Configuración de la copia de seguridad entre cuentas Programación de copias de seguridad entre cuentas Realización de copias de seguridad entre cuentas bajo demanda Claves de cifrado y copias multicuenta Restaurar una copia de seguridad de una Cuenta de AWS a otra Intercambio de un almacén de copias de seguridad con una cuenta de AWS diferente Configuración de la cuenta como cuenta de destino Consideraciones de seguridad para la copia de seguridad entre cuentas

Crear copias de seguridad en todas partes Cuentas de AWS

Con él AWS Backup, puede realizar copias de seguridad de hasta varias Cuentas de AWS copias a pedido o automáticamente como parte de un plan de copias de seguridad programado. Utilice una copia de seguridad multicuenta si desea copiar sus copias de seguridad de forma segura a una o más personas Cuentas de AWS de su organización por motivos operativos o de seguridad. Si la copia de seguridad original se elimina accidentalmente, puede copiar la copia de seguridad de su cuenta de destino a su cuenta de origen y, a continuación, iniciar la restauración. Para poder hacerlo, debe tener dos cuentas que pertenezcan a la misma organización en el servicio AWS Organizations . Para obtener más información, consulte Tutorial: Creación y configuración de una organización en la Guía del usuario de Organizations.

En su cuenta de destino, debe crear un almacén de copias de seguridad. A continuación, debe asignar una clave gestionada por el cliente para cifrar las copias de seguridad en la cuenta de destino y una política de acceso basada en los recursos para permitir el acceso AWS Backup a los recursos que desee copiar. En la cuenta de origen, si sus recursos están cifrados con una clave administrada por el cliente, debe compartir esta clave con la cuenta de destino. A continuación, puede crear un plan de copia de seguridad y elegir una cuenta de destino que forme parte de su unidad organizativa en AWS Organizations.

Al copiar una copia de seguridad en varias cuentas por primera vez, la AWS Backup copia de seguridad completa. En general, si un servicio admite copias de seguridad incrementales, las copias posteriores de esa copia de seguridad en la misma cuenta son incrementales. AWS Backup vuelve a cifrar la copia con la clave gestionada por el cliente de la bóveda de destino.

Requisitos

Antes de administrar los recursos Cuentas de AWS en varias entradas AWS Backup, sus cuentas deben pertenecer a la misma organización del AWS Organizations servicio.
La mayoría de los recursos compatibles AWS Backup admiten la copia de seguridad entre cuentas. Para obtener información detallada, consulte Disponibilidad de características por recurso.
La mayoría de AWS las regiones admiten la copia de seguridad entre cuentas. Para obtener información detallada, consulte Disponibilidad de las funciones por Región de AWS.
AWS Backup no admite copias multicuenta para su almacenamiento en niveles inactivos.

Configuración de la copia de seguridad entre cuentas

¿Qué necesita para crear copias de seguridad entre cuentas?

Una cuenta de origen

La cuenta de origen es la cuenta en la que residen AWS los recursos de producción y las copias de seguridad principales.

El usuario de la cuenta de origen inicia la operación de copia de seguridad entre cuentas. El usuario o rol de la cuenta de origen debe tener los permisos de API adecuados para iniciar la operación. Los permisos adecuados pueden ser la política AWS gestionadaAWSBackupFullAccess, que permite el acceso total a AWS Backup las operaciones, o una política gestionada por el cliente que permite realizar acciones comoec2:ModifySnapshotAttribute: Para obtener más información sobre los tipos de políticas, consulte Políticas administradas por AWS Backup.
Una cuenta de destino

La cuenta de destino es la cuenta en la que desea guardar una copia de su copia de seguridad. Puede elegir más de una cuenta de destino. La cuenta de destino debe estar en la misma organización que la cuenta de origen en AWS Organizations.

