Creazione di un account di gestione in Organizations Abilitazione della gestione di più account Amministratore delegato Creazione di una policy di backup Monitoraggio delle attività in più Account AWS Regole di consenso esplicito delle risorse Definizione di policy, sintassi delle policy ed ereditarietà delle policy

Gestione AWS Backup delle risorse su più risorse Account AWS

Nota

Prima di gestire le risorse su più Account AWS account AWS Backup, gli account devono appartenere alla stessa organizzazione del AWS Organizations servizio.

Puoi utilizzare la funzionalità di gestione tra account AWS Backup per gestire e monitorare i processi di backup, ripristino e copia tra quelli con Account AWS AWS Organizations cui configuri. AWS Organizationsè un servizio che offre una gestione basata su policy per più utenti Account AWS da un unico account di gestione. Consente di standardizzare il modo in cui vengono implementate le policy di backup, riducendo al minimo gli errori manuali e gli sforzi contemporaneamente. Puoi identificare facilmente le risorse in tutti gli account che soddisfano i criteri a cui sei interessato attraverso un'unica visualizzazione centralizzata.

Se lo configuri AWS Organizations, puoi configurare AWS Backup il monitoraggio delle attività in tutti i tuoi account in un unico posto. Puoi anche creare una policy di backup e applicarla ad account selezionati che fanno parte della tua organizzazione e visualizzare le attività aggregate dei job di backup direttamente dalla AWS Backup console. Questa funzionalità consente agli amministratori di backup di monitorare in modo efficace lo stato dei processi di backup in centinaia di account in tutta l'azienda da un singolo account di gestione. Si applicano quote per AWS Organizations.

Ad esempio, crea una policy di backup A che richiede backup giornalieri di risorse specifiche e li conserva per 7 giorni. Applica la policy di backup A all'intera organizzazione. In questo modo a ogni account dell'organizzazione viene assegnata tale policy di backup con il corrispondente piano di backup visibile nell'account. Quindi, crea una UO denominata Finanza di cui intendi conservare i backup per soli 30 giorni. In questo caso, occorre una policy di backup B che sostituisce il valore del ciclo di vita e che deve essere collegata alla UO Finanza. Ciò significa che tutti gli account nella UO Finanza ottengono un nuovo piano di backup efficace che esegue backup giornalieri di tutte le risorse specificate e li conserva per 30 giorni.

In questo esempio, le policy di backup A e B sono state unite in una singola policy di backup, che definisce la strategia di protezione per tutti gli account nella UO denominata Finanza. Tutti gli altri account dell'organizzazione rimangono protetti dalla policy di backup A. L'unione viene eseguita solo per le policy di backup che condividono lo stesso nome del piano di backup. Puoi anche far coesistere le policy A e B in un determinato account senza alcuna unione e utilizzare operatori di unione avanzati solo nella vista JSON della console. Per informazioni dettagliate sull'unione di policy, consulta Definizione di policy, sintassi delle policy ed ereditarietà delle policy nella Guida per l'utente di AWS Organizations . Per ulteriori riferimenti e casi d'uso, consulta il blog Managing backups at scale in your AWS Organizations using AWS Backup e il video tutorial Managing backup at scale in your using. AWS Organizations AWS Backup

Consulta la sezione Disponibilità delle funzionalità per AWS regione per scoprire dove è disponibile la funzionalità di gestione tra account.

Per utilizzare la gestione di più account, è necessario attenersi alla seguente procedura:

Crea un account di gestione AWS Organizations e aggiungi account sotto l'account di gestione.
Abilita la funzionalità di gestione tra account in AWS Backup.
Crea una politica di backup da applicare a tutti gli utenti del tuo Account AWS account di gestione.

Nota
Per i piani di backup gestiti da Organizations, le impostazioni di consenso esplicito delle risorse nell'account di gestione sostituiscono quelle in un account membro, anche se sono configurati uno o più account amministratore delegato. Gli account amministratore delegato sono account membro con funzionalità avanzate e non possono sostituire le impostazioni di un account di gestione.
Gestisci i processi di backup, ripristino e copia in tutti i tuoi Account AWS.

Indice

Creazione di un account di gestione in Organizations
Abilitazione della gestione di più account
Amministratore delegato
Creazione di una policy di backup
Monitoraggio delle attività in più Account AWS
Regole di consenso esplicito delle risorse
Definizione di policy, sintassi delle policy ed ereditarietà delle policy

Creazione di un account di gestione in Organizations

Innanzitutto, devi creare la tua organizzazione e configurarla con AWS gli account dei membri in AWS Organizations.

