Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion AWS Backup des ressources sur plusieurs Comptes AWS
Note
Avant de gérer les ressources sur plusieurs Comptes AWS AWS Backup entrées, vos comptes doivent appartenir à la même organisation dans le AWS Organizations service.
Vous pouvez utiliser la fonctionnalité de gestion entre comptes AWS Backup pour gérer et surveiller vos tâches de sauvegarde, de restauration et de copie avec Comptes AWS AWS Organizations lesquelles vous les configurez. AWS Organizationsest un service qui propose une gestion basée sur des règles pour plusieurs comptes de gestion Comptes AWS à partir d'un seul compte de gestion. Elle vous permet de standardiser la façon dont vous mettez en œuvre les stratégies de sauvegarde, en réduisant simultanément les erreurs et les efforts liés aux procédures manuelles. À partir d'une vue centralisée, vous pouvez facilement identifier les ressources dans tous les comptes qui répondent aux critères qui vous intéressent.
Si vous le configurez AWS Organizations, vous pouvez le configurer AWS Backup pour surveiller les activités de tous vos comptes en un seul endroit. Vous pouvez également créer une politique de sauvegarde et l'appliquer à certains comptes faisant partie de votre organisation et consulter les activités agrégées des tâches de sauvegarde directement depuis la AWS Backup console. Cette fonctionnalité permet aux administrateurs de sauvegarde de surveiller efficacement le statut des tâches de sauvegarde pour des centaines de comptes dans l'ensemble de leur entreprise à partir d'un seul compte principal. Les Quotas AWS Organizations s'appliquent.
Par exemple, vous définissez une stratégie de sauvegarde A qui prend les sauvegardes quotidiennes de ressources spécifiques et les conserve pendant 7 jours. Vous choisissez d'appliquer la stratégie de sauvegarde A à l'ensemble de l'organisation. (Ceci signifie que chaque compte de l'organisation bénéficie de cette politique de sauvegarde, ce qui crée un plan de sauvegarde correspondant visible dans ce compte.) Ensuite, vous créez une unité d'organisation nommée Finance et vous décidez de conserver ses sauvegardes pendant seulement 30 jours. Dans ce cas, vous définissez une stratégie de sauvegarde B, qui remplace la valeur du cycle de vie, et l’attachez à cette unité d'organisation Finance. Ceci signifie que tous les comptes de l'unité d'organisation Finance bénéficient d’un nouveau plan de sauvegarde efficace qui prend les sauvegardes quotidiennes de toutes les ressources spécifiées et les conserve pendant 30 jours.
Dans cet exemple, la politique de sauvegarde A et la politique de sauvegarde B ont été fusionnées en une seule politique de sauvegarde, qui définit la politique de protection pour tous les comptes sous l'unité d'organisation nommée Finance. Tous les autres comptes de l'organisation restent protégés par la politique de sauvegarde A. La fusion est effectuée uniquement pour les politiques de sauvegarde qui partagent le même nom de plan de sauvegarde. Vous pouvez également faire coexister les stratégies A et B dans ce compte sans les fusionner. Vous pouvez utiliser des opérateurs de fusion avancés dans la vue JSON de la console uniquement. Pour plus d'informations sur la fusion des politiques, consultez Définition des politiques, syntaxe des politiques et héritage de politique dans le Guide de l'utilisateur AWS Organizations . Pour des références et des cas d'utilisation supplémentaires, consultez le blog Gérer les sauvegardes à grande échelle dans le cadre de votre AWS Organizations utilisation AWS Backup
Consultez la section Disponibilité des fonctionnalités par AWS région pour savoir où la fonctionnalité de gestion multicomptes est disponible.
Pour utiliser la gestion inter-comptes, procédez comme suit :
-
Créez un compte de gestion dans le compte de gestion AWS Organizations et ajoutez-y des comptes.
-
Activez la fonctionnalité de gestion entre comptes dans. AWS Backup
-
Créez une politique de sauvegarde à appliquer à tous les utilisateurs Comptes AWS de votre compte de gestion.
