여러 곳에 걸친 AWS Backup 리소스 관리 AWS 계정

참고

여러 AWS 계정 핀의 AWS Backup리소스를 관리하려면 먼저 계정이 AWS Organizations 서비스의 동일한 조직에 속해야 합니다.

의 교차 계정 관리 기능을 사용하여 구성한 전체의 백업, 복원 및 복사 작업을 관리하고 AWS 계정 모니터링할 수 있습니다. AWS Backup AWS OrganizationsAWS Organizations단일 관리 AWS 계정 계정에서 여러 계정에 대한 정책 기반 관리를 제공하는 서비스입니다. 백업 정책을 구현하는 방식을 표준화하여 수동 오류와 노력을 동시에 최소화할 수 있습니다. 고려하고 있는 기준을 충족하는 모든 계정의 리소스를 중앙 보기에서 쉽게 식별할 수 있습니다.

설정하면 AWS Organizations한 곳에서 모든 계정의 활동을 AWS Backup 모니터링하도록 구성할 수 있습니다. 또한 백업 정책을 생성하여 조직에 속한 선택된 계정에 적용하고 AWS Backup 콘솔에서 직접 전체 백업 작업 활동을 볼 수 있습니다. 이 기능을 이용해 백업 관리자는 단일 관리 계정에서 엔터프라이즈 전체에 걸쳐 있는 수백 개 계정의 백업 작업 상태를 효과적으로 모니터링할 수 있습니다. AWS Organizations 할당량이 적용됩니다.

예를 들어 특정 리소스에 대해 일일 백업을 수행하고 7일 동안 백업을 보관하는 백업 정책 A를 정의합니다. 백업 정책 A가 조직 전체에 적용되도록 선택합니다. (즉, 조직의 각 계정에 해당 백업 정책이 적용되므로 계정에 표시된 해당 백업 계획이 생성됩니다.) 그런 다음 Finance라는 OU를 생성하고 백업을 30일 동안만 보관하기로 결정합니다. 이 경우 수명 주기 값을 재정의하는 백업 정책 B를 정의하고 이를 Finance OU에 연결합니다. 그러면 지정된 모든 리소스에 대해 일일 백업을 수행하고 백업을 30일 동안 보관하는 새로운 효과적인 백업 계획이 Finance OU 아래의 모든 계정에 적용됩니다.

이 예에서는 백업 정책 A 및 백업 정책 B가 하나의 단일 백업 정책으로 병합되므로 Finance라는 OU 아래의 모든 계정에 대해 보호 전략이 정의됩니다. 조직의 기타 모든 계정은 백업 정책 A에 의해 여전히 보호됩니다. 병합은 동일한 백업 계획 이름을 공유하는 백업 정책의 경우에만 가능합니다. 또한 병합 없이 해당 계정에서 정책 A와 정책 B가 공존하도록 할 수 있습니다. 콘솔의 JSON 보기에서만 고급 병합 연산자를 사용할 수 있습니다. 병합 정책에 대한 자세한 내용은 정책, 정책 구문, 정책 상속 정의의 AWS Organizations 사용 설명서를 참조하세요. 추가 참조 및 사용 사례는 사용 중인 대규모의 백업 관리 블로그 AWS Backup및 AWS Organizations 사용 중인 대규모 백업 관리 동영상 자습서를 참조하십시오. AWS Organizations AWS Backup

교차 계정 관리 기능을 어디에서 사용할 수 있는지 알아보려면 AWS 지역별 기능 가용성을 참조하십시오.

교차 계정 관리를 사용하려면 다음 단계를 수행해야 합니다.

1. 에서 AWS Organizations 관리 계정을 만들고 관리 계정 아래에 계정을 추가하십시오.

2. 에서 교차 계정 관리 기능을 활성화하십시오. AWS Backup

3. 관리 계정 내 모든 AWS 계정 사용자에게 적용할 백업 정책을 만드세요.

