Création de copies de sauvegarde sur Comptes AWS - AWS Backup
Configuration de la sauvegarde entre comptesPlanification d'une sauvegarde entre comptesExécution d'une sauvegarde entre comptes à la demandeClés de chiffrement et copies entre comptesRestaurer une sauvegarde de l'un Compte AWS à l'autrePartage d'un coffre-fort de sauvegarde avec un autre compte AWSConfiguration de votre compte en tant que compte de destinationRemarques de sécurité pour la sauvegarde entre comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de copies de sauvegarde sur Comptes AWS

Vous pouvez en AWS Backup sauvegarder plusieurs Comptes AWS à la demande ou automatiquement dans le cadre d'un plan de sauvegarde planifié. Utilisez une sauvegarde entre comptes si vous souhaitez copier en toute sécurité vos sauvegardes sur un ou plusieurs Comptes AWS sites de votre organisation pour des raisons opérationnelles ou de sécurité. Si votre sauvegarde d'origine est supprimée par inadvertance, vous pouvez copier la sauvegarde de son compte de destination vers son compte source, puis démarrer la restauration. Pour ce faire, vous devez disposer de deux comptes appartenant à la même organisation dans le service AWS Organizations . Pour plus d'informations, consultez Didacticiel : Création et configuration d'une organisation dans le Guide de l'utilisateur Organizations.

Dans votre compte de destination, vous devez créer un coffre-fort de sauvegarde. Vous attribuez ensuite une clé gérée par le client pour chiffrer les sauvegardes dans le compte de destination, ainsi qu'une politique d'accès basée sur les ressources pour autoriser l'accès AWS Backup aux ressources que vous souhaitez copier. Dans le compte source, si vos ressources sont chiffrées à l'aide d'une clé gérée par le client, vous devez partager cette clé gérée par le client avec le compte de destination. Vous pouvez ensuite créer un plan de sauvegarde et choisir un compte de destination faisant partie de votre unité organisationnelle dans AWS Organizations.

Lorsque vous copiez une sauvegarde sur plusieurs comptes pour la première fois, AWS Backup copie la sauvegarde dans son intégralité. En général, si un service prend en charge les sauvegardes incrémentielles, les copies suivantes de cette sauvegarde dans le même compte sont incrémentielles. AWS Backup chiffre à nouveau votre copie à l'aide de la clé gérée par le client de votre coffre-fort de destination.

Prérequis

  • Avant de gérer les ressources sur plusieurs Comptes AWS AWS Backup entrées, vos comptes doivent appartenir à la même organisation dans le AWS Organizations service.

  • La plupart des ressources prises en charge par AWS Backup prennent en charge la sauvegarde entre comptes. Pour plus de détails, reportez-vous à la section Disponibilité des fonctionnalités par ressource.

  • La plupart des AWS régions prennent en charge la sauvegarde entre comptes. Pour plus de détails, reportez-vous à la section Disponibilité des fonctionnalités par Région AWS.

  • AWS Backup ne prend pas en charge les copies entre comptes pour le stockage dans des niveaux froids.

Configuration de la sauvegarde entre comptes

De quoi avez-vous besoin pour créer des sauvegardes entre comptes ?

  • Un compte source

    Le compte source est le compte où résident vos AWS ressources de production et vos sauvegardes principales.

    L'utilisateur du compte source lance l'opération de sauvegarde entre comptes. L'utilisateur ou le rôle du compte source doit disposer des autorisations d'API appropriées pour lancer l'opération. Les autorisations appropriées peuvent être la politique AWS géréeAWSBackupFullAccess, qui permet un accès complet aux AWS Backup opérations, ou une politique gérée par le client qui autorise des actions telles queec2:ModifySnapshotAttribute. Pour plus d'informations sur les types de politiques, consultez Politiques gérées par AWS Backup.

  • Un compte de destination

    Le compte de destination est le compte sur lequel vous souhaitez conserver une copie de votre sauvegarde. Vous pouvez choisir plusieurs comptes de destination. Le compte de destination doit se trouver dans la même organisation que le compte source dans AWS Organizations.

    Vous devez « Autoriser » la stratégie d'accès backup:CopyIntoBackupVault à votre coffre-fort de sauvegarde de destination. L'absence de cette politique empêchera toute tentative de copie sur le compte de destination.

