backup para S3 se basa en la recepción de eventos de S3 a través de Amazon EventBridge. Si este ajuste está deshabilitado en la configuración de notificaciones del bucket de S3, se detendrán las copias de seguridad continuas de esos buckets con el ajuste desactivado. Para obtener más información, consulte EventBridge Dependencia de Amazon para las copias de seguridad continuas de S3.

Al deshabilitar AWS Backup la EventBridge regla de Amazon, también se detendrá la copia de seguridad continua. Si tienes un plan de copia de seguridad activo con una regla de copia de seguridad continua, cuando esa regla se vuelva a activar, AWS Backup se volverá a crear la EventBridge regla de Amazon y se creará una nueva copia de seguridad continua.

Para ambos tipos de copia de seguridad, la primera es una copia de seguridad completa, mientras que las copias de seguridad posteriores son incrementales a nivel de objeto.

EventBridge Dependencia de Amazon para las copias de seguridad continuas de S3

Cuando inscribes un bucket de S3 en una copia de seguridad AWS Backup continua, crea AWS Backup automáticamente una regla EventBridge gestionada por Amazon en tu cuenta (denominadaAwsBackupManagedRule-N). Esta regla se suscribe a los siguientes eventos de S3 de tu bucket y los reenvía al AWS Backup servicio:

  • Objeto creado

  • ACL de objeto actualizada

  • Etiquetas de objeto agregadas

  • Etiquetas de objeto eliminadas

  • Objetos eliminados

Estos eventos permiten AWS Backup mantener la ventana de recuperación continua (restauración puntual).

AWS Backup Para recibir estos eventos, S3 debe estar configurado para publicarlos en el bus de EventBridge eventos predeterminado de Amazon. Esto se controla mediante la configuración de EventBridge notificaciones de Amazon del bucket, que es independiente de la regla AWS Backup-managed.

importante

Si la configuración de EventBridge notificaciones de Amazon a nivel de bucket está deshabilitada, S3 deja de publicar eventos a nivel de objeto. La EventBridge regla AWS Backup de Amazon administrada permanece habilitada, pero no recibe eventos para ese bucket. Este error es silencioso: no se genera ninguna notificación, alerta o error en el trabajo de respaldo. AWS Backup

Verifica EventBridge que Amazon esté activado en tu bucket

Consola: abre la consola S3, selecciona tu bucket, selecciona la pestaña Propiedades, desplázate hasta Notificaciones de eventos y verifica que Amazon EventBridge muestre Activado.

CLI:

aws s3api get-bucket-notification-configuration --bucket amzn-s3-demo-bucket

Interprete la respuesta de la siguiente manera:

  • Si la respuesta contiene"EventBridgeConfiguration": {}, Amazon EventBridge está activado.

  • Si el EventBridgeConfiguration campo no aparece en la respuesta, Amazon EventBridge está deshabilitado.

Activar EventBridge las notificaciones de Amazon

Consola: abre la consola S3, selecciona tu bucket, elige Propiedades, desplázate hasta Notificaciones de eventos EventBridge, elige Amazon, elige Editar, activa y selecciona Guardar.

CLI:

aws s3api put-bucket-notification-configuration \
    --bucket amzn-s3-demo-bucket \
    --notification-configuration '{"EventBridgeConfiguration": {}}'
importante

put-bucket-notification-configurationes una operación de reemplazo, no una fusión. Si su bucket tiene otros objetivos de notificación (SNS, SQS, Lambda), debe incluirlos en la misma llamada. De lo contrario, se eliminarán.

¿Qué ocurre si Amazon EventBridge está deshabilitado en un bucket sometido a una copia de seguridad continua?

  • S3 deja de publicar eventos a nivel de objeto para el bucket.

  • La EventBridge regla AWS Backup de Amazon administrada permanece habilitada, pero no recibe eventos para ese bucket.

