AWS Backup vault có thể chứa backups cho services nào?

AWS Backup hỗ trợ nhiều services: EC2, EBS, RDS (Aurora, MySQL, PostgreSQL...), DynamoDB, EFS, FSx, S3, DocumentDB, Neptune, VMware workloads trên Outposts. Đây là centralized backup service — một Backup Plan có thể cover nhiều resource types với consistent policies thay vì cấu hình backup riêng cho mỗi service.

Minimum retention trong cold storage là bao nhiêu?

90 ngày minimum retention khi move backup sang cold storage tier trong AWS Backup. Đây tương tự Glacier — dành cho backups cần giữ lâu dài nhưng ít khi restore. Nếu delete trước 90 ngày sẽ bị charge phần còn lại. Cold storage rẻ hơn warm storage đáng kể cho long-term retention.

Vault Lock Compliance Mode khác Governance Mode ở điểm gì?

Compliance Mode: khi đã lock, không ai (kể cả root account, AWS Support) có thể thay đổi hoặc xóa backups trước khi hết retention period — immutable hoàn toàn. Governance Mode: administrators có quyền manage backups (có thể override lock nếu có quyền backup:DeleteBackupVaultLockConfiguration). Compliance Mode dùng cho regulatory requirements (HIPAA, SEC); Governance Mode cho operational protection với override capability.

Cross-account backup cần AWS Organizations không?

Có — Cross-account backup yêu cầu accounts nằm trong cùng AWS Organizations. Organization management account cần enable cross-account backup trong AWS Backup settings. Đây là best practice cho DR: backup sang separate account để tránh ransomware hoặc accidental delete ảnh hưởng cả source và backup cùng lúc.

Backup Restore Testing dùng để làm gì?

Backup Restore Testing (ra mắt 2023) tự động test tính khả dụng của backups bằng cách periodically restore và verify. Giải quyết vấn đề phổ biến: có backup nhưng không biết có restore được không đến khi disaster xảy ra. Có thể cấu hình schedule, resource type, cleanup sau test, và alert khi restore fail — đảm bảo RTO/RPO objectives thực sự đạt được.

Tuần 3 - Ngày 6: AWS Backup

Mục tiêu học tập

Hiểu AWS Backup: centralized backup service
Tạo Backup Plan với lifecycle policy
Cross-region và cross-account backup
Áp dụng Vault Lock và Backup Audit

1. Tổng quan AWS Backup

AWS Backup = fully managed centralized backup service cho AWS services.

Lý do dùng AWS Backup

Centralized: 1 chỗ quản lý backup cho nhiều services
Compliance: policy-based, audit ready
Cross-region/cross-account: DR built-in
Lifecycle: tự động transition và expire backups
Vault Lock: immutable backups chống ransomware

Services hỗ trợ (2025)

EC2 (instance + EBS volume)
EBS standalone
RDS, Aurora
DynamoDB
EFS, FSx (tất cả flavors)
Storage Gateway (Volume Gateway)
Redshift
Neptune, DocumentDB
VMware Cloud on AWS workloads
S3 (selective backup)
AWS Organizations: backup across accounts

2. Core Components

Backup Plan

Schedule + Rules for backup
Apply to Resources (selected by tag hoặc resource type)

Backup Vault

Container lưu backups (recovery points)
Mỗi vault có encryption key (KMS)
Access policy giới hạn ai dùng được vault

Recovery Point

1 snapshot/backup instance của resource tại 1 thời điểm
Stored trong Backup Vault

Backup Job

Instance của backup operation
Status: created, running, completed, failed, aborted

Restore Job

Instance của restore operation từ recovery point

3. Backup Plan Configuration

Components

Backup Plan:
  Plan Name: daily-prod-backups
  Rules:
    - Rule Name: daily-rule
      Schedule: cron(0 5 ? * * *)   # 5 AM UTC daily
      Window:
        Start: 60 minutes
        Complete within: 120 minutes
      Lifecycle:
        Move to Cold Storage: 30 days  # Glacier tier
        Delete: 365 days
      Backup Vault: prod-vault
      Copy Actions:
        - Destination: cross-region-vault (us-west-2)
          Lifecycle: { delete: 90 days }

Resource Assignment

Tag-based: Mọi resource có tag Backup=true được include
Resource ID: Specific instance/volume

Resource Selection:
  IamRoleArn: arn:aws:iam::111:role/AWSBackupDefaultServiceRole
  Resources:
    - "arn:aws:ec2:*:*:instance/*"
  Conditions:
    StringEquals:
      "aws:ResourceTag/Backup": "true"

4. Backup Lifecycle

Storage tiers

Warm storage (default): truy cập ngay
Cold storage (Glacier-equivalent): rẻ hơn nhưng retrieve chậm

Rules

Min 90 days trong cold storage (mọi backup move sang cold)
Min 1 day trong warm trước khi move cold
Total minimum lifecycle (warm + cold) = 90 days

Example

Warm 7 days → Cold 90 days → Delete
Total: 97 days minimum

Warm 30 days → Cold 60 days?  → INVALID (cold < 90 days)

5. Cross-Region Backup (Copy)

Cấu hình

Trong Backup Plan, add Copy Action:
- Destination Vault (Region khác)
- Lifecycle riêng cho copy

Use case

Disaster Recovery: backup lưu region khác để chống region-wide failure
Compliance (data ở multiple geo)

Cost

Cross-region data transfer charge
Storage cost ở cả 2 regions

6. Cross-Account Backup

Setup (cần AWS Organizations)

Enable Backup ở delegated administrator account
Trust accounts trong organization
Backup Plan trong management/delegated account
Backup lưu vào central account vault