Per creare un account di gestione in AWS Organizations e aggiungere account

Per istruzioni, consulta Tutorial: creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations .

Abilitazione della gestione di più account

Prima di poter utilizzare la gestione tra account in AWS Backup, l'account di gestione deve abilitare la funzionalità (ovvero attivarla). Dopo che l'account di gestione ha abilitato la gestione tra account, puoi creare politiche di backup per gestire le risorse in più account.

Per abilitare la gestione di più account

Aprire il file Console di backup AWS all'indirizzo https://console.aws.amazon.com/backup/. Accedi utilizzando le credenziali dell'account di gestione.
Nel riquadro di navigazione a sinistra, scegliere Impostazioni per aprire la pagina di gestione di più account.
Nella sezione Policy di backup, scegliere Abilita.

Ciò consente di accedere a tutti gli account e di creare policy che automatizzano la gestione simultanea di più account nell'organizzazione.
Nella sezione Monitoraggio di più account, scegliere Abilita.

In questo modo puoi monitorare le attività di backup, copia e ripristino di tutti gli account dell'organizzazione dall'account di gestione.

Amministratore delegato

L'amministrazione delegata offre agli utenti assegnati in un account membro registrato un modo pratico per eseguire la maggior parte delle attività AWS Backup amministrative. È possibile scegliere di delegare l'amministrazione AWS Backup a un account membro interno AWS Organizations, estendendo così la capacità di gestione AWS Backup dall'esterno dell'account di gestione a tutta l'organizzazione.

Per impostazione predefinita, un account di gestione è l'account utilizzato per modificare e gestire le policy. Utilizzando la funzionalità di amministratore delegato, puoi delegare queste funzioni di gestione agli account membro designati. A loro volta, tali account possono gestire policy, in aggiunta all'account di gestione.

Dopo che è stato correttamente registrato per l'amministrazione delegata, un account membro diventa un account amministratore delegato. Tieni presente che gli account, non gli utenti, sono designati come amministratori delegati.

L'abilitazione di account amministratore delegato consente di gestire le policy di backup, ridurre al minimo il numero di utenti con accesso all'account di gestione ed eseguire il monitoraggio dei processi su più account.

Di seguito è riportata una tabella che mostra le funzioni dell'account di gestione, gli account delegati come amministratori di Backup e gli account membri dell' AWS organizzazione.

Nota

Gli account amministratore delegato sono account membro con funzionalità avanzate che non possono sostituire le impostazioni di consenso esplicito del servizio di altri account membro, come invece possono gli account di gestione.

PRIVILEGI	GESTIONE DELL'ACCOUNT	AMMINISTRATORE DELEGATO	ACCOUNT MEMBRO
Registrare/annullare la registrazione degli account amministratore delegato	Sì	No	No
Abilita la gestione tra account	Sì	No	No
Gestisci le politiche di backup tra gli account in AWS Organizations	Sì	Sì	No
Monitorare processi in più account	Sì	Sì	No

Prerequisiti

Prima di poter delegare l'amministrazione dei backup, è necessario registrare almeno un account membro nell' AWS organizzazione come amministratore delegato. Per poter registrare un account come amministratore delegato, è necessario innanzitutto configurare quanto segue:

AWS Organizations deve essere abilitato e configurato con almeno un account membro oltre all'account di gestione predefinito.
Nella AWS Backup console, assicurati che le politiche di backup, il monitoraggio tra account e le funzionalità di backup tra account siano attivate. Queste si trovano sotto il riquadro Amministratori delegati nella console. AWS Backup
- Il monitoraggio di più account consente di monitorare l'attività di backup su tutti gli account dell'organizzazione dall'account di gestione, nonché dagli account amministratore delegato.
- Facoltativo: backup su più account, che consente agli account dell'organizzazione di copiare i backup su altri account (per le risorse tra account supportate da Backup).
- Abilita AWS Backup l'accesso al servizio con.

La configurazione dell'amministrazione delegata comprende due fasi. La prima fase consiste nel delegare il monitoraggio dei processi in più account. La seconda fase consiste nel delegare la gestione delle policy di backup.

Registrazione di un account membro come un account amministratore delegato

Questa è la prima sezione: Utilizzo della AWS Backup console per registrare un account amministratore delegato per monitorare i lavori tra account. Per delegare AWS Backup le politiche, utilizzerai la console Organizations nella sezione successiva.

Per registrare un account membro utilizzando la AWS Backup Console:

Apri il file Console di backup AWS all'indirizzo https://console.aws.amazon.com/backup/. Accedi utilizzando le credenziali dell'account di gestione.
In Il mio account, nella navigazione a sinistra della console, scegli Impostazioni.
Nel riquadro Amministratore delegato, fai clic su Registra amministratore delegato o Aggiungi amministratore delegato.
Nella pagina Registra amministratore delegato, seleziona l'account che desideri registrare, quindi scegli Registra account.

