교차 계정 및 교차 리전 복제 구조
이 설정은 AWS Organizations가 활성화되어 있어야 하며, 모든 계정이 하나의 조직 안에 묶여 있어야 가능합니다.
다중 리전/계정 복제 설정 4단계
1단계: 조직(Organizations) 내 백업 정책 활성화
가장 먼저 관리 계정(Management Account)에서 기능을 켜야 합니다.
AWS Backup 콘솔 → [설정(Settings)]으로 이동합니다.
[교차 계정 관리(Cross-account management)] 섹션에서 [복제(Backup copy)] 기능을 '활성화'로 전환합니다.
서비스 옵션에서 각 리소스(S3, EBS 등)의 백업 기능이 켜져 있는지 확인합니다.
2단계: 대상 계정(Destination)의 '백업 볼트' 준비
데이터가 최종적으로 도착할 계정(예: DR 계정)에서의 설정입니다.
대상 리전의 대상 계정에 접속하여 **[백업 볼트]**를 생성합니다.
중요: 볼트 액세스 정책(Vault Access Policy) 설정
다른 계정으로부터의 복사본을 받아주려면 아래와 같이
backup:CopyIntoBackupVault권한을 허용하는 정책을 추가해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, // 또는 특정 소스 계정 ID "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-xxxxxxxxxx" } // 내 조직 ID } } ] }
3단계: 소스 계정(Source)의 복제 규칙 설정
소스 계정의 [백업 계획(Backup plans)]에서 규칙을 생성하거나 편집합니다.
[복제본 생성] 섹션에서 다음을 입력합니다.
대상 리전: 복제할 리전 선택.
대상 볼트 ARN: 대상 계정에서 만든 볼트의 전체 ARN을 직접 입력합니다. (예:
arn:aws:backup:ap-northeast-2:123456789012:backup-vault:DR-Vault)
4단계: 암호화(KMS) 설정 (가장 흔한 실패 지점)
계정 간 복제 시에는 기본 AWS 관리형 키(aws/backup)를 사용할 수 없습니다.
반드시 고객 관리형 키(Customer Managed Key, CMK)를 사용해야 하며, 대상 계정의 KMS 키 정책에서 소스 계정의 백업 서비스 역할이
kms:Decrypt및kms:DescribeKey를 할당받을 수 있도록 허용해야 합니다.
복제 방식 비교: 단일 리전 vs 교차 리전 vs 교차 계정
구분 | 단일 리전 복제 | 교차 리전 복제 (CRC) | 교차 계정 복제 (CAC) |
보안 수준 | 낮음 (리전 장애 시 위험) | 중간 (리전 장애 대비 가능) | 최상 (계정 침해 대비 가능) |
주요 용도 | 단순 보관용 | 재해 복구(DR) | 랜섬웨어 및 보안 사고 대비 |
KMS 키 | 관리형 키 사용 가능 | 관리형 키 사용 가능 | 고객 관리형 키(CMK) 필수 |
복잡도 | 낮음 | 보통 | 높음 (권한 설정 정교함 필요) |
Tip
복제된 데이터의 보관 기간(Lifecycle)을 원본보다 길게 가져가세요.
만약 소스 계정에서 실수로 데이터를 지웠는데 복제본도 똑같이 지워진다면 복제한 의미가 없습니다. 소스 계정의 데이터는 7일 뒤 삭제하더라도, 대상 계정(DR)의 데이터는 30일 이상 보관하도록 라이프사이클을 별도로 설정하는 것이 위기 관리 능력입니다. AWS Backup Vault Lock을 함께 사용하여 대상 계정의 백업본을 그 누구도(루트 포함) 지울 수 없게 만드는 것이 좋습니다.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.