   참고

   Organizations에서 관리하는 백업 계획의 경우 위임된 관리자 계정을 하나 이상 구성했더라도 관리 계정의 리소스 옵트인 설정이 멤버 계정의 설정을 재정의합니다. 위임된 관리자 계정은 향상된 기능을 갖춘 멤버 계정이며 관리 계정처럼 설정을 재정의할 수 없습니다.

4. 모든 위치에서 백업, 복원 및 복사 작업을 관리할 수 있습니다 AWS 계정.

조직 내 관리 계정 생성

먼저 조직을 만들고 AWS 구성원 계정을 사용하여 조직을 구성해야 AWS Organizations합니다.

에서 AWS Organizations 관리 계정을 만들고 계정을 추가하려면

• 지침은 AWS Organizations 사용 설명서의 자습서: 조직 생성 및 구성을 참조하세요.

교차 계정 관리 활성화

에서 AWS Backup교차 계정 관리를 사용하려면 먼저 이 기능을 활성화 (즉, 옵트인) 해야 합니다. 기능을 활성화한 후 여러 계정의 동시 관리를 자동화할 수 있는 백업 정책을 생성할 수 있습니다.

교차 계정 관리를 활성화하려면

1. https://console.aws.amazon.com/backup/ AWS Backup 콘솔 에서 여십시오. 관리 계정의 보안 인증 정보를 사용하여 로그인해야 합니다.

2. 왼쪽 탐색 창에서 설정을 선택하여 교차 계정 관리 페이지를 엽니다.

3. 백업 정책 섹션에서 활성화를 선택합니다.

   이렇게 하면 모든 계정에 액세스할 수 있으며 동시에 조직의 여러 계정 관리를 자동화하는 정책을 생성할 수 있습니다.

4. 교차 계정 모니터링 섹션에서 활성화를 선택합니다.

   이렇게 하면 관리 계정에서 조직에 있는 모든 계정의 백업, 복사 및 복원 활동을 모니터링할 수 있습니다.

위임된 관리자

위임 관리를 사용하면 등록된 회원 계정에 할당된 사용자가 대부분의 AWS Backup 관리 작업을 편리하게 수행할 수 있습니다. 에서 AWS Organizations구성원 계정에 관리를 AWS Backup 위임하도록 선택하여 관리 계정 AWS Backup 외부에서 관리 권한을 조직 전체로 확장할 수 있습니다.

기본적으로 관리 계정은 정책을 편집하고 관리하는 데 사용되는 계정입니다. 위임된 관리자 기능을 사용하면 이러한 관리 기능을 지정한 멤버 계정에 위임할 수 있습니다. 그러면 해당 계정은 관리 계정 외에도 정책을 관리할 수 있습니다.

멤버 계정이 위임 관리를 위해 성공적으로 등록되면 해당 계정은 위임된 관리자 계정이 됩니다. 사용자가 아닌 계정이 위임된 관리자로 지정된다는 점에 유의하세요.

위임된 관리자 계정을 활성화하면 백업 정책을 관리하는 옵션이 허용되고, 관리 계정에 액세스할 수 있는 사용자 수가 최소화되며, 작업의 교차 계정 모니터링이 가능해집니다.

다음은 관리 계정, Backup 관리자로 위임된 계정, AWS 조직 내 구성원인 계정의 기능을 보여주는 표입니다.

참고

위임된 관리자 계정은 향상된 기능을 갖춘 멤버 계정이지만 관리 계정처럼 다른 멤버 계정의 서비스 옵트인 설정을 재정의할 수 없습니다.

권한	관리 계정	위임된 관리자	멤버 계정
위임된 관리자 계정 등록/등록 취소	예	아니요	아니요
계정 전반의 백업 정책을 관리할 수 있습니다. AWS Organizations	예	예	아니요
교차 계정 작업 모니터링	예	예	아니요

필수 조건

백업 관리를 위임하려면 먼저 AWS 조직의 구성원 계정을 하나 이상 위임 관리자로 등록해야 합니다. 계정을 위임된 관리자로 등록하려면 먼저 다음을 구성해야 합니다.

• AWS Organizations 기본 관리 계정 외에 하나 이상의 구성원 계정으로 활성화하고 구성해야 합니다.

