Решение резервного копирования AWS для EC2 и RDS?

Желаемый результат. Услышав множество ужасных историй о том, как злоумышленники получают доступ к учетным записям AWS и уничтожают ресурсы, я заинтересован в создании системы, которая может копировать моментальные снимки RDS и AMI / тома EC2 в полностью отдельную учетную запись AWS для использования в качестве временная капсула "или" ледяное восстановление ".

Основы безопасности: я использую IAM с MFA для всех существующих учетных записей и ограничиваю, кто может что делать, исходя из необходимости доступа. Большинство пользователей имеют доступ только для чтения ко всему, а некоторые из них являются опытными пользователями. Мы никогда не используем учетную запись root.

Первоначальные открытия: поскольку нет собственного способа копирования AMI или снимков в другую учетную запись, мое текущее понимание состоит в том, что мне нужно будет использовать нашу текущую учетную запись, чтобы разрешить доступ к AMI / снимкам учетной записи "хранилища", а затем использовать Учетная запись хранилища, чтобы запустить экземпляр /DB из AMI/SS, а затем создать другой AMI / SS из экземпляра /DB, чтобы сделать полную копию в другой учетной записи.

Вопросы:

1. Это глупо?
2. Есть ли способ лучше?
3. Кто-нибудь знает о сервисе или решении сценариев, которое может выполнить это простым способом?

Я уверен, что, имея достаточно времени, я мог бы использовать SDK и сделать что-то, что делает это, но я очень открыт, чтобы НЕ самому его кодировать.