Debe “permitir” la política de acceso backup:CopyIntoBackupVault para su almacén de copias de seguridad de destino. La ausencia de esta política impedirá los intentos de copia en la cuenta de destino.
Una cuenta de administración en AWS Organizations

La cuenta de administración es la cuenta principal de su organización, tal como la define AWS Organizations, que se utiliza para administrar las copias de seguridad entre cuentas entre sus Cuentas de AWS. Para utilizar la copia de seguridad entre cuentas, también debe habilitar la confianza en el servicio. Tras habilitar la confianza en el servicio, puede usar cualquier cuenta de la organización como cuenta de destino. Desde la cuenta de destino, puede elegir qué almacenes va a usar para realizar copias de seguridad entre cuentas.
Habilite la copia de seguridad entre cuentas en la consola de AWS Backup

Para obtener información acerca de la seguridad, consulte Consideraciones de seguridad para la copia de seguridad entre cuentas.

Para utilizar la copia de seguridad entre cuentas, debe habilitar la característica de copia de seguridad entre cuentas. A continuación, debe “permitir” la política de acceso backup:CopyIntoBackupVault a su almacén de copias de seguridad de destino.

Habilite la copia de seguridad entre cuentas

Inicie sesión con las credenciales AWS Organizations de su cuenta de administración. La copia de seguridad entre cuentas solo se puede habilitar o deshabilitar con estas credenciales.
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
En Mi cuenta, elija Configuración.
Para Copia de seguridad entre cuentas, elija Habilitar.
En Almacenes de copia de seguridad, elija su almacén de destino.

En el caso de las copias multicuentas, la bóveda de origen y la bóveda de destino se encuentran en cuentas diferentes. Cambie a la cuenta propietaria de la cuenta de destino, según sea necesario.
En la sección Política de acceso, seleccione “Permitir” backup:CopyIntoBackupVault. Por ejemplo, elija Agregar permisos y, a continuación, Permitir el acceso a un almacén de copias de seguridad desde la organización. Se rechazará cualquier acción entre cuentas que no backup:CopyIntoBackupVault sea la realizada.
Ahora, cualquier cuenta de su organización puede compartir el contenido de su almacén de copias de seguridad con cualquier otra cuenta de su organización. Para obtener más información, consulte Intercambio de un almacén de copias de seguridad con una cuenta de AWS diferente. Para limitar las cuentas que pueden recibir el contenido de los almacenes de copias de seguridad de otras cuentas, consulte Configuración de la cuenta como cuenta de destino.

Programación de copias de seguridad entre cuentas

Puede utilizar un plan de copia de seguridad programadas para copiar las copias de seguridad en Cuentas de AWS.

Para copiar una copia de seguridad mediante un plan de copia de seguridad programadas

Abre la AWS Backup consola en https://console.aws.amazon.com/backup.
En Mi cuenta, elija Planes de copia de seguridad y, a continuación, elija Crear plan de copia de seguridad.
En la página Crear plan de copia de seguridad, elija Crear un nuevo plan.
En Nombre del plan de copia de seguridad, introduzca un nombre para su plan de copia de seguridad.
En la sección Configuración de regla de copia de seguridad, agregue una regla de copia de seguridad que defina una programación de copia de seguridad, un intervalo de copia de seguridad y reglas de ciclo de vida. Puede agregar más reglas de copia de seguridad más adelante.

En Nombre de la regla, ingrese un nombre para la regla.
En la sección Programar, en Frecuencia, elija con qué frecuencia quiere que se realice la copia de seguridad.
En Intervalo de copia de seguridad, elija Usar valores predeterminados de intervalo de copia de seguridad (recomendado). Puede personalizar el intervalo de copia de seguridad.
Para Almacén de copia de seguridad, elija un almacén de la lista. Los puntos de recuperación de esta copia de seguridad se guardarán en este almacén. También puede crear un almacén de copias de seguridad nuevo.
En la sección Generar copia (opcional), ingrese los siguientes valores:
Región de destino

Elija el destino Región de AWS de la copia de seguridad. La copia de seguridad se copiará en esta región. Puede agregar una nueva regla a cada copia que se realice en un nuevo destino.