Note
Pour les plans de sauvegarde gérés par Organizations, les paramètres d’activation des ressources dans le compte de gestion remplacent les paramètres d’un compte membre, même si un ou plusieurs comptes d’administrateur délégué sont configurés. Les comptes d’administrateur délégué sont des comptes membres dotés de fonctionnalités améliorées et ne peuvent pas remplacer les paramètres comme le fait un compte de gestion.
-
Gérez les tâches de sauvegarde, de restauration et de copie dans tous vos Comptes AWS
Table des matières
- Création d'un compte de gestion dans Organizations
- Activation de la gestion entre comptes
- Administrateur délégué
- Création d'une politique de sauvegarde
- Surveillance des activités dans plusieurs Comptes AWS
- Règles d'activation des ressources
- Définition des politiques, syntaxe des politiques et héritage de politique
Création d'un compte de gestion dans Organizations
Tout d'abord, vous devez créer votre organisation et la configurer avec AWS les comptes des membres AWS Organizations.
Pour créer un compte de gestion dans AWS Organizations et ajouter des comptes
-
Pour obtenir des instructions, veuillez consulter Didacticiel : Création et configuration d'une organisation dans le Guide de l’utilisateur AWS Organizations .
Activation de la gestion entre comptes
Avant de pouvoir utiliser la gestion entre comptes dans AWS Backup, le compte de gestion doit activer cette fonctionnalité (c'est-à-dire l'activer). Une fois que le compte de gestion a activé la gestion entre comptes, vous pouvez créer des politiques de sauvegarde qui gèrent les ressources de plusieurs comptes.
Pour activer la gestion inter-comptes
-
Ouvrez le Console AWS Backup à l'adresse https://console.aws.amazon.com/backup/
. Connectez-vous à l’aide des informations d’identification de votre compte de gestion. -
Dans le volet de navigation de gauche, choisissez Paramètres pour ouvrir la page de gestion inter-comptes.
-
Dans la section Stratégies de sauvegarde choisissez Activer.
Ceci vous donne accès à tous les comptes et vous permet de créer des stratégies qui automatisent la gestion de plusieurs comptes dans votre organisation simultanément.
-
Dans la section Surveillance inter-comptes choisissez Activer.
Ceci vous permet de surveiller les activités de sauvegarde, de copie et de restauration de tous les comptes de votre organisation à partir de votre compte de gestion.
Administrateur délégué
L'administration déléguée permet aux utilisateurs assignés à un compte membre enregistré d'effectuer la plupart des tâches AWS Backup administratives de manière pratique. Vous pouvez choisir de déléguer l'administration AWS Backup à un compte membre AWS Organizations, étendant ainsi la capacité de gestion AWS Backup depuis l'extérieur du compte de gestion et à l'ensemble de l'organisation.
Par défaut, un compte de gestion est le compte utilisé pour modifier et gérer les politiques. À l'aide de la fonctionnalité d'administrateur délégué, vous pouvez déléguer ces fonctions de gestion aux comptes membres que vous désignez. À leur tour, ces comptes peuvent gérer les politiques, en plus du compte de gestion.
Une fois qu'un compte membre a été enregistré pour l'administration déléguée, il devient un compte administrateur délégué. Notez que les comptes, et non les utilisateurs, sont désignés comme administrateurs délégués.
L'activation des comptes d'administrateur délégué permet de gérer les politiques de sauvegarde, de minimiser le nombre d'utilisateurs ayant accès au compte de gestion et de permettre le suivi des tâches entre comptes.
Le tableau ci-dessous présente les fonctions du compte de gestion, les comptes délégués en tant qu'administrateurs de Backup et les comptes membres de l' AWS organisation.
