As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando AWS Backup recursos em vários Contas da AWS
nota
Antes de gerenciar recursos Contas da AWS em vários estados AWS Backup, suas contas devem pertencer à mesma organização no AWS Organizations serviço.
Você pode usar o recurso de gerenciamento de várias contas AWS Backup para gerenciar e monitorar suas tarefas de backup, restauração e cópia nas Contas da AWS quais você configura. AWS OrganizationsAWS Organizationsé um serviço que oferece gerenciamento baseado em políticas para vários de uma única conta Contas da AWS de gerenciamento. Ele permite que você padronize a maneira como implementa políticas de backup, minimizando erros manuais e esforços simultaneamente. Em uma visualização centralizada, é possível identificar com facilidade recursos em todas as contas que atendam aos critérios nos quais você tenha interesse.
Se você configurar AWS Organizations, poderá configurar AWS Backup para monitorar as atividades em todas as suas contas em um só lugar. Você também pode criar uma política de backup e aplicá-la às contas selecionadas que fazem parte da sua organização e visualizar as atividades agregadas da tarefa de backup diretamente do AWS Backup console. Essa funcionalidade permite que os administradores de backup monitorem com eficiência o status do trabalho de backup em centenas de contas em toda a empresa a partir de uma única conta. Cotas do AWS Organizations são aplicáveis
Por exemplo, você define uma política de backup A que faz backups diários de recursos específicos e os mantém por sete dias. Você opta por aplicar a política de backup A em toda a organização. (Isso significa que cada conta na organização obtém essa política de backup, que cria um plano de backup correspondente visível nessa conta.) Depois, você cria uma UO chamada Finanças e decide manter seus backups por apenas 30 dias. Nesse caso, você define uma política de backup B, que substitui o valor do ciclo de vida e a anexa a essa UO Finanças. Isso significa que todas as contas na UO Finanças recebem um novo plano de backup efetivo que faz backups diários de todos os recursos especificados e os mantém por 30 dias.
Nesse exemplo, a política de backup A e a política de backup B foram mescladas em uma única política de backup, que define a estratégia de proteção para todas as contas na UO chamada Finanças. Todas as outras contas na organização permanecem protegidas pela política de backup A. A mesclagem é feita somente para políticas de backup que compartilham o mesmo nome de plano de backup. Também é possível que a política A e a política B coexistam nessa conta sem qualquer mesclagem. É possível usar operadores avançados de mesclagem somente na visualização JSON do console. Para obter detalhes sobre a mesclagem de políticas, consulte Definir políticas, sintaxe de políticas e herança de políticas no Guia do usuário do AWS Organizations . Para referências adicionais e casos de uso, consulte o blog Gerenciando backups em grande escala em seu AWS Organizations uso AWS Backup
Consulte Disponibilidade de recursos por AWS região para ver onde o recurso de gerenciamento de várias contas está disponível.
Para usar o gerenciamento entre contas, é necessário seguir estas etapas:
-
Crie uma conta de gerenciamento AWS Organizations e adicione contas na conta de gerenciamento.
-
Ative o recurso de gerenciamento de várias contas no AWS Backup.
-
Crie uma política de backup para ser aplicada a todos os Contas da AWS usuários da sua conta de gerenciamento.
nota
Para planos de backup gerenciados pelo Organizations, as configurações de inclusão de recurso na conta de gerenciamento substituem as configurações em uma conta de membro, mesmo que uma ou mais contas de administrador delegado estejam configuradas. As contas de administrador delegado são contas de membro com recursos aprimorados e não podem substituir as configurações como uma conta de gerenciamento.
-
Gerencie trabalhos de backup, restauração e cópia em todos os seus Contas da AWS.
Tópicos
Criar uma conta de gerenciamento no Organizations
Primeiro, você deve criar sua organização e configurá-la com as contas AWS dos membros AWS Organizations.
Para criar uma conta de gerenciamento AWS Organizations e adicionar contas
-
Para obter instruções, consulte Tutorial: Criar e configurar uma organização no Guia do usuário do AWS Organizations .
Habilitar o gerenciamento entre contas
Antes de usar o gerenciamento de várias contas AWS Backup, você precisa ativar o recurso (ou seja, ativá-lo). Depois que o recurso estiver habilitado, você poderá criar políticas de backup que permitem automatizar o gerenciamento simultâneo de várias contas.
Como habilitar o gerenciamento entre contas
-
Abra o Console do AWS Backup em https://console.aws.amazon.com/backup/
. Faça login usando as credenciais da sua conta de gerenciamento. -
No painel de navegação esquerdo, escolha Configurações para abrir a página de gerenciamento entre contas.
-
Na seção Políticas de backup, escolha Habilitar.
Isso fornece acesso a todas as contas e permite que você crie políticas que automatizam o gerenciamento entre contas em sua organização simultaneamente.
-
Na seção Monitoramento entre contas, escolha Habilitar.
Isso permite que você monitore as atividades de backup, cópia e restauração de todas as contas em sua organização pela conta de gerenciamento.
Administrador delegado
A administração delegada fornece uma maneira conveniente para os usuários atribuídos em uma conta de membro registrado realizarem a maioria das tarefas AWS Backup administrativas. Você pode optar por delegar a administração de AWS Backup uma conta de membro em AWS Organizations, ampliando assim a capacidade AWS Backup de gerenciar de fora da conta de gerenciamento e em toda a organização.