• AWS Backup 콘솔에서 백업 정책, 계정 간 모니터링 및 계정 간 백업 기능이 켜져 있는지 확인하십시오. 이러한 항목은 콘솔의 위임된 관리자 창 아래에 있습니다. AWS Backup

  • 교차 계정 모니터링을 사용하여 관리 계정과 위임된 관리자 계정에서 조직의 모든 계정에 대한 백업 활동을 모니터링할 수 있습니다.

  • 선택 사항: 교차 계정 백업 - 이를 사용하면 조직의 계정이 백업을 다른 계정에 복사할 수 있습니다(백업이 지원되는 교차 계정 리소스의 경우).

  • 를 사용하여 서비스 액세스를 활성화합니다 AWS Backup.

위임된 관리를 설정하기 위해서는 두 가지 단계가 필요합니다. 첫 번째 단계는 교차 계정 작업 모니터링을 위임하는 것입니다. 두 번째 단계는 백업 정책 관리를 위임하는 것입니다.

멤버 계정을 위임된 관리자 계정으로 등록

첫 번째 섹션은 다음과 같습니다. AWS Backup 콘솔을 사용하여 계정 간 작업 모니터링을 위한 위임된 관리자 계정 등록 AWS Backup 정책을 위임하려면 다음 섹션의 Organizations 콘솔을 사용합니다.

AWS Backup 콘솔을 사용하여 멤버 계정을 등록하려면:

1. https://console.aws.amazon.com/backup/ AWS Backup 콘솔 에서 여십시오. 관리 계정의 보안 인증 정보를 사용하여 로그인해야 합니다.

2. 콘솔 왼쪽 탐색 창의 내 계정에서 설정을 선택합니다.

3. 위임된 관리자 창에서 위임된 관리자 등록 또는 위임된 관리자 추가를 클릭합니다.

4. 위임된 관리자 등록 페이지에서 등록하려는 계정을 선택한 다음, 계정 등록을 선택합니다.

이제 이 위임된 계정은 조직 내 계정 전체의 작업을 모니터링하고 정책을 보고 편집(정책 위임)할 수 있는 관리자 권한을 가진 위임된 관리자로 등록됩니다. 이 멤버 계정은 다른 위임된 관리자 계정을 등록하거나 등록 취소할 수 없습니다. 콘솔을 사용하여 최대 5개의 계정을 위임된 관리자로 등록할 수 있습니다.

프로그래밍 방식으로 멤버 계정을 등록하려면

register-delegated-administrator CLI 명령을 사용합니다. CLI 요청에서 다음과 같은 파라미터를 지정할 수 있습니다.

• service-principal

• account-id

아래는 프로그래밍 방식으로 멤버 계정을 등록하기 위한 CLI 요청의 예입니다.

aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

멤버 계정 등록 취소

이전에 위임된 관리자로 지정된 AWS 조직의 구성원 계정을 등록 AWS Backup 취소하여 관리 액세스 권한을 제거하려면 다음 절차를 따르십시오.

콘솔을 사용하여 멤버 계정을 등록 취소하려면

1. https://console.aws.amazon.com/backup/ AWS Backup 콘솔 에서 엽니다. 관리 계정의 보안 인증 정보를 사용하여 로그인해야 합니다.

2. 콘솔 왼쪽 탐색 창의 내 계정에서 설정을 선택합니다.

3. 위임된 관리자 섹션에서 계정 등록 취소를 선택합니다.

4. 등록 취소할 계정을 선택합니다.

5. 계정 등록 취소 대화 상자에서 보안에 미치는 영향을 검토한 다음, confirm을 입력하여 등록 취소를 완료합니다.

6. Deregister account를 선택합니다.

프로그래밍 방식으로 멤버 계정을 등록 취소하려면

CLI 명령 deregister-delegated-administrator를 사용하여 위임된 관리자 계정의 등록을 취소합니다. API 요청에서 다음과 같은 파라미터를 지정할 수 있습니다.