Note
Les comptes d’administrateur délégué sont des comptes membres dotés de fonctionnalités améliorées, mais ne peuvent pas remplacer les paramètres d’activation du service d’autres comptes membres comme le fait un compte de gestion.
| PRIVILÈGES | COMPTE DE GESTION | ADMINISTRATEUR DÉLÉGUÉ | COMPTE MEMBRE |
|---|---|---|---|
| Enregistrer/annuler l'enregistrement des comptes d'administrateurs délégués | Oui | Non | Non |
| Activez la gestion entre comptes | Oui | Non | Non |
| Gérez les politiques de sauvegarde entre les comptes dans AWS Organizations | Oui | Oui | Non |
| Surveiller les tâches entre comptes | Oui | Oui | Non |
Prérequis
Avant de pouvoir déléguer l'administration des sauvegardes, vous devez d'abord enregistrer au moins un compte membre dans votre AWS organisation en tant qu'administrateur délégué. Avant de pouvoir enregistrer un compte en tant qu'administrateur délégué, vous devez d'abord configurer les éléments suivants :
AWS Organizations doit être activé et configuré avec au moins un compte membre en plus de votre compte de gestion par défaut.
-
Dans la AWS Backup console, assurez-vous que les politiques de sauvegarde, la surveillance entre comptes et les fonctionnalités de sauvegarde entre comptes sont activées. Ils se trouvent sous le volet Administrateurs délégués de la AWS Backup console.
-
La surveillance entre comptes vous permet de surveiller les activités de sauvegarde sur tous les comptes de votre organisation à partir du compte de gestion, ainsi que des comptes d'administrateur délégué.
-
Facultatif : sauvegarde entre comptes, qui permet aux comptes de votre organisation de copier des sauvegardes vers d'autres comptes (pour les ressources multicomptes prises en charge par Backup).
-
Activez l'accès au service avec AWS Backup.
-
Deux étapes sont impliquées dans la configuration de l'administration déléguée. La première étape consiste à déléguer le suivi des tâches entre comptes. La deuxième étape consiste à déléguer la gestion des politiques de sauvegarde.
Enregistrement d'un compte membre en tant que compte administrateur délégué
Voici la première section : Utilisation de la AWS Backup console pour enregistrer un compte d'administrateur délégué afin de surveiller les tâches entre comptes. Pour déléguer AWS Backup des politiques, vous allez utiliser la console Organizations dans la section suivante.
Pour enregistrer un compte membre à l'aide de la AWS Backup console :
-
Ouvrez le Console AWS Backup à l'adresse https://console.aws.amazon.com/backup/
. Connectez-vous à l’aide des informations d’identification de votre compte de gestion. Sous Mon compte, dans le menu de navigation de gauche de la console, choisissez Paramètres.
Dans le volet Administrateur délégué, cliquez sur Enregistrer l'administrateur délégué ou Ajouter un administrateur délégué.
Sur la page Enregistrer l'administrateur délégué, sélectionnez le compte que vous souhaitez enregistrer, puis choisissez Enregistrer un compte.
Ce compte désigné sera désormais enregistré en tant qu'administrateur délégué, doté de privilèges administratifs lui permettant de surveiller les tâches entre les comptes de l'organisation et de consulter et de modifier les politiques (délégation de politiques). Ce compte membre ne peut pas enregistrer ou annuler l'enregistrement d'autres comptes administrateur délégué. Vous pouvez utiliser la console pour enregistrer jusqu'à 5 comptes en tant qu'administrateurs délégués.
Assurez-vous que l'administrateur délégué dispose des autorisations accordées parAWSBackupOrganizationAdminAccess.
Pour enregistrer un compte membre par programmation :
Utilisez la commande register-delegated-administrator de l'interface de ligne de commande. Vous pouvez spécifier les paramètres suivants dans votre demande d'interface de ligne de commande :
service-principalaccount-id
Vous trouverez ci-dessous un exemple de demande d'interface de ligne de commande pour enregistrer un compte membre par programmation :
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Annuler l'enregistrement d'un compte membre
Utilisez la procédure suivante pour supprimer l'accès administratif AWS Backup en annulant l'enregistrement d'un compte de membre de votre AWS organisation qui avait été précédemment désigné comme administrateur délégué.
