백업 정책 생성, 업데이트 및 삭제

이 주제에서 수행할 작업

• 조직에 대해 백업 정책을 활성화한 후 정책을 생성할 수 있습니다.

• 백업 요구 사항이 변경되면 기존 정책을 업데이트할 수 있습니다.

• 정책이 더 이상 필요하지 않은 경우 모든 조직 단위(OU) 및 계정에서 정책을 분리한 후 삭제할 수 있습니다.

백업 정책 생성

최소 권한

백업 정책을 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

• organizations:CreatePolicy

AWS Management Console

다음 두 가지 방법 중 하나로 백업 정책을 생성할 수 있습니다. AWS Management Console

• 사용자가 옵션을 선택하면 자동으로 JSON 정책 텍스트를 생성하는 시각적 편집기.

• 사용자가 직접 JSON 정책 텍스트를 작성할 수 있는 텍스트 편집기.

시각적 편집기를 사용하면 프로세스를 쉽게 수행할 수 있지만 유연성은 제한됩니다. 이는 처음 정책을 생성하여 편안하게 사용할 수 있는 좋은 방법입니다. 정책이 어떻게 작동하는지 이해하고 시각적 편집기가 제공하는 기능에 의해 제한되기 시작하면 JSON 정책 텍스트를 직접 편집하여 정책에 고급 기능을 추가할 수 있습니다. 시각적 편집기는 @@assign value-setting 연산자만 사용하며, 하위 제어 연산자에 대한 액세스 권한을 제공하지 않습니다. 하위 제어 연산자는 JSON 정책 텍스트를 수동으로 편집하는 경우에만 추가할 수 있습니다.

백업 정책을 생성하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 백업 정책(Backup policies) 페이지에서 정책 생성(Create policy)을 선택합니다.

3. 정책 생성(Create policy) 페이지에서 정책 이름과 정책 설명(선택 사항)을 입력합니다.

4. (선택 사항) 태그 추가(Add tags)를 선택한 다음 키 및 값(선택 사항)을 입력해 정책에 하나 이상의 태그를 추가할 수 있습니다. 값을 공백으로 남겨두면 null이 아닌 빈 문자열로 설정됩니다. 한 정책에 최대 50개의 태그를 연결할 수 있습니다. 태그 지정에 대한 자세한 내용은 단원을 참조하세요AWS Organizations 리소스에 태그 지정

5. 이 절차의 설명과 같이 시각적 편집기를 사용하여 정책을 작성할 수 있습니다. JSON 탭에서 정책 텍스트를 입력하거나 붙여 넣을 수도 있습니다. 백업 정책 구문에 대한 자세한 내용은 백업 정책 구문 및 예제 단원을 참조하세요.

   시각적 편집기를 사용하기로 선택한 경우 시나리오에 적합한 백업 옵션을 선택합니다. 백업 계획은 세 부분으로 구성됩니다. 이러한 백업 계획 요소에 대한 자세한 내용은 AWS Backup 개발자 안내서의 백업 계획 생성 및 리소스 할당을 참조하세요.

   1. 백업 계획 일반 세부 정보

      • 백업 계획 이름은 영숫자, 하이픈, 밑줄 문자로만 구성할 수 있습니다.

      • 목록에서 하나 이상의 백업 계획 영역을 선택해야 합니다. 이 계획은 선택한 리소스만 백업할 수 AWS 리전있습니다.

   2. AWS Backup 이 작동하는 방법 및 시기를 지정하는 하나 이상의 백업 규칙이 있습니다. 각 백업 규칙은 다음 사항을 정의합니다.

      • 백업 빈도 및 백업을 수행할 수 있는 기간을 포함하는 일정.

      • 사용할 백업 볼트의 이름입니다. 백업 볼트 이름은 영숫자, 하이픈, 밑줄 문자로만 구성할 수 있습니다. 백업 볼트가 있어야 계획을 성공적으로 실행할 수 있습니다. AWS Backup 콘솔 또는 AWS CLI 명령을 사용하여 저장소를 생성합니다.

      • (선택 사항) 하나 이상의 리전에 복사(Copy to region) 규칙을 사용하여 백업을 다른 AWS 리전의 볼트에 복사합니다.

      • 이 백업 계획이 실행될 때마다 생성된 백업 복구 지점에 연결할 하나 이상의 태그 키/값 페어.

      • 백업이 콜드 스토리지로 전환되는 시기와 백업이 만료되는 시기를 지정하는 수명 주기 옵션.

      규칙 추가(Add rule)를 선택해 필요한 모든 규칙을 추가합니다.

      백업 규칙에 대한 자세한 내용은 AWS Backup 개발자 안내서의 백업 규칙을 참조하세요.