• service-principal

• account-id

아래는 프로그래밍 방식으로 멤버 계정을 등록 취소하기 위한 CLI 요청의 예입니다.

aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

를 통해 AWS Backup 정책을 위임하세요. AWS Organizations

AWS Organizations 콘솔 내에서 Backup 정책을 비롯한 여러 정책의 관리를 위임할 수 있습니다.

AWS Organizations 콘솔에 로그인한 관리 계정에서 조직의 리소스 기반 위임 정책을 생성하거나, 보거나, 삭제할 수 있습니다. 정책을 위임하는 단계는 AWS Organizations 사용 설명서의 리소스 기반 위임 정책 생성을 참조하세요.

백업 정책 생성

교차 계정 관리를 활성화한 후에는 관리 계정에서 교차 계정 백업 정책을 만듭니다.

백업 정책을 생성하려면

1. 왼쪽 탐색 창에서 백업 정책을 선택합니다. 백업 정책 페이지에서 백업 정책 생성을 선택합니다.

2. 세부 정보 섹션에서 백업 정책 이름을 입력하고 설명을 입력합니다.

3. 백업 계획 세부 정보 섹션에서 시각적 편집기 탭을 선택하고 다음을 수행합니다.

   1. 백업 계획 이름에 이름을 입력합니다.

   2. 리전 목록에서 리전을 선택합니다.

4. 백업 규칙 구성 섹션에서 백업 규칙 추가를 선택합니다.

   1. 규칙 이름에 규칙 이름을 입력합니다. 규칙 이름은 대소문자를 구분하며 영숫자 문자 또는 하이픈만 사용할 수 있습니다.

   2. 일정의 빈도 목록에서 백업 빈도를 선택하고 백업 기간 옵션 중 하나를 선택합니다. 백업 기간 기본값 사용—권장을 선택하는 것이 좋습니다.

5. 수명 주기에서 원하는 수명 주기 설정을 선택합니다.

6. 백업 저장소 이름에 이름을 입력합니다. 이는 백업에 의해 생성된 복구 시점이 저장되는 백업 저장소입니다.

   모든 계정에 백업 볼트가 있는지 확인하세요. AWS Backup 는 이를 확인하지 않습니다.

7. (선택 사항) 백업을 다른 AWS 리전지역으로 복사하려면 목록에서 대상 지역을 선택하고 태그를 추가합니다. 교차 리전 복사 설정과 상관없이, 생성된 복구 시점에 대한 태그를 선택할 수 있습니다. 또한 규칙을 더 추가할 수 있습니다.

8. 리소스 할당 섹션에서 AWS Identity and Access Management (IAM) 역할의 이름을 입력합니다. AWS Backup 서비스 역할을 사용하려면 다음을 제공하십시오service-role/AWSBackupDefaultServiceRole.

   AWS Backup 각 계정에서 이 역할을 맡아 해당하는 경우 암호화 키 권한을 포함하여 백업 및 복사 작업을 수행할 수 있는 권한을 얻습니다. AWS Backup 또한 이 역할을 사용하여 수명 주기 삭제를 수행합니다.

   참고

   AWS Backup 역할이 존재하는지 또는 역할을 수임할 수 있는지 여부를 확인하지 않습니다.

   교차 계정 관리를 통해 생성된 백업 계획의 경우 AWS Backup 관리 계정의 옵트인 설정을 사용하고 설정별 계정을 재정의합니다.

   백업 정책을 추가하려는 각 계정에 대해 저장소 및 IAM 역할을 직접 생성해야 합니다.

9. 원하는 경우 백업 계획에 태그를 추가합니다. 허용되는 최대 태그 수는 20개입니다.

10. 백업하려는 리소스가 Amazon EC2 인스턴스에서 Microsoft Windows를 실행하는 경우 고급 설정 섹션에서 Windows VSS를 선택합니다. 이렇게 하면 애플리케이션 일관성 Windows VSS 백업을 수행할 수 있습니다.