Copiar en el almacén de otra cuenta

Mueva el conmutador para elegir esta opción. La opción aparece en color azul cuando se selecciona. Aparecerá la opción ARN del almacén externo.

ARN del almacén externo
Ingrese el nombre de recurso de Amazon (ARN) de la cuenta de destino. El ARN es una cadena que contiene el ID de la cuenta y su. Región de AWS AWS Backup copiará la copia de seguridad a la bóveda de la cuenta de destino. La lista Región de destino se actualiza automáticamente a la región del ARN del almacén externo.

En Permitir el acceso al almacén de copias de seguridad, elija Permitir. A continuación, elija Permitir en el asistente que se abre.

AWS Backup necesita permisos para acceder a la cuenta externa y copiar la copia de seguridad al valor especificado. El asistente muestra el siguiente ejemplo de política que proporciona este acceso.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
```
Transferir al almacenamiento en frío

Elija cuándo desea transferir la réplica de la copia de seguridad al almacenamiento en frío y cuándo va a caducar (se va a eliminar). Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Este valor no se puede modificar una vez que la copia se ha migrado al almacenamiento en frío.

Para ver la lista de recursos que puede transferir al almacenamiento en frío, consulte la sección “Ciclo de vida al almacenamiento en frío” de la tabla Disponibilidad de características por recurso. La expresión de almacenamiento en frío se omite para otros recursos.

Vencimiento especifica el número de días que deben transcurrir desde la creación hasta que se elimina la copia. Este valor debe ser 90 días superior al valor de Transferir al almacenamiento en frío.

nota
Cuando las copias de seguridad caduquen y estén marcadas para su eliminación como parte de su política de ciclo de vida, las AWS Backup eliminará en un momento elegido al azar durante las 8 horas siguientes. Este intervalo ayuda a garantizar un rendimiento uniforme.
Elija Etiquetas agregadas a puntos de recuperación para agregar etiquetas a sus puntos de recuperación.
Para la Configuración avanzada de copia de seguridad, elija Windows VSS para habilitar las instantáneas compatibles con la aplicación para el software de terceros seleccionado que se ejecuta en EC2.
Elija Crear plan.

Realización de copias de seguridad entre cuentas bajo demanda

Si lo desea, puede copiar una copia de seguridad a una copia Cuenta de AWS de seguridad diferente.

Para copiar una copia de seguridad bajo demanda

Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
En Mi cuenta, elija Almacén de copia de seguridad para ver todos tus almacenes de copias de seguridad en la lista. Puede filtrar por nombre o etiqueta del almacén de copias de seguridad.
Elija el ID de punto de recuperación de la copia de seguridad que desee copiar.
Elija Copiar.
Amplíe Detalles de la copia de seguridad para ver información sobre el punto de recuperación que está copiando.
En la sección Copiar configuración, elija una opción de la lista Región de destino.
Elija Copiar en el almacén de otra cuenta. La opción aparece en color azul cuando se selecciona.
Ingrese el nombre de recurso de Amazon (ARN) de la cuenta de destino. El ARN es una cadena que contiene el ID de la cuenta y su. Región de AWS AWS Backup copiará la copia de seguridad a la bóveda de la cuenta de destino. La lista Región de destino se actualiza automáticamente a la región del ARN del almacén externo.
En Permitir el acceso al almacén de copias de seguridad, elija Permitir. A continuación, elija Permitir en el asistente que se abre.

Para crear la copia, AWS Backup necesita permisos para acceder a la cuenta de origen. El asistente muestra un ejemplo de política que proporciona este acceso. Esta política se muestra a continuación:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
```
En Transferir al almacenamiento en frío, elija cuándo desea transferir la copia de la copia de seguridad al almacenamiento en frío y cuándo va a vencer (se va a eliminar) la copia. Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Este valor no se puede modificar una vez que la copia se ha migrado al almacenamiento en frío.