  • Un compte de gestion dans AWS Organizations

    Le compte de gestion est le compte principal de votre organisation, tel que défini par AWS Organizations, que vous utilisez pour gérer la sauvegarde entre comptes sur l'ensemble de vos Comptes AWS. Pour utiliser la sauvegarde entre comptes, vous devez également activer l'approbation de service. Après avoir activé l'approbation de service, vous pouvez utiliser n'importe quel compte de l'organisation comme compte de destination. Depuis votre compte de destination, vous pouvez choisir les coffres-forts à utiliser pour la sauvegarde entre comptes.

  • Activation de la sauvegarde entre comptes dans la console AWS Backup

Pour plus d'informations sur la sécurité, consultez Remarques de sécurité pour la sauvegarde entre comptes.

Pour utiliser la sauvegarde entre comptes, vous devez activer la fonctionnalité de sauvegarde entre comptes. Vous devez ensuite « Autoriser » la stratégie d'accès backup:CopyIntoBackupVault dans votre coffre-fort de sauvegarde de destination.

Activer la sauvegarde entre comptes

  1. Connectez-vous à l'aide des informations d'identification AWS Organizations de votre compte de gestion. La sauvegarde entre comptes ne peut être activée ou désactivée qu'à l'aide de ces informations d'identification.

  2. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  3. Dans Mon compte, choisissez Paramètres.

  4. Pour Backup entre comptes, choisissez Activer.

  5. Dans Coffres de sauvegarde, choisissez votre coffre-fort de destination.

    Pour la copie entre comptes, le coffre source et le coffre de destination se trouvent dans des comptes différents. Passez au compte auquel appartient le compte de destination, si nécessaire.

  6. Dans la section Stratégie d'accès, « Autorisez » backup:CopyIntoBackupVault. Par exemple, choisissez Ajouter des autorisations, puis Autoriser l'accès à un coffre de sauvegarde depuis l'organisation. Toute action entre comptes autre que backup:CopyIntoBackupVault sera rejetée.

  7. Désormais, n'importe quel compte de votre organisation peut partager le contenu de son coffre-fort de sauvegarde avec n'importe quel autre compte de votre organisation. Pour plus d’informations, consultez Partage d'un coffre-fort de sauvegarde avec un autre compte AWS. Pour limiter les comptes autorisés à recevoir le contenu des coffres-forts de sauvegarde d'autres comptes, consultez Configuration de votre compte en tant que compte de destination.

Planification d'une sauvegarde entre comptes

Vous pouvez utiliser un plan de sauvegarde planifié pour copier des sauvegardes entre Comptes AWS.

Pour copier une sauvegarde à l'aide d'un plan de sauvegarde planifié

  1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Dans Mon compte, choisissez Plans de sauvegarde, puis Créer un plan de sauvegarde.

  3. Sur la page Créer un plan de sauvegarde, choisissez Créer un nouveau plan.

  4. Pour Nom du plan de sauvegarde, entrez le nom de votre plan de sauvegarde.

  5. Dans la section Configuration de règle de backup, ajoutez une règle de sauvegarde qui définit un calendrier de sauvegarde, une fenêtre de sauvegarde et des règles de cycle de vie. Vous pourrez ajouter d'autres règles de sauvegarde ultérieurement.

    Pour Nom de la règle, entrez un nom pour votre règle.

  6. Dans la section Planification, sous Fréquence, choisissez la fréquence à laquelle vous souhaitez que la sauvegarde soit effectuée.

  7. Pour Fenêtre de sauvegarde, choisissez Utiliser la fenêtre de sauvegarde par défaut (recommandé). Vous pouvez personnaliser la fenêtre de sauvegarde.

  8. Pour Coffre de sauvegarde, choisissez un coffre-fort dans la liste. Les points de récupération pour cette sauvegarde seront enregistrés dans ce coffre-fort. Vous pouvez créer un nouveau coffre-fort de sauvegarde.

  9. Dans la section Générer une copie – facultatif, entrez les valeurs suivantes :

    Région de destination

    Choisissez la destination Région AWS de votre copie de sauvegarde. Votre sauvegarde sera copiée dans cette région. Vous pouvez ajouter une nouvelle règle de copie par copie à une nouvelle destination.

    Copier dans le coffre-fort d'un autre compte

    Basculez pour choisir cette option. L'option devient bleue lorsqu'elle est sélectionnée. L'option ARN du coffre externe apparaît.