    참고

    AWS Backup 현재 Amazon EC2에서 실행되는 애플리케이션 정합성이 보장되는 리소스 백업만 지원합니다. 모든 인스턴스 유형 또는 애플리케이션이 Windows VSS 백업에 대해 지원되는 것은 아닙니다. 자세한 정보는 Windows VSS 백업 생성을 참조하세요.

    참고

    AWS Organizations 정책을 통해 Organizations 정책을 통해 백업 계획을 생성할 경우 최대 20개의 태그를 지정할 수 있습니다. 여러 리소스 할당을 활용하거나 JSON을 통해 여러 백업 계획을 적용하면 추가 태그를 포함할 수 있습니다.

11. 백업 계획 추가를 선택하여 이를 정책에 추가한 다음 백업 정책 생성을 선택합니다.

    백업 정책을 생성해도 백업 정책을 계정에 연결하지 않으면 리소스가 보호되지 않습니다. 정책 이름을 선택하고 세부 정보를 볼 수 있습니다.

    다음은 백업 계획을 생성하는 예제 AWS Organizations 정책입니다. Windows VSS 백업을 활성화할 경우, 정책의 advanced_backup_settings 섹션에 표시된 대로 애플리케이션에 일관되게 적용되는 백업을 수행할 수 있는 권한을 추가해야 합니다.

    {
      "plans": {
        "PiiBackupPlan": {
          "regions": {
            "@@append":[
              "us-east-1",
              "eu-north-1"
            ]
          },
          "rules": {
            "Hourly": {
              "schedule_expression": {
                "@@assign": "cron(0 0/1 ? * * *)"
              },
              "start_backup_window_minutes": {
                "@@assign": "60"
              },
              "complete_backup_window_minutes": {
                "@@assign": "604800"
              },
              "target_backup_vault_name": {
                "@@assign": "FortKnox"
              },
              "recovery_point_tags": {
                "owner": {
                  "tag_key": {
                    "@@assign": "Owner"
                  },
                  "tag_value": {
                    "@@assign": "Backup"
                  }
                }
              },
              "lifecycle": {
                "delete_after_days": {
                  "@@assign": "365"
                },
                "move_to_cold_storage_after_days": {
                  "@@assign": "180"
                }
              },
              "copy_actions": {
                "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : {
                "target_backup_vault_arn" : {
                "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault"  },
                  "lifecycle": {
                    "delete_after_days": {
                      "@@assign": "365"
                    },
                    "move_to_cold_storage_after_days": {
                      "@@assign": "180"
                    }
                  }
                }
              }
            }
          },
          "selections": {
            "tags": {
              "SelectionDataType": {
                "iam_role_arn": {
                  "@@assign": "arn:aws:iam::$account:role/MyIamRole"
                },
                "tag_key": {
                  "@@assign": "dataType"
                },
                "tag_value": {
                  "@@assign": [
                    "PII",
                    "RED"
                  ]
                }
              }
            }
          },
          "backup_plan_tags": {
            "stage": {
              "tag_key": {
                "@@assign": "Stage"
              },
              "tag_value": {
                "@@assign": "Beta"
              }
            }
          }
        }
      }
    }

12. 대상 섹션에서, 정책에 연결하려는 조직 단위 또는 계정을 선택하고 연결을 선택합니다. 정책을 개별 조직 단위 또는 계정에 추가할 수도 있습니다.

    참고

    정책을 검증하고 정책에 모든 필수 필드를 포함해야 합니다. 정책의 일부가 유효하지 않은 경우 AWS Backup 은 그러한 부분을 무시하며, 정책의 유효한 부분은 예상대로 작동합니다. 현재는 AWS Organizations 정책의 정확성을 검증하지 AWS Backup 않습니다.

    한 정책을 관리 계정에 적용하고 멤버 계정에 다른 정책을 적용하여 정책이 충돌할 경우(예: 백업 보존 기간이 다른 경우), 두 정책 모두 문제 없이 실행됩니다. 즉, 정책이 계정마다 독립적으로 실행됩니다. 예를 들어 관리 계정 정책은 하루에 한 번 Amazon EBS 볼륨을 백업하고, 로컬 정책은 일주일에 한 번 EBS 볼륨을 백업하는 경우 두 정책 모두 실행됩니다.

