백업 정책 사용 모범 사례 - AWS Organizations
백업 정책 전략 결정GetEffectivePolicy를 사용하여 백업 정책 확인에 대한 변경 사항 유효성 검사간단하게 시작하고 소규모로 변경조직의 다른 AWS 리전 및 계정에 백업의 복사본 저장정책당 계획 수를 제한스택 세트를 사용하여 필요한 백업 볼트 및 IAM 역할 생성각 계정에서 생성된 첫 번째 백업을 검토하여 결과를 확인합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

백업 정책 사용 모범 사례

AWS에서는 백업 정책 사용에 대해 다음과 같은 모범 사례를 권장합니다.

백업 정책 전략 결정

상속 및 병합되는 불완전한 부분으로 백업 정책을 생성하여 각 멤버 계정에 대해 완전한 정책을 생성할 수 있습니다. 이렇게 하면 변경 내용이 하위 수준의 모든 계정에 미치는 영향을 신중하게 고려하지 않고 특정 수준에서 정책을 변경하면 불완전한 유효 정책이 될 위험이 있습니다. 이를 방지하려면 모든 수준에서 구현하는 백업 정책이 자체적으로 완전하도록 하는 것이 좋습니다. 상위 정책을 하위 정책에 지정된 설정으로 재정의할 수 있는 기본 정책으로 취급합니다. 이렇게 하면 하위 정책이 존재하지 않더라도 상속된 정책이 완전하고 기본값을 사용합니다. 하위 제어 상속 연산자를 사용하여 하위 정책에 의해 추가, 변경 또는 제거될 수 있는 설정을 제어할 수 있습니다.

GetEffectivePolicy를 사용하여 백업 정책 확인에 대한 변경 사항 유효성 검사

백업 정책을 변경한 후 정책이 변경된 수준보다 낮은 대표 계정에 대한 유효 정책을 확인합니다. AWS Management Console을 사용하거나 GetEffectivePolicy API 작업 또는 해당 AWS CLI 또는 AWS SDK 변형 중 하나를 사용하여 유효 정책을 볼 수 있습니다. 변경한 내용이 유효 정책에 의도한 영향을 미쳤는지 확인합니다.

간단하게 시작하고 소규모로 변경

디버깅을 단순화하려면 간단한 정책으로 시작하여 한 번에 한 항목씩 변경합니다. 다음 변경을 수행하기 전에 각 변경의 동작 및 영향을 검증합니다. 이러한 접근 방식은 오류 또는 예기치 않은 결과가 발생할 때 고려해야 할 변수를 줄입니다.

조직의 다른 AWS 리전 및 계정에 백업의 복사본 저장

재해 복구 위치를 개선하기 위해 백업의 복사본을 저장할 수 있습니다.

  • 다른 리전 - 백업의 복사본을 다른 AWS 리전에 추가로 저장하면 원래 리전에서 실수로 손상되거나 삭제되는 경우에 대비하여 백업을 보호할 수 있습니다. 정책의 copy_actions 섹션을 사용해, 백업 계획이 실행되는 해당 계정에 속한 리전 하나 이상에서 볼트를 지정합니다. 이를 위해 백업의 복사본을 저장할 백업 볼트의 ARN을 지정할 때 $account 변수를 사용하여 계정을 식별합니다. $account 변수는 실행 시점에 백업 정책이 실행되는 계정 ID로 대체됩니다.

  • 다른 계정 - 백업 복사본을 다른 AWS 계정에 추가로 저장하면 계정 중 하나를 손상시키는 악의적인 행위자를 막는 데 도움이 되는 보안 장벽이 더해집니다. 정책의 copy_actions 섹션을 사용해, 백업 계획이 실행되는 계정과 별도로 조직에 속한 계정 하나 이상에서 볼트를 지정합니다. 이를 위해 백업의 복사본을 저장할 백업 볼트의 ARN을 지정할 때 실제 계정 ID 번호를 사용해 계정을 식별합니다.

정책당 계획 수를 제한

여러 계획이 포함된 정책은 모두 유효성을 검사해야 하는 출력 수가 많아지기 때문에 문제를 해결하는 것이 더 복잡합니다. 대신, 각 정책에 하나의 백업 계획만 포함하여 디버깅 및 문제 해결을 단순화하도록 하세요. 그런 다음 다른 요구 사항을 충족하도록 다른 계획을 사용하여 정책을 추가할 수 있습니다. 이 방식은 특정 계획의 모든 문제를 하나의 정책으로 격리할 수 있으며 다른 정책 및 해당 계획 때문에 문제 해결이 복잡해지는 것을 방지할 수 있습니다.

스택 세트를 사용하여 필요한 백업 볼트 및 IAM 역할 생성

AWS CloudFormation 스택 세트와 Organizations 간 통합을 사용하여 조직의 각 멤버 계정에서 필요한 백업 볼트 및 AWS Identity and Access Management(IAM) 역할을 자동으로 생성합니다. 조직의 모든 AWS 계정에서 자동으로 사용할 수 있는 리소스를 포함하는 스택 세트를 생성할 수 있습니다. 이 방식을 통해 종속성이 이미 충족되었음이 보장된 상태에서 백업 계획을 실행할 수 있습니다. 자세한 내용은 AWS CloudFormation 사용 설명서자체 관리 권한으로 스택 세트 만들기를 참조하세요.

각 계정에서 생성된 첫 번째 백업을 검토하여 결과를 확인합니다.

정책을 변경할 때 변경 이후에 생성된 다음 백업을 확인하여 변경 사항이 원하는 영향을 미치는지 확인합니다. 이 단계는 유효 정책을 확인하는 것을 넘어 AWS Backup이 정책을 해석하고 의도한 대로 백업 계획을 구현하기 위한 것입니다.