    ARN du coffre-fort externe

    Entrez l'Amazon Resource Name (ARN) du compte de destination. L'ARN est une chaîne qui contient l'identifiant du compte et son Région AWS. AWS Backup copiera la sauvegarde dans le coffre-fort du compte de destination. La liste Région de destination est automatiquement mise à jour en fonction de la région dans l'ARN du coffre-fort externe.

    Pour Autoriser l'accès au coffre de sauvegarde, choisissez Autoriser. Choisissez ensuite Autoriser dans l'assistant qui s'ouvre.

    AWS Backup a besoin d'autorisations pour accéder au compte externe afin de copier la sauvegarde à la valeur spécifiée. L'assistant présente l'exemple de politique suivant qui fournit cet accès.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    Transition vers le stockage à froid

    Choisissez le moment pour effectuer la transition de la copie de sauvegarde vers le stockage à froid et le moment d’expiration (suppression) de la copie. Les sauvegardes transférées vers un stockage à froid doivent être stockées dans le stockage à froid pendant au moins 90 jours. Vous ne pouvez pas modifier cette valeur après la transition d'une copie vers le stockage à froid.

    Pour consulter la liste des ressources que vous pouvez transférer vers le stockage à froid, consultez la section « Cycle de vie vers le stockage à froid » du tableau Disponibilité des fonctionnalités par ressource. L'expression de stockage à froid est ignorée pour les autres ressources.

    Expiration indique le nombre de jours après la création pour la suppression de la copie. Cette valeur doit être supérieure de 90 jours à la valeur de Transition vers le stockage à froid.

    Note

    Lorsque les sauvegardes expirent et sont marquées pour suppression dans le cadre de votre politique de cycle de vie, AWS Backup supprime les sauvegardes à un moment choisi au hasard au cours des 8 heures suivantes. Cette fenêtre permet de garantir des performances constantes.

  10. Choisissez Balises ajoutées à des points de récupération pour ajouter des balises à vos points de récupération.

  11. Pour Paramètres de sauvegarde avancés, choisissez Windows VSS pour activer les instantanés compatibles avec les applications pour les logiciels tiers sélectionnés exécutés sur EC2.

  12. Choisissez Créer un plan.

Exécution d'une sauvegarde entre comptes à la demande

Vous pouvez copier une sauvegarde Compte AWS sur un autre à la demande.

Pour copier une sauvegarde à la demande

  1. Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Pour Mon compte, choisissez Coffre de sauvegarde pour voir tous vos coffres-forts de sauvegarde répertoriés. Vous pouvez filtrer en fonction du nom ou de la balise du coffre-fort de sauvegarde.

  3. Choisissez l'ID de point de récupération de la sauvegarde que vous souhaitez copier.

  4. Choisissez Copier.

  5. Développez Détails de la sauvegarde pour voir les informations relatives au point de récupération que vous copiez.

  6. Dans la section Copier la configuration, choisissez une option dans la liste Région de destination.

  7. Choisissez Copier dans le coffre d'un autre compte. L'option devient bleue lorsqu'elle est sélectionnée.

  8. Entrez l'Amazon Resource Name (ARN) du compte de destination. L'ARN est une chaîne qui contient l'identifiant du compte et son Région AWS. AWS Backup copiera la sauvegarde dans le coffre-fort du compte de destination. La liste Région de destination est automatiquement mise à jour en fonction de la région dans l'ARN du coffre-fort externe.

  9. Pour Autoriser l'accès au coffre de sauvegarde, choisissez Autoriser. Choisissez ensuite Autoriser dans l'assistant qui s'ouvre.

    Pour créer la copie, il AWS Backup faut des autorisations pour accéder au compte source. L'assistant affiche un exemple de politique qui fournit cet accès. Cette politique est présentée ci-après.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. Pour Transition vers le stockage à froid, choisissez le moment pour effectuer la transition de la copie de sauvegarde vers le stockage à froid et le moment d'expiration (suppression) de la copie. Les sauvegardes transférées vers un stockage à froid doivent être stockées dans le stockage à froid pendant au moins 90 jours. Vous ne pouvez pas modifier cette valeur après la transition d'une copie vers le stockage à froid.