Questo account designato verrà ora registrato come un amministratore delegato, con privilegi amministrativi per monitorare i processi tra account all'interno dell'organizzazione, nonché visualizzare e modificare policy (delega di policy). Questo account membro non può registrare o annullare la registrazione di altri account amministratore delegato. Puoi utilizzare la console per registrare fino a cinque account come amministratori delegati.

Assicurati che l'amministratore delegato disponga delle autorizzazioni concesse da. AWSBackupOrganizationAdminAccess

Per registrare un account membro in modo programmatico:

Utilizza il comando della CLI register-delegated-administrator. Puoi specificare i seguenti parametri nella richiesta CLI:

service-principal
account-id

Di seguito è riportato un esempio di richiesta CLI per registrare un account membro in modo programmatico:


aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

Annullamento della registrazione di un account membro

Utilizzate la seguente procedura per rimuovere l'accesso amministrativo AWS Backup annullando la registrazione di un account membro AWS dell'organizzazione che era stato precedentemente designato come amministratore delegato.

Per annullare la registrazione di un account membro utilizzando la console

Aprire il file all'indirizzo https://console.aws.amazon.com/backup/. Console di backup AWS Accedi utilizzando le credenziali dell'account di gestione.
In Il mio account, nella navigazione a sinistra della console, scegli Impostazioni.
Nella sezione Amministratore delegato, fai clic su Annulla registrazione dell'account.
Scegli gli account di cui desideri annullare la registrazione.
Nella finestra di dialogo Annulla registrazione dell'account, esamina le implicazioni sulla sicurezza, quindi digita confirm per completare l'annullamento della registrazione.
Scegli Deregister account.

Per annullare la registrazione di un account membro in modo programmatico:

Utilizza il comando CLI deregister-delegated-administrator per annullare la registrazione di un account amministratore delegato. Puoi specificare i seguenti parametri nella richiesta API:

service-principal
account-id

Di seguito è riportato un esempio di una richiesta CLI per annullare la registrazione di un account membro in modo programmatico:


aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

Delega le AWS Backup politiche tramite AWS Organizations

All'interno della AWS Organizations console, è possibile delegare l'amministrazione di più policy, incluse le policy di Backup.

Dall'account di gestione che ha eseguito l'accesso alla console di AWS Organizations, puoi creare, visualizzare o eliminare una policy di delega basata sulle risorse per l'organizzazione. Per la procedura di delega delle policy, consulta Creazione di una policy di delega basata sulle risorse nella Guida per l'utente di AWS Organizations .

Creazione di una policy di backup

Dopo aver abilitato la gestione di più account, crea una policy di backup di più account dall'account di gestione.

avvertimento

Quando crei una policy con JSON, i nomi di chiave duplicati verranno rifiutati. Il nome di ogni chiave deve essere univoco se in un'unica politica sono inclusi più piani, regole o selezioni.

Crea una policy di backup tramite la console AWS Backup

Nel riquadro di navigazione a sinistra selezionare Policy. Nella pagina Policy di backup, scegliere Crea policy di backup.
Nella sezione Dettagli, immettere il nome della policy di backup e fornire una descrizione.
Nella sezione Dettagli dei piani di backup, scegliere la scheda Editor visivo ed effettuare le seguenti operazioni:
1. In Nome del piano di Backup, immettere un nome.
2. In Regioni, scegliere una regione dall'elenco.
Nella sezione Configurazione regola di Backup, scegliere Aggiungi regola di Backup.

Il numero massimo di regole per piano di backup è 10. Se un piano contiene più di 10 regole, il piano di backup verrà ignorato e non verrà creato alcun backup.
1. In Nome regola, immettere un nome per la regola. Il nome della regola fa distinzione tra maiuscole e minuscole e può contenere solo caratteri alfanumerici o trattini.
2. In Pianifica,scegliere una frequenza di backup nell'elenco Frequenza e selezionare una delle opzioni di Finestra di Backup. Ti consigliamo di scegliere Utilizza le impostazioni predefinite della finestra di backup - scelta consigliata.
In Ciclo di vita, scegliere le impostazioni del ciclo di vita desiderate.
In Nome del vault di Backup, immettere un nome. Questo è il vault di backup in cui verranno archiviati i punti di ripristino creati dai backup.