   3. AWS Backup 이 이 계획을 통해 백업해야 하는 리소스를 지정하는 리소스 할당. 리소스를 찾고 매칭하는 AWS Backup 데 사용할 태그 쌍을 지정하여 할당합니다.

      • 리소스 할당 이름은 영숫자, 하이픈, 밑줄 문자로만 구성될 수 있습니다.

      • AWS Backup 이 이름을 기준으로 백업을 수행하는 데 사용할 IAM 역할을 지정합니다.

        콘솔에서는 전체 Amazon 리소스 이름(ARN)을 지정하지 않습니다. 역할 이름과 역할 유형을 지정하는 접두사를 모두 포함해야 합니다. 접두사는 일반적으로 role 또는 service-role이며, 슬래시('/')로 역할 이름과 구분합니다. 예를 들어 role/MyRoleName 또는 service-role/MyManagedRoleName을 입력할 수 있습니다. 이는 기본 JSON에 저장될 때 전체 ARN으로 변환됩니다.

        중요

        지정된 IAM 역할은 정책이 적용되는 계정에 이미 존재해야 합니다. 그렇지 않으면 백업 계획이 백업 작업을 성공적으로 시작할 수 있지만 이러한 백업 작업은 실패합니다.

      • 백업할 리소스를 식별하기 위해 하나 이상의 리소스 태그 키 및 태그 값 페어를 지정합니다. 태그 값이 두 개 이상인 경우 쉼표로 값을 구분합니다.

      할당 추가(Add assignment)를 선택해, 구성된 각 리소스 할당을 백업 계획에 추가합니다.

      자세한 내용은 AWS Backup 개발자 안내서의 백업 계획에 리소스 할당을 참조하세요.

6. 정책 작성을 마쳤으면 정책 생성(Create policy)을 선택합니다. 정책이 사용 가능한 백업 정책 목록에 나타납니다.

AWS CLI & AWS SDKs

백업 정책을 생성하려면

다음 중 하나를 사용하여 백업 정책을 생성할 수 있습니다.

• AWS CLI: create-policy

  백업 계획을 다음과 유사한 JSON 텍스트로 생성해서 텍스트 파일에 저장합니다. 구문의 전체 규칙은 백업 정책 구문 및 예제 단원을 참조하세요.

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" }
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" }
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  이 백업 계획은 AWS Backup이 지정된 AWS 리전 항목에 있고 값이 인 태그를 dataType 가진 영향을 AWS 계정 받는 모든 리소스를 백업하도록 지정합니다PII.

  다음으로, JSON 정책 파일 백업 계획을 가져와 조직에 새 백업 정책을 생성합니다. 출력에서 정책 ARN의 끝에 있는 정책 ID를 확인합니다.

  $ aws organizations create-policy \
      --name "MyBackupPolicy" \
      --type BACKUP_POLICY \
      --description "My backup policy" \
      --content file://policy.json{
      "Policy": {
          "PolicySummary": {
              "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
              "Description": "My backup policy",
              "Name": "MyBackupPolicy",
              "Type": "BACKUP_POLICY"
          }
          "Content": "...a condensed version of the JSON policy document you provided in the file...",
      }
  }

• AWS SDK: CreatePolicy

다음에 수행할 작업

백업 정책을 생성한 후 정책을 적용할 수 있습니다. 이를 위해 정책을 조직 루트, 조직 AWS 계정 내 OU (조직 단위) 또는 이들 모두의 조합에 연결할 수 있습니다.

백업 정책 업데이트

조직의 관리 계정에 로그인하면 조직에서 변경이 필요한 정책을 편집할 수 있습니다.

최소 권한

백업 정책을 업데이트하려면 다음 작업을 실행할 수 있는 권한이 있어야 합니다.

• 동일한 정책 명령문에서 업데이트할 정책의 ARN(또는 "*")을 포함하는 Resource 요소를 가진 organizations:UpdatePolicy

• 동일한 정책 명령문에서 업데이트할 정책의 ARN(또는 "*")을 포함하는 Resource 요소를 가진 organizations:DescribePolicy

AWS Management Console

백업 정책을 업데이트하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 백업 정책 페이지에서 업데이트할 정책의 이름을 선택합니다.

3. 정책 편집을 선택합니다.

4. 새로운 정책 이름, 정책 설명을 입력할 수 있습니다. 정책 내용은 시각적 편집기를 사용하거나 JSON을 직접 편집해 변경할 수 있습니다.

5. 백업 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

AWS CLI & AWS SDKs

백업 정책을 업데이트하려면

다음 중 하나를 사용하여 백업 정책을 업데이트할 수 있습니다.

