Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar AWS Backup recursos en múltiples Cuentas de AWS
nota
Antes de administrar los recursos Cuentas de AWS en varios AWS Backup ingresos, sus cuentas deben pertenecer a la misma organización del AWS Organizations servicio.
Puede utilizar la función de administración multicuenta AWS Backup para gestionar y supervisar los trabajos de copia de seguridad, restauración y copia con AWS Organizations los Cuentas de AWS que haya configurado. AWS Organizationses un servicio que ofrece una administración basada en políticas para múltiples cuentas de administración Cuentas de AWS desde una única cuenta de administración. Le permite estandarizar la forma en que implementa las políticas de copia de seguridad, minimizando los errores manuales y el esfuerzo simultáneamente. Desde una vista central, puede identificar fácilmente los recursos en todas las cuentas que cumplan los criterios que le interesan.
Si lo configuras AWS Organizations, puedes configurarlo AWS Backup para monitorear las actividades de todas tus cuentas en un solo lugar. También puede crear una política de copias de seguridad y aplicarla a determinadas cuentas que formen parte de su organización y ver las actividades agregadas de las tareas de copia de seguridad directamente desde la AWS Backup consola. Esta funcionalidad permite a los administradores de copias de seguridad monitorizar eficazmente el estado del trabajo de copia de seguridad en cientos de cuentas de toda la empresa desde una sola cuenta maestra. Se aplican las Cuotas para AWS Organizations.
Por ejemplo, se define una política de copia de seguridad A que toma copias de seguridad diarias de recursos específicos y las mantiene durante 7 días. Puede aplicar la política de copia de seguridad A a toda la organización. (Esto significa que cada cuenta de la organización obtiene esa política de copia de seguridad, lo que crea un plan de copia de seguridad correspondiente que está visible en esa cuenta). A continuación, crea una unidad organizativa denominada Finance y decide mantener sus copias de seguridad durante solo 30 días. En este caso, se define una política de copia de seguridad B, que anula el valor del ciclo de vida y se adjunta a esa unidad organizativa Finance. Esto significa que todas las cuentas bajo la unidad organizativa Finance obtienen un nuevo plan de copia de seguridad efectivo que toma copias de seguridad diarias de todos los recursos especificados y las mantiene durante 30 días.
En este ejemplo, la política de copia de seguridad A y la política de copia de seguridad B se fusionaron en una única política de copia de seguridad, que define la estrategia de protección para todas las cuentas de la unidad organizativa denominada Finance. Todas las demás cuentas de la organización permanecen protegidas por la política de copia de seguridad A. La combinación se realiza solo para las políticas de copia de seguridad que comparten el mismo nombre de plan de copia de seguridad. También puede hacer que la política A y la política B coexistan en esa cuenta sin ninguna combinación. Solo puede utilizar operadores avanzados de fusión en la vista JSON de la consola. Para obtener más información sobre la combinación de políticas, consulte Definición de políticas, sintaxis de políticas y herencia de políticas en la Guía del usuario de AWS Organizations . Para obtener referencias y casos de uso adicionales, consulte el blog Cómo administrar copias de seguridad a gran escala AWS Organizations con su uso AWS Backup y el tutorial en
Consulte la disponibilidad de funciones por AWS región para ver dónde está disponible la función de administración multicuenta.
Para utilizar la administración entre cuentas, debe seguir estos pasos:
-
Cree una cuenta de administración AWS Organizations y añada cuentas a la cuenta de administración.
-
Habilite la función de administración multicuenta en AWS Backup.
-
Cree una política de respaldo para aplicarla a todos los usuarios Cuentas de AWS de su cuenta de administración.
nota
Para los planes de copia de seguridad administrados por Organizations, la configuración de suscripción del recurso en la cuenta de administración anula la configuración de la cuenta de un miembro, aunque estén configuradas una o varias cuentas de administrador delegado. Las cuentas de administrador delegado son cuentas de miembros con características mejoradas y no pueden anular la configuración como una cuenta de administración.
-
Gestione los trabajos de copia de seguridad, restauración y copia en todos sus archivos Cuentas de AWS.
Temas
- Creación de una cuenta de administración en Organizations
- Habilitación de la administración entre cuentas
- Administrador delegado
- Creación de un plan de copia de seguridad
- Monitorización de actividades en varias Cuentas de AWS
- Reglas de suscripción de recursos
- Definición de políticas, sintaxis de políticas y herencia de políticas
Creación de una cuenta de administración en Organizations
En primer lugar, debe crear su organización y configurarla con las cuentas de AWS los miembros integradas AWS Organizations.
