security - 适用于 EC2 和 RDS 的 AWS 账户到账户备份解决方案？

Question

期望的结果:在听到许多恶意用户访问 AWS 帐户并清除资源的恐怖故事后，我有兴趣创建一个可以将 RDS 快照和 EC2 AMI/卷复制到完全独立的 AWS 帐户以供使用的系统作为“时间胶囊”或“冰冷恢复”站点。

安全基础知识:我对所有现有帐户使用 IAM 和 MFA，并根据访问需要限制谁可以做什么。大多数用户对所有内容都具有只读访问权限，少数用户是高级用户。我们从不使用 root 帐户。

初步发现:由于没有将 AMI 或快照复制到另一个帐户的 native 方法，我目前的理解是，我需要使用我们当前的帐户来允许“保管库”帐户访问 AMI/快照，然后使用保管库帐户从 AMI/SS 启动实例/数据库，然后创建该实例/数据库的另一个 AMI/SS，以便在另一个帐户中制作完整副本。

问题:

1. 这很蠢吗？
2. 有更好的方法吗？
3. 有人知道可以通过简单方式实现此目的的服务或脚本解决方案吗？

我确信，如果有足够的时间，我可以使用 SDK 并制作一些可以实现此目的的东西，但我非常愿意不自己编码。

Answer 1

您的说法是正确的，Amazon 系统镜像 (AMI) 无法复制到另一个 AWS 账户。

共享 AMI 然后从另一个帐户启动实例的方法是制作 AMI 副本的一种方法(尽管不是完美的副本，因为它将在启动新实例时使用)。

另一个想法是:

• 与其他账户共享 AMI 底层的快照(AMI 实际上保留在快照中)

然后，在另一个帐户中:

• 将快照复制到其他帐户，或者
• 从快照创建新卷，或者
• 从快照注册 AMI

所有选项都会以快照、卷或 AMI 的形式复制其他帐户中的数据。

参见:HowTo: Copy EC2 EBS AMIs Between Accounts