  • Los nuevos cambios en los objetos realizados después de la desactivación no se reflejan en la ventana de recuperación continua.

  • Los puntos de recuperación existentes y el historial de copias de seguridad continuas anteriores se conservan (no se eliminan).

  • Los trabajos de copia de seguridad instantánea (periódicos) programados definidos en el plan siguen ejecutándose según lo programado; solo se ve afectado el seguimiento continuo (PITR).

  • No se genera ninguna notificación ni alerta. El fallo es silencioso desde AWS Backup un lado.

Detecta cambios en la configuración de EventBridge notificaciones de Amazon

Como AWS Backup no puede detectar cuándo Amazon EventBridge está deshabilitado a nivel de bucket, considere configurar una supervisión proactiva para que le avise cuando cambie la configuración de las notificaciones. Puede utilizar uno de los siguientes enfoques o ambos:

  • CloudTrail + Amazon EventBridge: crea una EventBridge regla de Amazon que haga coincidir las llamadas CloudTrail a la PutBucketNotificationConfiguration API mediante una alerta en tiempo real cuando alguien cambie la configuración de notificaciones de un bucket. Se puede utilizar el siguiente patrón de eventos:

    {
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["PutBucketNotificationConfiguration"]
  }
}

    Esto requiere CloudTrail estar activado y registrar los eventos de administración de S3 (activado de forma predeterminada). El objetivo (SNS, Lambda, etc.) debe inspeccionar los detalles del evento para determinar si las notificaciones de EventBridge Amazon se eliminaron específicamente.

  • AWS Config— Usa la regla AWS Config administrada s3-event-notifications-enabledpara marcar los buckets que no cumplen con los requisitos en caso de cambios de configuración.

EventBridge Permisos de Amazon necesarios para la función de copia de seguridad

La función de IAM utilizada para los trabajos de backup continuo (PITR) de S3 debe tener los siguientes EventBridge permisos de Amazon AWS Backup para poder gestionar: AwsBackupManagedRule

{
  "Sid": "EventBridgePermissionsForAwsBackupManagedRule",
  "Effect": "Allow",
  "Action": [
    "events:DeleteRule",
    "events:PutTargets",
    "events:DescribeRule",
    "events:EnableRule",
    "events:PutRule",
    "events:RemoveTargets",
    "events:ListTargetsByRule",
    "events:DisableRule"
  ],
  "Resource": [
    "arn:aws:events:*:*:rule/AwsBackupManagedRule*"
  ]
},
{
  "Sid": "EventBridgeListRulesPermissions",
  "Effect": "Allow",
  "Action": "events:ListRules",
  "Resource": "*"
}

La política AWS gestionada AWSBackupServiceRolePolicyForS3Backup ya incluye estos permisos. Si utiliza un rol de IAM personalizado, debe añadirlo de forma explícita.

Re-enable cobertura de respaldo continua

Re-enable Amazon a nivel de bucket EventBridge utilizando la consola o los pasos de CLI anteriores. S3 reanudará la publicación de los eventos y la regla gestionada volverá a reenviarlos a. AWS Backup Los cambios realizados mientras Amazon EventBridge estaba desactivado no se registrarán retroactivamente. El punto de recuperación continua existente y el historial de copias de seguridad anteriores siguen siendo válidos.

Comparación de tipos de copia de seguridad de S3

Su estrategia de copia de seguridad de los recursos de S3 puede incluir solo copias de seguridad continuas, solo copias de seguridad periódicas (instantáneas) o una combinación de ambas. La siguiente información puede ayudarle a elegir lo que mejor se adapte a su organización:

Solo copias de seguridad continuas:

  • Una vez finalizada la primera copia de seguridad completa de los datos existentes, se realiza un seguimiento de los cambios en los datos del bucket de S3 a medida que se producen.

  • Los cambios registrados le permiten utilizar la PITR (restauración en un momento dado) durante el periodo de retención de la copia de seguridad continua. Para realizar un trabajo de restauración, elija el momento al que desee realizar la restauración.