• AWS CLI: update-policy

  다음 예제에서는 백업 정책의 이름을 변경합니다.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
      }
  }

  다음 예제에서는 백업 정책에 대한 설명을 추가하거나 변경합니다.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
         "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
      }
  }

  다음 예제에서는 백업 정책에 연결된 JSON 정책 문서를 변경합니다. 이 예제에서 콘텐츠는 다음 텍스트를 포함한 policy.json이라는 파일에서 가져옵니다.

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" }
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" }
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
  }

• AWS SDK: UpdatePolicy

태그 정책에 연결된 태그 편집

조직의 관리 계정으로 로그인하여 백업 정책에 연결된 태그를 추가하거나 제거할 수 있습니다. 태그 지정에 대한 자세한 내용은 단원을 참조하세요AWS Organizations 리소스에 태그 지정

최소 권한

AWS 조직의 백업 정책에 첨부된 태그를 편집하려면 다음 권한이 있어야 합니다.

• organizations:DescribeOrganization(콘솔만 해당 - 정책으로 이동하기 위해)

• organizations:DescribePolicy(콘솔만 해당 - 정책으로 이동하기 위해)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

백업 정책에 연결된 태그를 편집하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 백업 정책 페이지

3. 편집할 태그가 있는 정책의 이름을 선택합니다.

   정책 세부 정보 페이지가 나타납니다.

4. 태그 탭에서 태그 관리를 선택합니다.

5. 이 페이지에서 다음과 같은 작업을 수행할 수 있습니다.

   • 이전 값 위에 새 값을 입력하여 태그의 값을 편집합니다. 키는 수정할 수 없습니다. 키를 변경하려면 이전 키를 가진 태그를 삭제하고 새 키를 가진 태그를 추가해야 합니다.

   • 제거(Remove)를 선택하여 기존 태그를 제거합니다.

   • 새로운 태그 키 및 값 페어를 추가합니다. 태그 추가(Add tag)를 선택한 다음 제시되는 상자에 새로운 키 이름과 값을 입력합니다. 값은 선택 사항입니다. 값(Value) 상자를 비워두면 null이 아닌 빈 문자열이 됩니다.

6. 원하는 추가, 제거, 편집 작업을 모두 수행한 후 변경 사항 저장(Save changes)을 선택합니다.

AWS CLI & AWS SDKs

백업 정책에 연결된 태그를 편집하려면

다음 명령 중 하나를 사용하여 백업 정책에 연결된 태그를 편집할 수 있습니다.

• AWS CLI: tag-resource 및 untag-resource

• AWS SDK: TagResource및 UntagResource

백업 정책 삭제

조직의 관리 계정에 로그인하면 조직에서 더 이상 필요 없는 정책을 삭제할 수 있습니다.

정책을 삭제하기 전에 먼저 연결된 모든 개체에서 정책을 분리해야 합니다.

최소 권한

백업 정책을 삭제하려면 다음 작업을 실행할 수 있는 권한이 있어야 합니다.

• 동일한 정책 명령문에서 삭제할 정책의 ARN(또는 "*")을 포함하는 Resource 요소를 가진 organizations:DeletePolicy

AWS Management Console

백업 정책을 삭제하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 백업 정책 페이지에서 삭제할 백업 정책의 이름을 선택합니다.

3. 먼저 모든 루트, OU와 계정에서 삭제하려는 백업 정책을 분리해야 합니다. 대상(Targets) 탭을 선택하고 대상 목록에 표시된 각 루트, OU 또는 계정 옆에 있는 라디오 버튼을 선택한 다음 분리(Detach)를 선택합니다. 확인 대화 상자에서 분리(Detach)를 선택합니다. 모든 대상을 제거할 때까지 반복합니다.

4. 페이지 상단에서 삭제(Delete)를 선택합니다.

5. 확인 대화 상자에서 정책의 이름을 입력한 다음 삭제(Delete)를 선택합니다.

AWS CLI 및 SDK AWS

백업 정책을 삭제하려면

다음 코드 예제는 DeletePolicy의 사용 방법을 보여줍니다.

.NET

AWS SDK for .NET

참고

자세한 내용은 다음과 같습니다 GitHub. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• API 세부 정보는 AWS SDK for .NET API DeletePolicy참조를 참조하십시오.

CLI

AWS CLI

정책을 삭제하는 방법

다음 예시에서는 조직에서 정책을 삭제하는 방법을 보여줍니다. 이 예시에서는 이전에 정책을 모든 엔터티에서 분리했다고 가정합니다.

aws organizations delete-policy --policy-id p-examplepolicyid111

• API 세부 정보는 AWS CLI 명령 DeletePolicy참조를 참조하십시오.

Python

SDK for Python(Boto3)

참고

자세한 내용은 에서 확인할 수 GitHub 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• API에 대한 자세한 내용은 파이썬용AWS SDK (Boto3) API 레퍼런스를 참조하십시오 DeletePolicy.