Use case

DR: backup từ production account về security/DR account
Compliance: backup vault account riêng (isolation)
Ransomware protection: backup không bị truy cập từ production account

Mode	Bypass	Modify policy
Governance Mode	User với `s3:BypassGovernance` có thể bypass	Có thể (within grace period)
Compliance Mode	KHÔNG ai (kể cả root)	Không thể (sau grace period)

Grace period

Compliance Mode: có grace period (3-72 hours) để test trước khi lock
Sau grace → Vault Lock vĩnh viễn, không thể remove

Use case

Ransomware protection
Regulatory compliance (SEC 17a-4, HIPAA, FINRA)
Audit-proof backups

8. Restore

Process

Select Recovery Point trong Backup Vault
Configure restore options:
- EC2: Restore as new instance hoặc replace
- EBS: Tạo volume mới từ snapshot
- RDS: Restore as new DB instance
- EFS: Restore to new EFS hoặc same EFS (selective restore)
- DynamoDB: Restore as new table
IAM role for restore
Start restore job

Cross-Region Restore

Restore từ recovery point ở Region khác về source Region
Hoặc restore vào Region khác

Restore Testing (2024)

Restore Testing Plan: AWS Backup auto restore backup vào sandbox account/region để verify
Validate backup integrity periodically

30+ pre-defined controls:
- "Resources are backed up at least daily"
- "Backups have cross-region copy"
- "Backup retention ≥ 30 days"
- "Vault Lock enabled"
Custom controls

Output

Compliance reports
Dashboard trong Backup console
CloudWatch events khi non-compliant

10. AWS Backup with Organizations

Backup Policies (Organizations)

Centrally define backup plans across OU/Accounts
Inherit từ root OU → child OU

Backup Plan: ebs-daily
Schedule: 2 AM UTC
Lifecycle: Delete after 90 days
Resources: tag Backup=true

Ví dụ 2: DR backup cross-region

Backup Plan: prod-dr
Rule 1: 
  Schedule: 12 AM UTC daily
  Local vault: us-east-1
  Lifecycle: 30 days warm + cold
Copy Action:
  Destination: us-west-2 vault
  Lifecycle: 7 days warm only

Ví dụ 3: Compliance archive 7 years immutable

Backup Plan: compliance-archive
Schedule: monthly (cron 0 0 1 * ? *)
Lifecycle: 30 days warm → cold for 7 years
Vault: vault-lock-compliance-mode

12. Best Practices

Strategy

Tag resources systematically (Backup=true, Tier=production)
Test restore quarterly (Restore Testing plan)
Cross-region cho production critical
Cross-account cho ransomware protection
Vault Lock Compliance Mode cho compliance data
Monitor backup jobs qua CloudWatch alarms
Audit periodically với Backup Audit Manager

Cost optimization

Lifecycle to cold storage cho old backups
Right-size retention (đừng giữ quá lâu)
Delete old recovery points không cần

Câu hỏi ôn tập

AWS Backup vault có thể chứa backups cho services nào?

Xem đáp án

AWS Backup hỗ trợ nhiều services: EC2, EBS, RDS (Aurora, MySQL, PostgreSQL...), DynamoDB, EFS, FSx, S3, DocumentDB, Neptune, VMware workloads trên Outposts. Đây là centralized backup service — một Backup Plan có thể cover nhiều resource types với consistent policies thay vì cấu hình backup riêng cho mỗi service.
Minimum retention trong cold storage là bao nhiêu?

Xem đáp án

90 ngày minimum retention khi move backup sang cold storage tier trong AWS Backup. Đây tương tự Glacier — dành cho backups cần giữ lâu dài nhưng ít khi restore. Nếu delete trước 90 ngày sẽ bị charge phần còn lại. Cold storage rẻ hơn warm storage đáng kể cho long-term retention.
Vault Lock Compliance Mode khác Governance Mode ở điểm gì?

Xem đáp án

Compliance Mode: khi đã lock, không ai (kể cả root account, AWS Support) có thể thay đổi hoặc xóa backups trước khi hết retention period — immutable hoàn toàn. Governance Mode: administrators có quyền manage backups (có thể override lock nếu có quyền backup:DeleteBackupVaultLockConfiguration). Compliance Mode dùng cho regulatory requirements (HIPAA, SEC); Governance Mode cho operational protection với override capability.
Cross-account backup cần AWS Organizations không?

Xem đáp án

Có — Cross-account backup yêu cầu accounts nằm trong cùng AWS Organizations. Organization management account cần enable cross-account backup trong AWS Backup settings. Đây là best practice cho DR: backup sang separate account để tránh ransomware hoặc accidental delete ảnh hưởng cả source và backup cùng lúc.
Backup Restore Testing dùng để làm gì?

Xem đáp án

Backup Restore Testing (ra mắt 2023) tự động test tính khả dụng của backups bằng cách periodically restore và verify. Giải quyết vấn đề phổ biến: có backup nhưng không biết có restore được không đến khi disaster xảy ra. Có thể cấu hình schedule, resource type, cleanup sau test, và alert khi restore fail — đảm bảo RTO/RPO objectives thực sự đạt được.

Bài tập thực hành

Tạo Backup Vault với KMS encryption
Tạo Backup Plan: daily 2 AM, retention 7 days, cho tag Backup=true
Tag 1 EBS volume với Backup=true, observe backup job
Setup cross-region copy sang Region khác
Enable Vault Lock Governance Mode, retention 30 ngày
Restore EBS volume từ recovery point

Tài liệu tham khảo chính thức

Tiếp theo: Quiz Tuần 3