Assicurati che l'archivio di backup esista in tutti i tuoi account. AWS Backup non verifica questo.
(opzionale) Scegli una regione di destinazione dall'elenco se desideri che i tuoi backup vengano copiati in un'altra Regione AWS e aggiungi tag. Puoi scegliere i tag per i punti di ripristino creati, indipendentemente dalle impostazioni di copia in più regioni. Puoi inoltre aggiungere altre regole.
Nella sezione Assegnazione delle risorse, fornisci il nome del ruolo AWS Identity and Access Management (IAM). Per utilizzare il ruolo AWS Backup di servizio, fornisciservice-role/AWSBackupDefaultServiceRole.

AWS Backup assume questo ruolo in ciascun account per ottenere le autorizzazioni necessarie per eseguire processi di backup e copia, incluse le autorizzazioni relative alle chiavi di crittografia, ove applicabili. AWS Backup utilizza questo ruolo anche per eseguire eliminazioni del ciclo di vita.

Nota
AWS Backup non verifica che il ruolo esista o se il ruolo possa essere assunto.
Per i piani di backup creati dalla gestione tra più account, AWS Backup utilizzerà le impostazioni di attivazione dell'account di gestione e sostituirà le impostazioni degli account specifici.
Per ciascun account a cui desideri aggiungere policy di backup, devi creare i vault e i ruoli IAM autonomamente.
Aggiungi tag per selezionare le risorse di cui desideri eseguire il backup. Il numero massimo di tag consentito è 30.

AWS Organizations la policy consente di specificare un massimo di 30 tag se viene creato un piano di backup tramite la policy Organizations. È possibile includere tag aggiuntivi utilizzando più assegnazioni di risorse o utilizzando più piani di backup.

Se il numero di tag è superiore a 30 nella stessa selezione di backup, modificando o utilizzando la selezione esistente@@append, il piano di backup non sarà più valido e verrà rimosso dall'account locale.
Nella sezione Impostazioni avanzate, scegli Windows VSS se la risorsa di cui stai eseguendo il backup esegue Microsoft Windows su un'istanza Amazon EC2. Ciò consente di eseguire backup di Windows VSS coerenti con le applicazioni.

Nota
AWS Backup attualmente supporta backup coerenti con le applicazioni di risorse in esecuzione solo su Amazon EC2. Non tutti i tipi di istanze o applicazioni sono supportati per i backup di Windows VSS. Per ulteriori informazioni, consulta Creazione di backup Windows VSS.

Scegliere Aggiungi piano di backup per aggiungerlo alla policy, quindi scegliere Crea policy di backup.

La creazione di una policy di backup non protegge le risorse finché non vengono collegate agli account. Puoi scegliere il nome della policy e visualizzare i dettagli.

Di seguito è riportato un esempio di AWS Organizations policy che crea un piano di backup. Se si abilita il backup di Windows VSS, è necessario aggiungere le autorizzazioni che consentano di eseguire backup coerenti con le applicazioni, come illustrato nella sezione advanced_backup_settings della policy.


{
  "plans": {
    "PiiBackupPlan": {
      "regions": {
        "@@append":[
          "us-east-1",
          "eu-north-1"
        ]
      },
      "rules": {
        "Hourly": {
          "schedule_expression": {
            "@@assign": "cron(0 0/1 ? * * *)"
          },
          "start_backup_window_minutes": {
            "@@assign": "60"
          },
          "complete_backup_window_minutes": {
            "@@assign": "604800"
          },
          "target_backup_vault_name": {
            "@@assign": "FortKnox"
          },
          "recovery_point_tags": {
            "owner": {
              "tag_key": {
                "@@assign": "Owner"
              },
              "tag_value": {
                "@@assign": "Backup"
              }
            }
          },
          "lifecycle": {
            "delete_after_days": {
              "@@assign": "365"
            },
            "move_to_cold_storage_after_days": {
              "@@assign": "180"
            }
          },
          "copy_actions": {
            "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : {
            "target_backup_vault_arn" : {
            "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault"  },
              "lifecycle": {
                "delete_after_days": {
                  "@@assign": "365"
                },
                "move_to_cold_storage_after_days": {
                  "@@assign": "180"
                }
              }
            }
          }
        }
      },
      "selections": {
        "tags": {
          "SelectionDataType": {
            "iam_role_arn": {
              "@@assign": "arn:aws:iam::$account:role/MyIamRole"
            },
            "tag_key": {
              "@@assign": "dataType"
            },
            "tag_value": {
              "@@assign": [
                "PII",
                "RED"
              ]
            }
          }
        }
      },
      "backup_plan_tags": {
        "stage": {
          "tag_key": {
            "@@assign": "Stage"
          },
          "tag_value": {
            "@@assign": "Beta"
          }
        }
      }
    }
  }
}

Nella sezione Destinazioni, scegliere l'unità organizzativa o l'account a cui si desidera collegare la policy e selezionare Collega. La policy può anche essere aggiunta a singoli account o unità organizzative.