    Pour consulter la liste des ressources que vous pouvez transférer vers le stockage à froid, consultez la section « Cycle de vie vers le stockage à froid » du tableau Disponibilité des fonctionnalités par ressource. L'expression de stockage à froid est ignorée pour les autres ressources.

    Expiration indique le nombre de jours après la création pour la suppression de la copie. Cette valeur doit être supérieure de 90 jours à la valeur de Transition vers le stockage à froid.

  11. Pour Rôle IAM, spécifiez le rôle IAM (tel que le rôle par défaut) autorisé à rendre votre sauvegarde disponible pour une copie. L'acte de copie est effectué par le rôle lié au service de votre compte de destination.

  12. Choisissez Copier. Selon la taille de la ressource que vous copiez, ce processus peut prendre plusieurs heures. Une fois la tâche de copie terminée, vous verrez la copie dans l'onglet Tâches de copie du menu Tâches.

Clés de chiffrement et copies entre comptes

La clé de chiffrement des copies entre comptes dépend du type de ressource. Ressources qui ont AWS Backup Gestion complète utilisé la clé de chiffrement du coffre de sauvegarde source. Les clés KMS gérées par le client peuvent être utilisées pour le chiffrement des copies entre comptes de ces types de ressources.

Les types de ressources qui ne sont pas entièrement gérés par AWS Backup ont la même clé KMS source et la même clé KMS de ressource. La copie entre comptes avec des clés KMS AWS gérées n'est pas prise en charge pour ces types de ressources qui ne sont pas entièrement gérées par AWS Backup.

Pour obtenir de l'aide supplémentaire pour résoudre les problèmes de copie entre comptes, consultez le centre de AWS connaissances.

Lors d'une copie entre comptes, la politique de clé KMS du compte source doit autoriser le compte de destination à utiliser la politique de clé KMS.

Restaurer une sauvegarde de l'un Compte AWS à l'autre

AWS Backup ne prend pas en charge la récupération de ressources de l'un Compte AWS à l'autre. Toutefois, vous pouvez copier une sauvegarde d'un compte vers un autre, puis la restaurer dans ce compte. Par exemple, vous ne pouvez pas restaurer une sauvegarde du compte A vers le compte B, mais vous pouvez copier une sauvegarde du compte A vers le compte B, puis la restaurer dans le compte B.

La restauration d'une sauvegarde d'un compte à un autre est un processus en deux étapes.

Pour restaurer une sauvegarde d'un compte à un autre

  1. Copiez la sauvegarde de la source Compte AWS vers le compte sur lequel vous souhaitez effectuer la restauration. Pour obtenir des instructions, consultez Configuration de la sauvegarde entre comptes.

  2. Suivez les instructions appropriées à votre ressource pour restaurer la sauvegarde.

Partage d'un coffre-fort de sauvegarde avec un autre compte AWS

AWS Backup vous permet de partager un coffre-fort de sauvegarde avec un ou plusieurs comptes, ou avec l'ensemble de votre organisation AWS Organizations. Vous pouvez partager un coffre-fort de sauvegarde de destination avec un compte AWS source, un utilisateur ou un rôle IAM source.

Pour partager un coffre-fort de sauvegarde de destination

  1. Choisissez AWS Backup, puis Coffres de sauvegarde.

  2. Choisissez le nom du coffre-fort de sauvegarde que vous souhaitez partager.

  3. Dans le volet Stratégie d'accès, choisissez le menu déroulant Ajouter des autorisations.

  4. Choisissez Autoriser l'accès au niveau du compte à un coffre de sauvegarde. Vous pouvez également choisir d'autoriser l'accès au niveau de l'organisation ou au niveau du rôle.

  5. Entrez l'AccountID du compte que vous souhaitez partager avec ce coffre-fort de sauvegarde de destination.

  6. Choisissez Enregistrer la stratégie.

Vous pouvez utiliser les politiques IAM pour partager votre coffre-fort de sauvegarde.

Partage d'un coffre-fort de sauvegarde de destination avec un Compte AWS ou un rôle IAM

La politique suivante partage un coffre-fort de sauvegarde avec un compte numéro 4444555566666 et le rôle IAM SomeRole dans le compte numéro 111122223333.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
Partagez un coffre-fort de sauvegarde de destination dans lequel une unité organisationnelle se trouve AWS Organizations

La politique suivante partage un coffre-fort de sauvegarde avec les unités organisationnelles qui utilisent leur PrincipalOrgPaths.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
Partagez un coffre-fort de sauvegarde de destination avec une organisation dans AWS Organizations

La politique suivante partage un coffre-fort de sauvegarde avec l'organisation portant l'PrincipalOrgID « o-a1b2c3d4e5 ».