Para ver la lista de recursos que puede transferir al almacenamiento en frío, consulte la sección “Ciclo de vida al almacenamiento en frío” de la tabla Disponibilidad de características por recurso. La expresión de almacenamiento en frío se omite para otros recursos.

Vencimiento especifica el número de días que deben transcurrir desde la creación hasta que se elimina la copia. Este valor debe ser 90 días superior al valor de Transferir al almacenamiento en frío.
Para el rol de IAM, especifique el rol de IAM (por ejemplo, el rol predeterminado) que tiene los permisos necesarios para que la copia de seguridad esté disponible para su copia. El acto de copiar lo realiza el rol vinculado al servicio de la cuenta de destino.
Elija Copiar. Según el tamaño del recurso que está copiando, este proceso puede tardar varias horas en completarse. Cuando se complete el trabajo de copia, verá la copia en la pestaña Trabajos de copia del menú Trabajos.

Claves de cifrado y copias multicuenta

La clave de cifrado de copias multicuenta depende del tipo de recurso. Los recursos que lo tienen Administración completa AWS Backup utilizan la clave de cifrado de la bóveda de respaldo de origen. Las claves KMS administradas por el cliente se pueden usar para el cifrado de copias entre cuentas de estos tipos de recursos.

Los tipos de recursos que no se administran por completo AWS Backup tienen la misma clave KMS de origen y la misma clave KMS de recurso. No se admite la copia multicuenta con claves de KMS AWS administradas para estos tipos de recursos que no estén completamente administrados por AWS Backup.

Si necesitas ayuda adicional para solucionar errores de copia entre cuentas, consulta el Centro de AWS conocimiento.

Al realizar una copia multicuenta, la política de claves de KMS de la cuenta de origen debe incluir la cuenta de destino en la política de claves de KMS.

Restaurar una copia de seguridad de una Cuenta de AWS a otra

AWS Backup no admite la recuperación de recursos de uno Cuenta de AWS a otro. Sin embargo, puede copiar una copia de seguridad desde una cuenta a otra diferente y, a continuación, restaurarla en esa cuenta. Por ejemplo, no puede restaurar una copia de seguridad de la cuenta A a la cuenta B, pero puede copiar una copia de seguridad de la cuenta A a la cuenta B y, a continuación, restaurarla en la cuenta B.

La restauración de una copia de seguridad de una cuenta a otra es un proceso de dos pasos.

Para restaurar una copia de seguridad de una cuenta a otra

Copie la copia de seguridad del origen Cuenta de AWS a la cuenta en la que desee restaurarla. Para obtener instrucciones, consulte Configuración de la copia de seguridad entre cuentas.
Utilice las instrucciones correspondientes a su recurso para restaurar la copia de seguridad.

AWS Backup le permite compartir un almacén de copias de seguridad con una o varias cuentas, o con toda su organización AWS Organizations. Puede compartir un almacén de copias de seguridad de destino con una cuenta de AWS , un usuario o un rol de IAM de origen.

Para compartir un almacén de copias de seguridad de destino

Elija y AWS Backup y, a continuación, elija Almacenes de copia de seguridad.
Elija el nombre del almacén de copias de seguridad que desea compartir.
En el panel Política de acceso, elija el menú desplegable Agregar permisos.
Elija Permitir el acceso de nivel de cuenta a un almacén de copias de seguridad. O bien, puede optar por permitir el acceso a nivel de organización o de rol.
Ingrese el AccountID de la cuenta que quiere compartir con este almacén de copias de seguridad de destino.
Elija Guardar política.

Puede utilizar las políticas de IAM para compartir su almacén de copias de seguridad.