Pour annuler l'enregistrement d'un compte membre à l'aide de la console
-
Ouvrez le Console AWS Backup à l'adresse https://console.aws.amazon.com/backup/
. Connectez-vous à l’aide des informations d’identification de votre compte de gestion. Sous Mon compte, dans le menu de navigation de gauche de la console, choisissez Paramètres.
Dans la section Administrateur délégué, cliquez sur Annuler l'enregistrement du compte.
Sélectionnez le compte ou les comptes dont vous voulez annuler l'enregistrement.
Dans la boîte de dialogue Annuler l'enregistrement du compte, examinez les implications en matière de sécurité, puis tapez
confirmpour terminer l'annulation.Sélectionnez
Deregister account.
Pour annuler l'enregistrement d'un compte membre par programmation :
Utilisez la commande d'interface de ligne de commande deregister-delegated-administrator pour annuler l'inscription d'un compte administrateur délégué. Vous pouvez spécifier les paramètres suivants dans votre demande d'API :
service-principalaccount-id
Vous trouverez ci-dessous un exemple de demande d'interface de ligne de commande pour annuler l'enregistrement d'un compte membre par programmation :
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Déléguez AWS Backup les politiques via AWS Organizations
Dans la AWS Organizations console, vous pouvez déléguer l'administration de plusieurs politiques, y compris les politiques de Backup.
À partir du compte de gestion connecté à la console AWS Organizations
Création d'une politique de sauvegarde
Après avoir activé la gestion entre comptes, créez une politique de sauvegarde entre comptes à partir de votre compte de gestion.
Avertissement
Lorsque vous créez une politique avec JSON, les noms de clé dupliqués sont rejetés. Le nom de chaque clé doit être unique si plusieurs plans, règles ou sélections sont inclus dans une seule politique.
Création d'une politique de sauvegarde via la AWS Backup console
-
Dans le volet de navigation de gauche, choisissez Stratégies de sauvegarde. Sur la page Stratégies de sauvegarde, choisissez Créer des stratégies de sauvegarde.
-
Dans la section Détails, entrez un nom de stratégie de sauvegarde et fournissez une description.
-
Dans la section Détails des plans de sauvegarde, cliquez sur l’onglet Éditeur et procédez comme suit :
-
Pour Nom du plan de sauvegarde, entrez un nom.
-
Pour Régions, choisissez une région dans la liste.
-
-
Dans la section Configuration de règle de sauvegarde, choisissez Ajouter une règle de sauvegarde.
Le nombre maximum de règles par plan de sauvegarde est de 10. Si un plan contient plus de 10 règles, le plan de sauvegarde sera ignoré et aucune sauvegarde ne sera créée à partir de celui-ci.
-
Dans Nom de la règle, entrez le nom de la règle. Le nom de la règle est sensible à la casse et ne peut contenir que des caractères alphanumériques ou des traits d'union.
-
Pour Planification, choisissez une fréquence de sauvegarde dans la liste Fréquence, puis choisissez l'une des options dans Fenêtre de sauvegarde . Nous vous recommandons de choisir Utiliser la fenêtre de sauvegarde par défaut – recommandé.
-
-
Pour Cycle de vie, choisissez les paramètres de cycle de vie de votre choix.
-
Pour Nom du coffre de sauvegarde, entrez un nom. Il s'agit du coffre-fort de sauvegarde où les points de récupération créés par vos sauvegardes seront stockés.
Assurez-vous que le coffre-fort de sauvegarde existe dans tous vos comptes. AWS Backup ne vérifie pas cela.
-
(facultatif) Choisissez une région de destination dans la liste si vous souhaitez que vos sauvegardes soient copiées vers une autre Région AWS, puis ajoutez des balises. Vous pouvez choisir des balises pour les points de récupération créés, quels que soient les paramètres de copie entre régions. Vous pouvez également ajouter d'autres règles.