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

Configuration de votre compte en tant que compte de destination

Lorsque vous activez pour la première fois les sauvegardes entre comptes à l'aide de votre compte de AWS Organizations gestion, tout utilisateur d'un compte membre peut configurer son compte comme compte de destination. Nous vous recommandons de définir une ou plusieurs des politiques de contrôle des services (SCP) suivantes dans AWS Organizations afin de limiter vos comptes de destination. Pour en savoir plus sur l'attachement de politiques de contrôle des services aux AWS Organizations nœuds, consultez la section Attacher et détacher des politiques de contrôle des services.

Limitation des comptes de destination à l'aide de balises

Lorsqu'elles sont associées à une AWS Organizations racine, une unité d'organisation ou un compte individuel, cette politique limite les destinations de copies de cette racine, de cette unité d'organisation ou de ce compte aux seuls comptes dotés de coffres-forts de sauvegarde que vous avez marquésDestinationBackupVault. L'autorisation "backup:CopyIntoBackupVault" contrôle le comportement d'un coffre-fort de sauvegarde et, dans ce cas, les coffres-forts de sauvegarde de destination valides. Utilisez cette politique, ainsi que la balise correspondante appliquée aux coffres-forts de destination approuvés, pour contrôler les destinations des copies entre comptes uniquement vers les comptes approuvés et les coffres-forts de sauvegarde. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
Limitation des comptes de destination à l'aide de numéros de compte et de noms de coffres

Lorsqu'elles sont associées à une AWS Organizations racine, une unité d'organisation ou un compte individuel, cette politique limite les copies provenant de cette racine, de cette unité d'organisation ou de ce compte à deux comptes de destination uniquement. L'autorisation "backup:CopyFromBackupVault" contrôle le comportement d'un point de récupération dans le coffre-fort de sauvegarde et, dans ce cas, les destinations vers lesquelles vous pouvez copier ce point de récupération. Le coffre-fort source n'autorisera les copies vers le premier compte de destination (112233445566) que si un ou plusieurs noms de coffre-fort de sauvegarde de destination commencent par cab-. Le coffre-fort source n'autorisera les copies vers le deuxième compte de destination (123456789012) que si la destination est le seul coffre-fort de sauvegarde nommé fort-knox.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
Limitez les comptes de destination à l'aide d'unités organisationnelles dans AWS Organizations

Lorsque vous êtes attaché à une AWS Organizations racine ou à une unité d'organisation qui contient votre compte source, ou lorsqu'il est attaché à votre compte source, la politique suivante limite les comptes de destination à ces comptes au sein des deux unités d'organisation spécifiées.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

Remarques de sécurité pour la sauvegarde entre comptes

Tenez compte des éléments suivants lors de l'exécution de sauvegardes entre comptes dans AWS Backup :

  • Le coffre-fort de destination ne peut pas être le coffre-fort par défaut. Cela est dû au fait que le coffre-fort par défaut est chiffré avec une clé qui ne peut pas être partagée avec d'autres comptes.

  • Les sauvegardes entre comptes peuvent continuer à s'exécuter pendant 15 minutes au maximum après avoir désactivé la sauvegarde entre comptes. Cela est dû à une cohérence à terme et peut entraîner le démarrage ou la fin de certaines tâches entre comptes, même après avoir désactivé la sauvegarde entre comptes.

  • Si le compte de destination quitte l'organisation ultérieurement, ce compte conservera les sauvegardes. Pour éviter toute fuite de données potentielle, ajoutez une autorisation de refus à l'autorisation organizations:LeaveOrganization dans une politique de contrôle des services (SCP) attachée au compte de destination. Pour des informations détaillées sur les SCP, consultez Suppression d'un compte membre de votre organisation dans le Guide de l'utilisateur Organizations.

  • Si vous supprimez un rôle de copie lors d'une copie entre comptes, vous ne AWS Backup pouvez pas annuler le partage des instantanés du compte source une fois la tâche de copie terminée. Dans ce cas, la tâche de sauvegarde se termine, mais le statut de la tâche de copie indique Impossible d'annuler le partage de l'instantané.