  • El periodo de retención de cada copia de seguridad continua es de un máximo de 35 días.

  • Para los planes de copia de seguridad que cree mediante la CLI, la configuración de copia de seguridad avanzada para Amazon S3 (que incorpora la opción de incluir etiquetas y ACL en la copia de seguridad) está activada de forma predeterminada. Si lo desea, puede excluirla de las opciones de copia de seguridad. Para ver un ejemplo de sintaxis, consulte Configuración avanzada de las copias de seguridad de Amazon S3.

Solo copias de seguridad periódicas (instantáneas), programadas o bajo demanda:

  • AWS Backup escanea todo el depósito de S3, recupera la ACL y las etiquetas de cada objeto e inicia una solicitud Head para cada objeto que estaba en la instantánea anterior pero que no se encontró en la instantánea que se está creando.

  • La copia de seguridad es coherente con un momento dado.

  • La fecha y la hora de la copia de seguridad registradas son la hora en la que se AWS Backup completa el recorrido del depósito, no la hora en que se creó una tarea de copia de seguridad.

  • La primera copia de seguridad de un bucket es una copia de seguridad completa. Cada copia de seguridad posterior es incremental y representa el cambio en los datos desde la última instantánea.

  • La instantánea realizada por la copia de seguridad periódica puede tener un periodo de retención de hasta 99 años.

Copias de seguridad continuas combinadas con periodic/snapshot copias de seguridad:

  • Una vez finalizada la primera copia de seguridad completa de los datos existentes (cada bucket), se realiza un seguimiento de los cambios en el bucket a medida que se producen.

  • Puede realizar una restauración en un momento dado desde un punto de recuperación continuo.

  • Las instantáneas son coherentes con un momento dado.

  • Las instantáneas se toman directamente del punto de recuperación continuo, lo que elimina la necesidad de volver a escanear un bucket para facilitar procesos más rápidos.

  • Las instantáneas y los puntos de recuperación continuos comparten un linaje de datos; el almacenamiento de datos entre puntos de recuperación continuos e instantáneas no se duplica.

  • Cuando la configuración avanzada de copia de seguridad de Amazon S3, como la inclusión de etiquetas y ACL en una copia de seguridad, se cambia por un continuous punto de recuperación, AWS Backup detiene ese punto de recuperación y crea uno nuevo con la configuración o configuraciones actualizadas.

Si se está ejecutando un trabajo de copia de seguridad continuo para un bucket de S3, puede iniciar igualmente los trabajos de copia de seguridad periódicos (instantáneas). Sin embargo, se aplica el siguiente comportamiento:

  • Los trabajos de copia de seguridad de instantáneas utilizarán las mismas opciones de copia de seguridad (configuración de ACL y etiquetas de objetos) que la copia de seguridad continua existente.

  • Si especifica opciones de copia de seguridad para el trabajo de instantánea distintas a las que utiliza la copia de seguridad continua, el trabajo de instantánea seguirá utilizando la configuración de la copia de seguridad continua y aparecerá el estado Completado con errores.

    Cuando ocurra esto, verá el siguiente mensaje de estado: "Periodic/snapshot backup for bucket <bucket name> has different backup options than the continuous backup. When using continuous backups along with snapshot backups for the same bucket, the snapshot will use the same settings for backing up ACLs and Object tags as the continuous backup.".