Para crear una cuenta de administración en AWS Organizations y añadir cuentas
-
Para obtener instrucciones, consulte Tutorial: Creación y configuración de una organización en la Guía del usuario de AWS Organizations .
Habilitación de la administración entre cuentas
Antes de poder utilizar la gestión multicuenta AWS Backup, tienes que activar la función (es decir, activarla). Una vez habilitada la función, puede crear políticas de copia de seguridad que le permitan automatizar la administración simultánea de varias cuentas.
Para habilitar la administración entre cuentas
-
Ábrela Consola de AWS Backup en https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. -
En el panel de navegación izquierdo, elija Settings (Configuración) para abrir la página de administración entre cuentas.
-
En la sección Backup policies (Políticas de copia de seguridad), elija Enable (Habilitar).
Esto le da acceso a todas las cuentas y le permite crear políticas que automatizan la administración de varias cuentas en su organización simultáneamente.
-
En la sección Supervisión entre cuentas elija Enable (Habilitar).
Esto le permite monitorizar las actividades de copia de seguridad, copia y restauración de todas las cuentas de su organización desde su cuenta de administración.
Administrador delegado
La administración delegada proporciona una forma cómoda para que los usuarios asignados a una cuenta de miembro registrado realicen la mayoría de las tareas AWS Backup administrativas. Puede optar por delegar la administración de AWS Backup una cuenta de miembro en AWS Organizations, lo que amplía la capacidad AWS Backup de administrar desde fuera de la cuenta de administración y en toda la organización.
Una cuenta de administración, de forma predeterminada, es la cuenta que se usa para editar y administrar las políticas. Con la característica de administrador delegado, puede delegar estas funciones de administración a las cuentas miembro que designe. A su vez, esas cuentas pueden administrar políticas, además de la cuenta de administración.
Una vez que la cuenta miembro se haya registrado correctamente para la administración delegada, se convierte en una cuenta de administrador delegado. Tenga en cuenta que las cuentas, no los usuarios, se designan como administradores delegados.
La habilitación de cuentas de administrador delegado permite administrar las políticas de copia de seguridad, minimiza la cantidad de usuarios con acceso a la cuenta de administración y facilita la monitorización de los trabajos entre cuentas.
A continuación, se muestra una tabla que muestra las funciones de la cuenta de administración, las cuentas delegadas como administradores de Backup y las cuentas que son miembros de la AWS organización.
nota
Las cuentas de administrador delegado son cuentas de miembros con características mejoradas, pero no pueden anular la configuración de suscripción al servicio de otras cuentas de miembros como una cuenta de administración.
| PRIVILEGIOS | CUENTA DE ADMINISTRACIÓN | ADMINISTRADOR DELEGADO | CUENTA MIEMBRO |
|---|---|---|---|
| Registrar o anular el registro de cuentas de administrador delegado | Sí | No | No |
| Administre las políticas de respaldo en todas las cuentas en AWS Organizations | Sí | Sí | No |
| Monitorizar los trabajos entre cuentas | Sí | Sí | No |
Requisitos previos
Para poder delegar la administración de las copias de seguridad, primero debe registrar al menos una cuenta de miembro en su AWS organización como administrador delegado. Antes de poder registrar una cuenta como administrador delegado, primero debe configurar lo siguiente:
AWS Organizations debe estar habilitada y configurada con al menos una cuenta de miembro además de la cuenta de administración predeterminada.
-
En la AWS Backup consola, asegúrate de que las políticas de respaldo, la supervisión multicuenta y las funciones de copia de seguridad multicuenta estén activadas. Se encuentran debajo del panel de administradores delegados de la consola. AWS Backup
-
La monitorización entre cuentas le permite monitorizar la actividad de copia de seguridad en todas las cuentas de su organización, tanto desde la cuenta de administración como desde las cuentas de administrador delegado.
-
Opcional: copia de seguridad multicuenta, que permite a las cuentas de su organización copiar copias de seguridad a otras cuentas (para los recursos multicuenta compatibles con Backup).
-
Habilite el acceso al servicio con. AWS Backup
-
La configuración de la administración delegada consta de dos pasos. El primer paso es delegar la monitorización de los trabajos entre cuentas. El segundo paso es delegar la administración de las políticas de copia de seguridad.
