AWS Cross-Account Backup 구성하기

2026.01.30

 아키텍처 개요[Management Account]  ← Cross-account management 활성화
         │
         ├── [Source Account A]  →  복사  →  [Backup Account B]
         │       (운영 환경)                    (백업 전용, 격리)
         │
    AWS Organizations

 사전 준비두 계정이 같은 AWS Organizations 소속
Management Account 접근 권한 (Cross-account 기능 활성화용)
Customer Managed Key (CMK) 사용 필수 (AWS managed key는 cross-account 공유 불가)
 Step 1: Management Account에서 Cross-Account Backup 활성화⚠️ 이 단계를 건너뛰면 에러 발생!
Management Account 에서 진행
AWS Backup 콘솔 → Settings
Cross-account management 섹션 확인
다음 항목들 Enable:
Cross-account backup ✅
Cross-account monitoring ✅ (선택)

 Step 2: Destination 계정에서 KMS Key 생성Backup Account (B) 에서 진행
⚠️ Default vault는 AWS managed key를 사용하므로 cross-account 불가!
고객 관리형 키 → 키 생성
키 유형: 대칭
키 사용: 암호화 및 해독
별칭: backup-vault-key
키 정책 에 Source Account 추가:
{
  "Sid": "Allow source account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::<SOURCE_ACCOUNT_ID>:root"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
    "kms:CreateGrant"
  ],
  "Resource": "*"
}

 Step 3: Destination 계정에서 Backup Vault 생성Backup Account (B) 에서 진행
AWS Backup 콘솔 → AWS Backup → 볼트 → 새 볼트 생성
Vault 이름: test-destination-vault
Encryption key: Step 2에서 생성한 CMK 선택 (default 아님!)
볼트 생성
 Step 4: Backup Vault Access Policy 설정Backup Account (B) 의 Vault에서 진행
생성한 Vault 선택 → Access policy 탭
아래 정책 추가:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<SOURCE_ACCOUNT_ID>:root"
      },
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*"
    }
  ]
}

 Source 계정 Step 5:소스계정에서 Backup Vault 생성Backup Account (B) 에서 진행
AWS Backup 콘솔 → AWS Backup → 볼트 → 새 볼트 생성
Vault 이름: test-source-vault
Encryption key: Step 2에서 생성한 CMK 선택 (default 아님!)
볼트 생성
 Step 6: 백업 계획에 다른 계정의 볼트로 복사 추가Source Account (A) 에서 진행
백업 계획 → 기존 Plan 선택 또는 새로 생성
템플릿 시작 등 기본정보입력 후 백업 규칙추가 설정
대상으로 복사 섹션:
다른 계정의 볼트로 복사 체크
외부볼트 ARN:
arn:aws:backup:<REGION>:<BACKUP_ACCOUNT_ID>:backup-vault:test-destination-vault

수명주기 설정 (선택)

 Step 7: 검증Backup job 실행 후 Jobs 메뉴에서 Copy jobs 탭 확인
Destination Account에서 Vault 내 복구 시점 확인
 흔한 에러와 해결

에러 메시지
원인
해결


Cross-account backup is not enabled
Management Account에서 미활성화
Step 1 수행

Access Denied
Vault Access Policy 누락
Step 4 확인

KMS key access denied
KMS Key Policy에 Source Account 미추가
Step 2 Key Policy 확인

Cannot use default vault
Default vault는 AWS managed key 사용
CMK로 새 Vault 생성

Snapshots encrypted with the AWS Managed CMK can't be shared
Source EBS가 aws/ebs로 암호화됨
Snapshot Copy로 CMK 전환 후 재시도
혹은 CMK 암호화된 EBS로 변경

AWS Cross-Account Backup 구성하기

아키텍처 개요

사전 준비

Step 1: Management Account에서 Cross-Account Backup 활성화

Step 2: Destination 계정에서 KMS Key 생성

Step 3: Destination 계정에서 Backup Vault 생성

Step 4: Backup Vault Access Policy 설정

Source 계정

Step 5:소스계정에서 Backup Vault 생성

Step 6: 백업 계획에 다른 계정의 볼트로 복사 추가

Step 7: 검증

흔한 에러와 해결

関連記事

AWSで探す

注目のテーマ

プロダクトやサービスで探す

特集やシリーズから探す

EVENTS

에러 메시지	원인	해결
`Cross-account backup is not enabled`	Management Account에서 미활성화	Step 1 수행
`Access Denied`	Vault Access Policy 누락	Step 4 확인
`KMS key access denied`	KMS Key Policy에 Source Account 미추가	Step 2 Key Policy 확인
`Cannot use default vault`	Default vault는 AWS managed key 사용	CMK로 새 Vault 생성
`Snapshots encrypted with the AWS Managed CMK can't be shared`	Source EBS가 aws/ebs로 암호화됨	Snapshot Copy로 CMK 전환 후 재시도 혹은 CMK 암호화된 EBS로 변경