La siguiente tabla muestra cuándo es necesario realizar un análisis completo al cambiar los puntos BackupOptions de recuperación continua existentes:

Comportamiento del escaneo completo cuando BackupOptions se modifica
Anterior BackupOptions Nuevo BackupOptions Análisis completo
BackupACL y backup activados ObjectTags Las copias de seguridad ACLS y la copia de seguridad están deshabilitadas ObjectTags No
Las ACL de respaldo y las copias de seguridad están habilitadas ObjectTags BackupACLS habilitada; copia de seguridad deshabilitada ObjectTags No
BackupACLS y backup activados ObjectTags BackupACLS deshabilitada; copia de seguridad habilitada ObjectTags No
BackupACLS y la copia de seguridad deshabilitados ObjectTags Las ACL de respaldo y las copias de seguridad están habilitadas ObjectTags
BackupACLS habilitada; copia de seguridad deshabilitada ObjectTags BackupACLS y backup activados ObjectTags
BackupACLS deshabilitada; copia de seguridad habilitada ObjectTags BackupACLS y backup activados ObjectTags

Intervalos de conclusión de la copia de seguridad de S3

La siguiente tabla muestra ejemplos de buckets de varios tamaños para ayudarle a estimar el tiempo de conclusión de la copia de seguridad completa inicial de un bucket de S3. Los tiempos de copias de seguridad variarán según el tamaño, el contenido, la configuración y los ajustes de cada bucket.

Tamaño del bucket Número de objetos Tiempo estimado para completar la copia de seguridad inicial
425 GB (gigabytes) 135 millones 31 horas
800 TB (terabytes) 670 millones 38 horas
6 PB (petabytes) 5000 millones 100 horas
370 TB (terabytes) 7500 millones 180 horas

Prácticas recomendadas y consideraciones de costos de las copias de seguridad de S3

Prácticas recomendadas con buckets grandes

Para buckets con más de 300 millones de objetos:

  • En el caso de los buckets con más de 300 millones de objetos, la velocidad de copia de seguridad puede alcanzar hasta 17 000 objetos por segundo durante la copia de seguridad completa inicial del bucket (las copias de seguridad incrementales tendrán una velocidad diferente); las copias de seguridad de los buckets que contengan menos de 300 millones de objetos tendrán una velocidad cercana a los 1000 objetos por segundo.

  • Se recomienda realizar copias de seguridad continuas.

  • Si está previsto que el ciclo de vida de las copias de seguridad sea de más de 35 días, también puede habilitar copias de seguridad instantáneas para el bucket en el mismo almacén en el que se almacenan las copias de seguridad continuas.

Optimización de la estrategia de copia de seguridad

  • En el caso de las cuentas que realizan copias de seguridad al menos a diario o con mayor frecuencia, puede ser beneficioso desde el punto de vista económico el uso de copias de seguridad continuas si los datos de las copias de seguridad sufren cambios mínimos entre las copias de seguridad.

  • Los buckets más grandes que no cambian con frecuencia pueden beneficiarse de las copias de seguridad continuas, ya que esto puede reducir los costos cuando los escaneos de todo el bucket junto con numerosas solicitudes por objeto no necesitan realizarse en objetos preexistentes (objetos que permanecen inalterados desde la copia de seguridad anterior).

  • Los buckets que contengan más de 100 millones de objetos y que tengan una tasa de eliminación pequeña en comparación con el tamaño total de la copia de seguridad pueden beneficiarse desde el punto de vista económico de un plan de copia de seguridad que incluya tanto una copia de seguridad continua con un periodo de retención de 2 días como instantáneas con una retención más prolongada.

  • El tiempo de copia de seguridad periódica (instantánea) se alinea con el inicio del proceso de copia de seguridad cuando no es necesario escanear los buckets. No es necesario realizar escaneos en un bucket que contenga copias de seguridad continuas e instantáneas, ya que en estos casos las instantáneas se toman desde un punto de recuperación continua.

Ciclo de vida de los objetos y eliminación de marcadores

  • Las políticas de ciclo de vida de S3 incluyen una característica opcional denominada Eliminar marcadores de eliminación de objetos vencidos. Cuando esta característica está desactivada, los marcadores de eliminación, que a veces son millones, vencen sin un plan de depuración. Cuando se hace una copia de seguridad de los buckets sin esta característica, hay dos problemas que afectan al tiempo y al costo:

    • Se hacen copias de seguridad de los marcadores de eliminación, al igual que de los objetos. El tiempo de copia de seguridad y el tiempo de restauración pueden verse afectados en función de la proporción entre objetos y marcadores de eliminación.