Registro de una cuenta miembro como cuenta del administrador delegado
Esta es la primera sección: Uso de la AWS Backup consola para registrar una cuenta de administrador delegado a fin de supervisar los trabajos entre cuentas. Para delegar AWS Backup políticas, utilizará la consola Organizations en la siguiente sección.
Para registrar una cuenta de miembro mediante la AWS Backup consola:
-
Ábrala Consola de AWS Backup en https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. En Mi cuenta, en el panel de navegación izquierdo de la consola, elija Configuración.
En el panel Administradores delegados, haga clic en Registrar administrador delegado o Agregar administrador delegado.
En la página Registrar administrador delegado, seleccione la cuenta que desee registrar y, a continuación, elija Registrar cuenta.
Esta cuenta designada ahora se registrará como un administrador delegado, con privilegios administrativos para monitorizar los trabajos en todas las cuentas de la organización. Además, podrá ver y editar las políticas (delegación de políticas). Esta cuenta miembro no puede registrar ni anular el registro de otras cuentas de administrador delegado. Puede usar la consola para registrar un máximo de 5 cuentas como administradores delegados.
Para registrar una cuenta miembro mediante programación:
Utilice el comando CLI register-delegated-administrator. Puede especificar los siguientes parámetros en su solicitud de CLI:
service-principalaccount-id
A continuación se muestra un ejemplo de una solicitud de CLI para registrar una cuenta miembro mediante programación:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Anulación del registro de una cuenta miembro
Utilice el siguiente procedimiento para eliminar el acceso administrativo AWS Backup anulando el registro de una cuenta de miembro de su AWS organización que anteriormente había sido designada como administrador delegado.
Para anular el registro de una cuenta miembro con la consola
-
Ábrala en https://console.aws.amazon.com/backup/ Consola de AWS Backup .
Debe iniciar sesión con las credenciales de la cuenta de administración. En Mi cuenta, en el panel de navegación izquierdo de la consola, elija Configuración.
En la sección Administrador delegado, elija Anular el registro de cuenta.
Elige la cuenta o cuentas para las que desea anular el registro.
En el cuadro de diálogo Anular el registro de cuenta, revise las implicaciones de seguridad y, a continuación, escriba
confirmpara completar la anulación del registro.Elija
Deregister account.
Para anular el registro de una cuenta miembro mediante programación:
Utilice el comando de la CLI deregister-delegated-administrator para anular el registro de una cuenta de administrador delegado. Puede especificar los siguientes parámetros en su solicitud de API:
service-principalaccount-id
A continuación se muestra un ejemplo de una solicitud de CLI para anular el registro de una cuenta miembro mediante programación:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Delegue AWS Backup las políticas a través de AWS Organizations
Dentro de la AWS Organizations consola, puede delegar la administración de varias políticas, incluidas las políticas de Backup.
Desde la cuenta de administración que ha iniciado sesión en la consola de AWS Organizations
Creación de un plan de copia de seguridad
Después de habilitar la administración entre cuentas, cree una política de copia de seguridad entre cuentas desde su cuenta de administración.
aviso
Al crear una política con JSON, se rechazarán los nombres de clave duplicados. El nombre de cada clave debe ser único si se incluyen varios planes, reglas o selecciones en una sola política.
Cree una política de respaldo a través de la AWS Backup consola
-
En el panel de navegación izquierdo, elija Backup policies (Políticas de copia de seguridad). En la página Backup policies (Políticas de copia de seguridad), elija Create backup policies (Crear políticas de copia de seguridad).
-
En la sección Details (Detalles), introduzca un nombre de política de copia de seguridad y proporcione una descripción.
-
En la sección Backup plans details (Detalles de planes de copia de seguridad), elija la pestaña de editor visual y haga lo siguiente:
-
En Backup plan name (Nombre del plan de copia de seguridad), introduzca un nombre.
-
En Regions (Regiones), elija una región de la lista.
-
-
En la sección Backup rule configuration (Configuración de reglas de copia de seguridad), elija Add backup rule (Agregar reglas de copia de seguridad).
El número máximo de reglas por plan de respaldo es 10. Si un plan contiene más de 10 reglas, se ignorará el plan de respaldo y no se creará ninguna copia de seguridad a partir de él.
-
En Nombre de la regla, ingrese el nombre de la regla. El nombre de la regla distingue entre mayúsculas y minúsculas y solo puede contener caracteres alfanuméricos o guiones.