-
Dans la section Affectation des ressources, indiquez le nom du rôle AWS Identity and Access Management (IAM). Pour utiliser le rôle AWS Backup de service, fournissez
service-role/AWSBackupDefaultServiceRole.AWS Backup assume ce rôle dans chaque compte afin d'obtenir les autorisations nécessaires pour effectuer des tâches de sauvegarde et de copie, y compris les autorisations relatives aux clés de chiffrement, le cas échéant. AWS Backup utilise également ce rôle pour effectuer des suppressions du cycle de vie.
Note
AWS Backup ne confirme pas que le rôle existe ou qu'il peut être assumé.
Pour les plans de sauvegarde créés par la gestion entre comptes, AWS Backup ils utiliseront les paramètres opt-in du compte de gestion et remplaceront les paramètres spécifiques aux comptes.
Pour chaque compte où vous souhaitez ajouter des politiques de sauvegarde, vous devez créer vous-même les coffres-forts et les rôles IAM.
-
Ajoutez des balises pour sélectionner les ressources que vous souhaitez sauvegarder. Le nombre maximum de balises autorisées est de 30.
AWS Organizations La politique permet de spécifier un maximum de 30 balises si un plan de sauvegarde est créé via la politique des Organizations. Des balises supplémentaires peuvent être incluses en utilisant plusieurs affectations de ressources ou en engageant plusieurs plans de sauvegarde.
Si le nombre de balises dépasse 30 dans la même sélection de sauvegarde, soit en modifiant la sélection existante, soit en l'utilisant
@@append, le plan de sauvegarde deviendra invalide et sera supprimé du compte local. -
Dans la section Paramètres avancés, choisissez Windows VSS si la ressource que vous souhaitez sauvegarder exécute Microsoft Windows sur une instance Amazon EC2. Cela vous permet d'effectuer des sauvegardes Windows VSS cohérentes avec les applications.
Note
AWS Backup prend actuellement en charge les sauvegardes cohérentes avec les applications des ressources exécutées uniquement sur Amazon EC2. Les types d'instances ou applications ne sont pas tous pris en charge pour les sauvegardes VSS Windows. Pour plus d’informations, consultez Création de sauvegardes Windows VSS.
-
Choisissez Ajouter un plan de sauvegarde pour l'ajouter à la stratégie, puis choisissez Créer une stratégie de sauvegarde.
La création d'une stratégie de sauvegarde ne protège pas vos ressources tant que vous ne l'avez pas attachée aux comptes. Vous pouvez choisir le nom de votre stratégie et afficher les détails.
Voici un exemple de AWS Organizations politique qui crée un plan de sauvegarde. Si vous activez Sauvegarde Windows VSS, vous devez ajouter des autorisations vous permettant d'effectuer des sauvegardes cohérentes avec les applications, comme indiqué dans la section
advanced_backup_settingsde la politique.{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } } -
Dans la section Cibles, choisissez l'unité d’organisation ou le compte auquel vous souhaitez attacher la stratégie, puis choisissez Attacher. La stratégie peut également être ajoutée à des unités d’organisation ou comptes spécifiques.
Note
Assurez-vous de valider votre politique et d'inclure tous les champs obligatoires dans la stratégie. Si certaines parties de la stratégie ne sont pas valides, AWS Backup ignore ces parties, mais les parties valides de la stratégie fonctionneront comme prévu. Actuellement, AWS Backup ne valide pas l'exactitude des AWS Organizations politiques.
Si vous appliquez une politique au compte de gestion et une autre à un compte membre et qu'elles entrent en conflit (par exemple, si les périodes de rétention des sauvegardes sont différentes), les deux politiques s'exécuteront sans problème (c'est-à-dire qu'elles s'appliqueront indépendamment pour chaque compte). Par exemple, si la politique du compte de gestion sauvegarde un volume Amazon EBS une fois par jour et que la politique locale sauvegarde un volume EBS une fois par semaine, les deux politiques s'exécutent.