    • Cada objeto y marcador del que se haga una copia de seguridad tiene un costo mínimo. Cada marcador de eliminación se cobra igual que un objeto de 128 KB.

Consideraciones de costos de las clases de almacenamiento

  • Para cada objeto de una sola vez S3-GIR (Amazon S3 Glacier Instant Retrieval), AWS Backup realiza varias llamadas, lo que generará gastos de recuperación cuando se realice una copia de seguridad.

    Se aplican costos de recuperación similares a los depósitos con objetos S3-IA y clases de almacenamiento de S3 One. Zone-IA

AWS optimización de los costes del servicio

  • El uso de funciones de AWS KMS Amazon CloudWatch y Amazon GuardDuty como parte de su estrategia de respaldo puede generar costos adicionales más allá del almacenamiento de datos en cubos de S3. CloudTrail Para obtener más información sobre cómo ajustar estas características, consulte lo siguiente:

    • Reducir el coste de utilizar SSE-KMS las claves de bucket de Amazon S3 en la Guía del usuario de Amazon S3.

    • Puede reducir CloudTrail los costos excluyendo los AWS KMS eventos y deshabilitando los eventos de datos de S3:

      • Excluir AWS KMS eventos: en la Guía del CloudTrail usuario, al crear una ruta en la consola (selectores de eventos básicos), se ofrece la opción de excluir AWS KMS eventos para filtrarlos de la ruta (la configuración predeterminada incluye todos los eventos de KMS):

        • La opción para registrar o excluir eventos de KMS solo se encuentra disponible si registra eventos de administración en su registro de seguimiento. Si elige no registrar eventos de administración, no se registran eventos de KMS y no podrá cambiar la configuración del registro de eventos de KMS.

        • AWS KMS acciones comoEncrypt, por ejemploDecrypt, y GenerateDataKey suelen generar un gran volumen (más del 99%) de eventos. Estas acciones ahora se registran como eventos de lectura. Low-volume, las acciones de KMS relevantesDisable, comoDelete, y ScheduleKey (que normalmente representan menos del 0,5% del volumen de eventos de KMS) se registran como eventos de escritura.

        • Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguir registrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventos de administración de Escritura y desmarque la casilla de verificación Excluir eventos de AWS KMS .

      • Deshabilitar eventos de datos de S3: de forma predeterminada, los registros y los almacenes de datos de eventos no registran eventos de datos. Deshabilite los eventos de datos de S3 antes de la copia de seguridad inicial para reducir los costos.

    • Para reducir CloudWatch los costes, puedes dejar de enviar CloudTrail eventos a los CloudWatch registros al actualizar una ruta para deshabilitar la configuración de CloudWatch los registros.

    • Estimación GuardDuty del coste de uso en la Guía del GuardDuty usuario de Amazon.

Mensajes de copia de seguridad de S3

Si un trabajo de copia de seguridad se completa o genera un error, puede aparecer el siguiente mensaje. La siguiente tabla puede ayudarlo a determinar la posible causa del mensaje de estado.

Escenario Estado del trabajo Mensaje Ejemplo

No se ha podido realizar la copia de seguridad de todos los objetos para realizar una instantánea o una copia de seguridad continua inicial

FAILED

«No se realizó una copia de seguridad de ningún objeto desde el depósito BucketNamede origen. To get notified of these failures, enable SNS event notifications”.

El rol de copia de seguridad no tiene permisos para obtener la ACL de la versión del objeto. Por lo tanto, no se hace ninguna copia de seguridad de ninguno de los objetos.