La siguiente política comparte un almacén de copias de seguridad con el número de cuenta 4444555566666 y el rol de IAM SomeRole en el número de cuenta 111122223333.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}

La siguiente política comparte un almacén de copias de seguridad con las unidades organizativas que utilizan su PrincipalOrgPaths.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

La siguiente política comparte un almacén de copias de seguridad con la organización con un PrincipalOrgID de “o-a1b2c3d4e5”.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

Configuración de la cuenta como cuenta de destino

La primera vez que habilita las copias de seguridad multicuenta con su cuenta de AWS Organizations administración, cualquier usuario de una cuenta de miembro puede configurar su cuenta para que sea una cuenta de destino. Se recomienda configurar una o más de las siguientes políticas de control de servicios (SCP) en AWS Organizations para limitar tus cuentas de destino. Para obtener más información sobre cómo adjuntar políticas de control de servicios a AWS Organizations los nodos, consulte Adjuntar y separar políticas de control de servicios.

Limitar las cuentas de destino mediante etiquetas

Cuando se vincula a una cuenta AWS Organizations raíz, OU o individual, esta política limita las copias de los destinos de esa raíz, unidad organizativa o cuenta a solo aquellas cuentas con bóvedas de respaldo que hayas etiquetado. DestinationBackupVault El permiso "backup:CopyIntoBackupVault" controla el comportamiento del almacén de copias de seguridad y, en este caso, qué almacenes de copias de seguridad de destino son válidos. Utilice esta política, junto con la etiqueta correspondiente que se aplica a los almacenes de destino aprobados, para controlar el destino de las copias entre cuentas únicamente a las cuentas y almacenes de copia de seguridad aprobados.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}

Limitar las cuentas de destino mediante números de cuenta y nombres de almacén

Cuando se vincula a una cuenta AWS Organizations raíz, OU o cuenta individual, esta política limita las copias que se originen en esa raíz, unidad organizativa o cuenta a solo dos cuentas de destino. El permiso "backup:CopyFromBackupVault" controla el comportamiento de un punto de recuperación del almacén de copias de seguridad y, en este caso, los destinos a los que se puede copiar ese punto de recuperación. El almacén de origen solo permitirá realizar copias en la primera cuenta de destino (112233445566) si uno o varios nombres del almacén de copias de seguridad de destino comienzan por cab-. El almacén de origen solo permitirá realizar copias en la segunda cuenta de destino (123456789012) si el destino es un almacén de copias de seguridad único llamado fort-knox.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}

Limite las cuentas de destino mediante unidades organizativas en AWS Organizations

Cuando se adjuntan a una unidad organizativa o AWS Organizations raíz que contenga la cuenta de origen, o cuando se adjunten a la cuenta de origen, la siguiente política limita las cuentas de destino a las cuentas incluidas en las dos unidades organizativas especificadas.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

Consideraciones de seguridad para la copia de seguridad entre cuentas

Tenga en cuenta lo siguiente cuando realice copias de seguridad entre cuentas en AWS Backup:

El almacén de destino no puede ser el almacén predeterminado. Esto se debe a que el almacén predeterminado está cifrado con una clave que no se puede compartir con otras cuentas.
Es posible que las copias de seguridad entre cuentas sigan ejecutándose durante 15 minutos después de que deshabilite la copia de seguridad entre cuentas. Esto se debe a la coherencia futura y puede provocar que algunos trabajos entre cuentas se inicien o finalicen incluso después de deshabilitar la copia de seguridad entre cuentas.
Si la cuenta de destino abandona la organización más adelante, esa cuenta retendrá las copias de seguridad. Para evitar una posible filtración de datos, incluya un permiso de denegación en el permiso organizations:LeaveOrganization en una política de control de servicio (SCP) asociada a la cuenta de destino. Para obtener información detallada sobre las SCP, consulte Eliminación de una cuenta miembro de la organización en la Guía del usuario de Organizations.
Si eliminas una función de trabajo de copia durante una copia multicuenta, no AWS Backup podrás dejar de compartir las instantáneas de la cuenta de origen cuando se complete la tarea de copia. En este caso, el trabajo de copia de seguridad finaliza, pero el estado del trabajo de copia aparece como Failed to unshare snapshot.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Copias de seguridad entre regiones

Eliminación de copias de seguridad