-
Para Schedule (Programar), seleccione una frecuencia de copia de seguridad en la lista Frequency (Frecuencia) y elija una de las opciones de la Backup window (Ventana Copia de seguridad). Le recomendamos que elija Usar valores predeterminados de intervalo de copia de seguridad: recomendado.
-
-
En Lifecycle (Ciclo de vida), elija la configuración de ciclo de vida que desee.
-
En Backup vault name (Nombre de almacén de copia de seguridad), escriba un nombre. Este es el almacén de copia de seguridad donde se almacenarán los puntos de recuperación creados por las copias de seguridad.
Asegúrese de que la bóveda de copias de seguridad esté en todas sus cuentas. AWS Backup no comprueba esto.
-
(opcional) Elija una región de destino de la lista si desea que las copias de seguridad se copien en otra Región de AWS y añada etiquetas. Puede elegir etiquetas para los puntos de recuperación que se crean, independientemente de la configuración de copia entre regiones. También puede agregar más reglas.
-
En la sección Asignación de recursos, indique el nombre del rol AWS Identity and Access Management (IAM). Para usar el rol AWS Backup de servicio, proporcione
service-role/AWSBackupDefaultServiceRole.AWS Backup asume esta función en cada cuenta para obtener los permisos necesarios para realizar tareas de copia de seguridad y copia, incluidos los permisos de clave de cifrado, cuando proceda. AWS Backup también usa esta función para realizar eliminaciones durante el ciclo de vida.
nota
AWS Backup no valida la existencia del rol o si se puede asumir el rol.
En el caso de los planes de respaldo creados mediante la administración multicuenta, AWS Backup utilizará la configuración opcional de la cuenta de administración y sustituirá la configuración de las cuentas específicas.
Para cada cuenta a la que desee agregar políticas de copia de seguridad, debe crear los almacenes y los roles de IAM usted mismo.
-
Agrega etiquetas para seleccionar los recursos de los que deseas hacer una copia de seguridad. El número máximo de etiquetas permitido es 30.
AWS Organizations la política permite especificar 30 etiquetas como máximo si se crea un plan de respaldo mediante la política de Organizations. Se pueden incluir etiquetas adicionales utilizando múltiples asignaciones de recursos o contratando múltiples planes de respaldo.
Si el número de etiquetas supera las 30 en la misma selección de copia de seguridad, ya sea modificando la selección existente o
@@appendutilizándola, el plan de copia de seguridad dejará de ser válido y se eliminará de la cuenta local. -
En la sección Configuración avanzada, elija Windows VSS si el recurso del que desea hacer una copia de seguridad ejecuta Microsoft Windows en una instancia de Amazon EC2. Esto le permite realizar copias de seguridad de Windows VSS coherentes con la aplicación.
nota
AWS Backup actualmente solo admite copias de seguridad coherentes con las aplicaciones de los recursos que se ejecutan en Amazon EC2. No todos los tipos de instancia o aplicaciones son compatibles con las copias de seguridad de Windows VSS. Para obtener más información, consulte Creación de copias de seguridad de Windows VSS.
-
Elija Add backup plan (Agregar plan de copia de seguridad) para agregarlo a la política y, a continuación, elija Create backup policy (Crear política de copia de seguridad).
La creación de una política de copia de seguridad no protege los recursos hasta que la adjunte a las cuentas. Puede elegir el nombre de la política y ver los detalles.
El siguiente es un ejemplo de AWS Organizations política que crea un plan de respaldo. Si habilita la Copia de seguridad de Windows VSS, debe agregar permisos que le permitan realizar copias de seguridad coherentes con la aplicación, como se muestra en la sección
advanced_backup_settingsde la política.{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } } -
En la sección Targets (Destinos) elija la unidad organizativa o la cuenta a la que desea adjuntar la política y elija Attach (Adjuntar). La política también se puede agregar a unidades organizativas o cuentas individuales.
nota
Asegúrese de validar la política y de incluir todos los campos obligatorios en la política. Si hay partes de la política que no son válidas, AWS Backup ignora esas partes, pero las partes válidas de la política funcionarán sin problema. Actualmente, AWS Backup no valida la exactitud de AWS Organizations las políticas.