No se ha podido realizar la copia de seguridad de todos los objetos para realizar una copia de seguridad continua subsiguiente.

COMPLETED

«No se hizo una copia de seguridad de ningún objeto desde el depósito de origen BucketName. To get notified of these failures, enable SNS event notifications”.

Configuración avanzada de las copias de seguridad de Amazon S3

AWS Backup proporciona ajustes avanzados para controlar los metadatos que se incluyen en las copias de seguridad de Amazon S3. Si lo desea, puede excluir las listas de control de acceso (ACL) y las etiquetas de objetos, lo que puede resultar útil si los objetos están configurados sin ACL ni etiquetas de objetos. En otras palabras, si no utiliza ACL ni etiquetas de objetos para sus recursos de S3, se recomienda excluirlos de las copias de seguridad.

Configuración de las copias de seguridad de las ACL y las etiquetas de objetos

Puede configurar las opciones de copia de seguridad de las ACL y las etiquetas de objeto a través de la AWS Backup consola o a través del AWS CLI.

Console
Configuración de las opciones de las ACL y las etiquetas mediante la consola

  1. Abra la AWS Backup consola en https://console.aws.amazon.com/backup/.

  2. En el panel de navegación principal, elija Planes de copia de seguridad y, a continuación, elija Crear plan de copia de seguridad.

  3. En la configuración de su plan de copia de seguridad, expanda Configuración avanzada de copia de seguridad.

  4. Para los recursos de Amazon S3, configure las siguientes opciones:

    • Copia de seguridad de las ACL: seleccione la casilla de verificación para incluir las ACL o déjela desmarcada para excluirlas.

      Copia de seguridad de las etiquetas de objetos: seleccione la casilla de verificación para incluir las etiquetas de objetos en la copia de seguridad.

  5. Complete la configuración del plan de copia de seguridad y elija Crear plan.

AWS CLI

Puede incluir o excluir listas de control de acceso (ACL) y etiquetas de objetos de forma selectiva de sus copias de seguridad de Amazon S3 mediante las siguientes opciones de copia de seguridad:

BackupACLs

Controla si las ACL de los objetos se incluyen en la copia de seguridad. Configúrelo en disabled para excluir las ACL. Valor predeterminado: enabled

BackupObjectTags

Controla si las etiquetas de los objetos se incluyen en la copia de seguridad. Configúrelo en disabled para excluir las etiquetas. Valor predeterminado: enabled

Configure las opciones de ACL y etiqueta mediante el AWS CLI

Para configurar las opciones de copia de seguridad de la ACL y las etiquetas de objetos mediante el AWS CLI, utilice el update-backup-plan comando con la configuración de copia de seguridad avanzada:


aws backup update-backup-plan \
    --backup-plan-id "your-backup-plan-id" \
    --backup-plan '{
        "BackupPlanName": "MyS3BackupPlan",
        "Rules": [{
            "RuleName": "MyS3BackupRule",
            "TargetBackupVaultName": "MyBackupVault",
            "ScheduleExpression": "cron(0 2 ? * * *)",
            "Lifecycle": {
                "DeleteAfterDays": 30
            },
            "RecoveryPointTags": {},
            "CopyActions": [],
            "EnableContinuousBackup": false
        }],
        "AdvancedBackupSettings": [{
            "ResourceType": "S3",
            "BackupOptions": {
                "BackupACLs": "disabled",
                "BackupObjectTags": "disabled"
            }
        }]
    }'

Los parámetros BackupOptions controlan la inclusión de los metadatos:

  • "BackupACLs": "disabled": excluye las ACL de las copias de seguridad

  • "BackupObjectTags": "disabled": excluye las etiquetas de objetos de las copias de seguridad

  • "BackupACLs": "enabled": incluye las ACL en las copias de seguridad (opción predeterminada)

  • "BackupObjectTags": "enabled": incluye las etiquetas de objetos en las copias de seguridad (opción predeterminada)