    계정에 적용될 유효 정책에 필수 필드가 누락된 경우(여러 정책 간의 병합으로 인한 가능성이 높음), AWS Backup 은 해당 정책을 계정에 전혀 적용하지 않습니다. 일부 설정이 유효하지 않은 경우 해당 설정을 AWS Backup 조정합니다.

    백업 정책으로 만든 백업 계획의 구성원 계정의 옵트인 설정과 관계없이 조직의 관리 계정에 지정된 옵트인 설정을 사용합니다. AWS Backup

    조직 단위에 정책을 연결하면 이 조직 단위에 가입하는 모든 계정에는 이 정책이 자동으로 적용되며 조직 단위에서 제거된 모든 계정에서는 이 정책이 상실됩니다. 해당 백업 계획은 해당 계정에서 자동으로 삭제됩니다.

여러 AWS 계정계정의 활동 모니터링

계정 간 백업, 복사 및 복원 작업을 모니터링하려면 교차 계정 모니터링을 활성화해야 합니다. 이렇게 하면 조직 관리 계정에서 모든 계정의 백업 활동을 모니터링할 수 있습니다. 옵트인을 수행하면, 옵트인 이후에 생성된 조직에 걸쳐 있는 모든 작업이 표시됩니다. 옵트아웃을 수행하면, AWS Backup 은 (종단 상태에 도달하지 않고) 30일 동안 집계 보기에서 작업을 유지합니다. 옵트아웃 이후에 생성된 작업은 표시되지 않으며 새로 생성된 백업 작업도 표시되지 않습니다. 옵트인 지침은 교차 계정 관리 활성화 단원을 참조하십시오.

여러 계정을 모니터링하려면

1. https://console.aws.amazon.com/backup/ AWS Backup 콘솔 에서 여십시오. 관리 계정의 보안 인증 정보를 사용하여 로그인해야 합니다.

2. 왼쪽 탐색 창에서 설정을 선택하여 교차 계정 관리 페이지를 엽니다.

3. 교차 계정 모니터링 섹션에서 활성화를 선택합니다.

   이렇게 하면 관리 계정에서 조직에 있는 모든 계정의 백업 및 복원 활동을 모니터링할 수 있습니다.

4. 왼쪽 탐색 창에서 교차 계정 모니터링을 선택합니다.

5. 교차 계정 모니터링 페이지에서 백업 작업, 복원 작업 또는 복사 작업 탭을 선택하여 모든 계정에서 생성된 모든 작업을 표시합니다. 각 채용공고를 AWS 계정 ID로 볼 수 있으며, 특정 계정의 모든 채용공고를 볼 수 있습니다.

6. 검색 상자에서 계정 ID, 상태 또는 작업 ID별로 작업을 필터링할 수 있습니다.

   예를 들어 백업 작업 탭을 선택하여 모든 계정에서 생성된 모든 백업 작업을 볼 수 있습니다. 계정 ID별로 목록을 필터링하여 해당 계정에서 생성된 모든 백업 작업을 볼 수 있습니다.

리소스 옵트인 규칙

조직 수준 백업 정책 (ID로 시작orgs-) 으로 구성원 계정의 백업 계획을 생성한 경우 Organizations 관리 계정의 AWS Backup 옵트인 설정이 해당 멤버 계정의 옵트인 설정보다 우선하지만 해당 백업 플랜에만 해당됩니다.

멤버 계정에 사용자가 생성한 로컬 수준 백업 계획도 있는 경우, 해당 백업 계획은 Organizations 관리 계정의 옵트인 설정을 참조하지 않고 멤버 계정의 옵트인 설정을 따릅니다.

정책, 정책 구문, 정책 상속 정의

사용 설명서에는 다음 항목이 설명되어 있습니다. AWS Organizations

• 백업 정책 - 백업 정책을 참조하세요.

• 정책 구문 - 백업 정책 구문 및 예제를 참조하세요.

• 관리 정책 유형에 대한 상속 - 관리 정책 유형에 대한 상속을 참조하세요.