Si aplica una política a la cuenta de administración y una política diferente a una cuenta miembro, y ambas políticas entran en conflicto (por ejemplo, tienen periodos de retención de copias de seguridad diferentes), ambas políticas se ejecutarán sin problemas (es decir, las políticas se ejecutarán de forma independiente para cada cuenta). Por ejemplo, si la política de la cuenta de administración realiza una copia de seguridad de un volumen de Amazon EBS una vez al día y la política local realiza una copia de seguridad de un volumen de Amazon EBS una vez a la semana, se ejecutarán ambas políticas.
Si faltan campos obligatorios en la política efectiva que se aplicará a una cuenta (probablemente debido a la combinación de diferentes políticas), AWS Backup no aplica la política a la cuenta. Si algunos ajustes no son válidos, AWS Backup los ajusta.
Independientemente de la configuración de suscripción de una cuenta de miembro en un plan de respaldo creado a partir de una política de respaldo, AWS Backup utilizará la configuración de suscripción especificada en la cuenta de administración de la organización.
Cuando se adjunta una política a una unidad organizativa, cada cuenta que se une a esta unidad organizativa obtiene esta política automáticamente y cada cuenta que se quita de la unidad organizativa pierde esta política. Los planes de copia de seguridad correspondientes se eliminan automáticamente de esa cuenta.
Monitorización de actividades en varias Cuentas de AWS
Para supervisar los trabajos de copia de seguridad, copia y restauración en todas las cuentas, debe habilitar la supervisión entre cuentas. Esto le permite monitorizar las actividades de copia de seguridad en todas las cuentas desde la cuenta de administración de la organización. Después de participar, todos los trabajos de la organización que se crearon después de la suscripción están visibles. Cuando se desactiva, AWS Backup mantiene los trabajos en la vista conjunta durante 30 días (desde que se llega a un estado de finalización). Los trabajos creados después de la exclusión no son visibles y no muestran los trabajos de copia de seguridad recién creados. Para obtener instrucciones de aceptación, consulte Habilitación de la administración entre cuentas.
Para supervisar varias cuentas
-
Ábrela Consola de AWS Backup en https://console.aws.amazon.com/backup/.
Debe iniciar sesión con las credenciales de la cuenta de administración. -
En el panel de navegación izquierdo, elija Settings (Configuración) para abrir la página de administración entre cuentas.
-
En la sección Supervisión entre cuentas elija Enable (Habilitar).
Esto le permite monitorizar las actividades de copia de seguridad y restauración de todas las cuentas de su organización desde su cuenta de administración.
-
En el panel de navegación izquierdo, elija Cross-account monitoring (Supervisión entre cuentas).
-
En la página Cross-account monitoring (Supervisión entre cuentas) elija la pestaña Backup jobs (Trabajos de copia de seguridad), Restore jobs (Trabajos de restauración) o Copy jobs (Trabajos de copia) para ver todos los trabajos creados en todas sus cuentas. Puedes ver cada uno de estos trabajos por Cuenta de AWS ID y puedes ver todos los trabajos de una cuenta concreta.
-
En el cuadro de búsqueda, puede filtrar los trabajos por Account ID (ID de cuenta), Status (Estado), o Job ID (ID de trabajo).
Por ejemplo, puede elegir la pestaña Backup jobs (Trabajos de copia de seguridad) y ver todos los trabajos de copia de seguridad creados en todas sus cuentas. Puede filtrar la lista por Account ID (ID de cuenta) y ver todos los trabajos de copia de seguridad creados en esa cuenta.
Reglas de suscripción de recursos
Si el plan de respaldo de una cuenta de miembro se creó mediante una política de respaldo a nivel de organización, la configuración de AWS Backup suscripción de la cuenta de administración de la organización anulará la configuración de suscripción de esa cuenta de miembro, pero solo para ese plan de respaldo.
Si la cuenta miembro también tiene planes de copia de seguridad a nivel local creados por los usuarios, dichos planes de copia de seguridad seguirán la configuración de suscripción de la cuenta miembro, sin referencia a la configuración de suscripción de la cuenta de administración de Organizations.
Definición de políticas, sintaxis de políticas y herencia de políticas
Los siguientes temas están documentados en la Guía del usuario. AWS Organizations
-
Políticas de copia de seguridad: consulte Políticas de copia de seguridad.
-
Sintaxis de políticas: consulte Ejemplos y sintaxis de políticas de copia de seguridad.
-
Herencia para tipos de políticas de administración: consulte Herencia para tipos de políticas de administración.