Nota
Assicurati di convalidare la policy e di includere tutti i campi obbligatori nella policy. Se parti della policy non sono valide, AWS Backup le ignora, mentre quelle valide funzioneranno come previsto. Attualmente, AWS Backup non convalida la correttezza AWS Organizations delle politiche.
Se si applica una policy all'account di gestione e una policy diversa a un account membro e tali policy sono in conflitto (ad esempio, i periodi di conservazione dei backup sono diversi), entrambe le policy verranno eseguite senza problemi (ovvero, le policy verranno eseguite in maniera indipendente per ciascun account). Ad esempio, se la policy dell'account di gestione esegue il backup di un volume Amazon EBS una volta al giorno e la policy locale esegue il backup di un volume EBS una volta alla settimana, entrambi le policy verranno eseguite.
Se i campi obbligatori non sono presenti nella policy effettiva che verrà applicata a un account, probabilmente a causa dell'unione tra policy diverse, AWS Backup non applica alcuna policy all'account. Se alcune impostazioni non sono valide, le AWS Backup regola.

Indipendentemente dalle impostazioni di attivazione in un account membro in un piano di backup creato in base a una politica di backup, AWS Backup utilizzerà le impostazioni di attivazione specificate nell'account di gestione dell'organizzazione.

Quando si collega una policy a un'unità organizzativa, ogni account che ne fa parte la ottiene automaticamente, mentre ogni account rimosso dall'unità organizzativa la perde. I piani di backup corrispondenti vengono eliminati automaticamente da tale account.

Monitoraggio delle attività in più Account AWS

Per monitorare i processi di backup, copia e ripristino in più account, devi abilitare il monitoraggio di più account. Ciò consente di monitorare le attività di backup in tutti gli account dall'account di gestione dell'organizzazione. Dopo l'attivazione, tutti i processi dell'organizzazione creati sono visibili. Quando si disattiva, AWS Backup mantiene i processi nella visualizzazione aggregata per 30 giorni (dal raggiungimento di uno stato terminale). I processi creati dopo la disattivazione non sono visibili e non mostrano i processi di backup appena creati. Per le istruzioni di attivazione, consulta Abilitazione della gestione di più account.

Per monitorare più account

Apri il file all' Console di backup AWS indirizzo https://console.aws.amazon.com/backup/. Accedi utilizzando le credenziali dell'account di gestione.
Nel riquadro di navigazione a sinistra, scegliere Impostazioni per aprire la pagina di gestione di più account.
Nella sezione Monitoraggio di più account, scegliere Abilita.

In questo modo puoi monitorare le attività di backup e ripristino di tutti gli account dell'organizzazione dall'account di gestione.
Nel riquadro di navigazione a sinistra, selezionare Monitoraggio di più account.
Nella pagina Monitoraggio di più account, scegliere la scheda Lavori di Backup, Lavori di ripristino o Copia attività per visualizzare tutti i processi creati in tutti gli account. Puoi vedere ognuno di questi lavori per Account AWS ID e puoi vedere tutti i lavori in un determinato account.
Nella casella di ricerca è possibile filtrare i processi in base all'ID account, Stato o ID lavoro.

Ad esempio, puoi scegliere la scheda Lavori di Backup e visualizzare tutti i processi di backup creati in tutti gli account. Puoi filtrare l'elenco in base all' ID account e visualizzare tutti i processi di backup creati in tale account.

Regole di consenso esplicito delle risorse

Se il piano di backup di un account membro è stato creato in base a una politica di backup a livello di organizzazione, le impostazioni di AWS Backup attivazione per l'account di gestione Organizations sostituiranno le impostazioni di opt-in di quell'account membro, ma solo per quel piano di backup.

Se l'account membro dispone anche di piani di backup a livello locale creati dagli utenti, questi seguiranno le impostazioni di consenso esplicito dell'account membro, senza riferimento alle impostazioni di consenso esplicito dell'account di gestione di Organizations.

Definizione di policy, sintassi delle policy ed ereditarietà delle policy

I seguenti argomenti sono documentati nella Guida per l'utente. AWS Organizations

Policy di backup: consulta Policy di backup.
Sintassi delle policy: consulta Sintassi ed esempi delle policy di backup.
Ereditarietà per i tipi di policy di gestione: consulta Comprendere l'ereditarietà delle policy di gestione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlli e correzioni

AWS Backup e AWS CloudFormation