Si des champs obligatoires sont manquants dans la politique effective qui sera appliquée à un compte (probablement en raison de la fusion entre différentes politiques), AWS Backup n'applique pas du tout la politique au compte. Si certains paramètres ne sont pas valides, il les AWS Backup ajuste.
Quels que soient les paramètres d'opt-in d'un compte membre, dans le cadre d'un plan de sauvegarde créé à partir d'une politique de sauvegarde, les paramètres d'opt-in spécifiés dans le compte de gestion de l'organisation AWS Backup seront utilisés.
Lorsque vous attachez une stratégie à une unité d’organisation, chaque compte qui rejoint cette unité d’organisation bénéficie automatiquement de cette stratégie et chaque compte supprimé de l'unité d’organisation perd cette stratégie. Les plans de sauvegarde correspondants sont automatiquement supprimés de ce compte.
Surveillance des activités dans plusieurs Comptes AWS
Pour surveiller les tâches de sauvegarde, de copie et de restauration entre les comptes, vous devez activer la surveillance inter-comptes. Ceci vous permet de surveiller les activités de sauvegarde dans tous les comptes à partir du compte de gestion de votre organisation. Après votre inscription, toutes les tâches de votre organisation qui ont été créées après l'inscription sont visibles. Lorsque vous vous désinscrivez, AWS Backup conserve les tâches dans la vue agrégée pendant 30 jours (à partir de l'état Terminus). Les tâches créées après la désinscription ne sont pas visibles et n'affichent pas les tâches de sauvegarde nouvellement créées. Pour obtenir des instructions sur l’inscription, veuillez consulter Activation de la gestion entre comptes.
Pour surveiller plusieurs comptes
-
Ouvrez le Console AWS Backup à l'adresse https://console.aws.amazon.com/backup/
. Connectez-vous à l’aide des informations d’identification de votre compte de gestion. -
Dans le volet de navigation de gauche, choisissez Paramètres pour ouvrir la page de gestion inter-comptes.
-
Dans la section Surveillance inter-comptes choisissez Activer.
Ceci vous permet de surveiller les activités de sauvegarde et de restauration de tous les comptes de votre organisation à partir de votre compte de gestion.
-
Dans le volet de navigation de gauche, choisissez Surveillance inter-comptes.
-
Sur la page Surveillance inter-comptes, cliquez sur l'onglet Tâches de sauvegarde, Tâches de restauration ou Tâches de copie pour afficher toutes les tâches créées dans l’ensemble de vos comptes. Vous pouvez voir chacune de ces tâches par Compte AWS identifiant, et vous pouvez voir toutes les tâches d'un compte donné.
-
Dans la zone de recherche, vous pouvez filtrer les tâches par ID de compte, Statut ou ID de tâche.
Par exemple, vous pouvez cliquer sur l'onglet Tâches de sauvegarde et afficher toutes les tâches de sauvegarde créées dans l’ensemble de vos comptes. Vous pouvez filtrer la liste par ID de compte et afficher toutes les tâches de sauvegarde créées dans ce compte.
Règles d'activation des ressources
Si le plan de sauvegarde d'un compte membre a été créé par une politique de sauvegarde au niveau des organisations, les paramètres d' AWS Backup opt-in du compte de gestion des organisations remplaceront les paramètres d'opt-in de ce compte membre, mais uniquement pour ce plan de sauvegarde.
Si le compte membre dispose également de plans de sauvegarde locaux créés par les utilisateurs, ces plans de sauvegarde suivront les paramètres d'acceptation du compte membre, sans référence aux paramètres d'activation du compte de gestion Organizations.
Définition des politiques, syntaxe des politiques et héritage de politique
Les sujets suivants sont documentés dans le guide de AWS Organizations l'utilisateur.
-
Stratégies de sauvegarde : consultez Stratégies de sauvegarde.
-
Syntaxe d'une politique : consultez Syntaxe et exemples d'une stratégie de balise.
-
Héritage pour les types de politique de gestion : consultez Héritage pour les types de politique de gestion.