Uma conta de gerenciamento, por padrão, é a conta usada para editar e gerenciar políticas. Usando o recurso de administrador delegado, é possível delegar essas funções de gerenciamento às contas-membro que você designar. Por sua vez, essas contas poderão gerenciar políticas, além da conta de gerenciamento.
Depois que uma conta-membro for registrada com êxito para administração delegada, ela será uma conta de administrador delegado. Observe que as contas, e não os usuários, são designadas como administradores delegados.
A habilitação de contas de administrador delegado permite a opção de gerenciar políticas de backup, minimiza o número de usuários com acesso à conta de gerenciamento e permite o monitoramento de trabalhos entre contas.
Abaixo está uma tabela mostrando as funções da conta de gerenciamento, contas delegadas como administradores de Backup e contas que são membros da AWS Organização.
nota
As contas de administrador delegado são contas de membro com recursos aprimorados e não podem substituir as configurações de inclusão de serviço de outras contas de membro como uma conta de gerenciamento.
| PRIVILÉGIOS | CONTA DE GERENCIAMENTO | ADMINISTRADOR DELEGADO | CONTA-MEMBRO |
|---|---|---|---|
| Registrar/cancelar o registro de contas de administrador delegado | Sim | Não | Não |
| Gerencie políticas de backup em todas as contas em AWS Organizations | Sim | Sim | Não |
| Monitorar trabalhos em várias contas | Sim | Sim | Não |
Pré-requisitos
Antes de delegar a administração de backup, você deve primeiro registrar pelo menos uma conta membro em sua AWS organização como administrador delegado. Antes de registrar uma conta como administrador delegado, primeiramente é necessário configurar o seguinte:
AWS Organizations deve estar habilitado e configurado com pelo menos uma conta de membro, além da sua conta de gerenciamento padrão.
-
No AWS Backup console, certifique-se de que as políticas de backup, o monitoramento entre contas e os recursos de backup entre contas estejam ativados. Eles estão abaixo do painel Administradores delegados no console. AWS Backup
-
O monitoramento entre contas permite que você monitore a atividade de backup em todas as contas da sua organização pela conta de gerenciamento, bem como pelas contas de administrador delegado.
-
Opcional: o backup entre contas, que permite que as contas da sua organização copiem backups em outras contas (para recursos entre contas compatíveis com backup).
-
Habilite o acesso ao serviço com AWS Backup.
-
Há duas etapas envolvidas na configuração da administração delegada. A primeira etapa é delegar o monitoramento de trabalhos entre contas. A segunda etapa é delegar o gerenciamento de políticas de backup.
Registrar uma conta-membro como uma conta de administrador delegado
Esta é a primeira seção: Usar o AWS Backup console para registrar uma conta de administrador delegado para monitorar trabalhos entre contas. Para delegar AWS Backup políticas, você usará o console Organizations na próxima seção.
Para registrar uma conta de membro usando o AWS Backup Console:
-
Abra o Console do AWS Backup em https://console.aws.amazon.com/backup/
. Faça login usando as credenciais da sua conta de gerenciamento. Em Minha conta, na navegação à esquerda do console, escolha Configurações.
No painel Administrador delegado, clique em Registrar administrador delegado ou Adicionar administrador delegado.
Na página Registrar administrador delegado, selecione a conta que você deseja registrar e escolha Registrar conta.
Essa conta designada agora será registrada como administrador delegado, com privilégios administrativos para monitorar trabalhos em todas as contas da organização e poderá visualizar e editar políticas (delegação de políticas). Essa conta-membro não poderá registrar ou cancelar o registro de outras contas de administrador delegado. É possível usar o console para registrar até cinco contas como administradores delegados.
Como registrar uma conta-membro de forma programática:
Use o comando de CLI de register-delegated-administrator. É possível especificar os seguintes parâmetros em sua solicitação da CLI:
service-principalaccount-id
Veja abaixo um exemplo de uma solicitação da CLI para registrar uma conta-membro de forma programática:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Cancelar o registro de uma conta-membro
Use o procedimento a seguir para remover o acesso administrativo AWS Backup cancelando o registro de uma conta membro em sua AWS organização que já havia sido designada como administrador delegado.
Como cancelar o registro de uma conta-membro usando o console
-
Abra o Console do AWS Backup em https://console.aws.amazon.com/backup/
. Faça login usando as credenciais da sua conta de gerenciamento. Em Minha conta, na navegação à esquerda do console, escolha Configurações.
Na seção Administrador delegado, clique em Cancelar o registro da conta.
Selecione as contas para as quais você deseja cancelar o registro.
Na caixa de diálogo Cancelar o registro da conta, analise as implicações de segurança e digite
confirmpara concluir o cancelamento do registro.Selecione
Deregister account.
Como cancelar o registro de uma conta-membro de forma programática:
Use o comando da CLI deregister-delegated-administrator para cancelar o registro de uma conta de administrador delegado. É possível especificar os seguintes parâmetros em sua solicitação de API:
service-principalaccount-id
Veja abaixo um exemplo de solicitação da CLI para cancelar o registro programático de uma conta-membro:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Delegar AWS Backup políticas por meio de AWS Organizations
No AWS Organizations console, você pode delegar a administração de várias políticas, incluindo políticas de Backup.
Na conta de gerenciamento conectada ao console do AWS Organizations
Como criar uma política de backup
Depois de habilitar o gerenciamento entre contas, crie uma política de backup entre contas a partir da sua conta de gerenciamento.
Para criar uma política de backup
-
No painel de navegação à esquerda, escolha Políticas. Na página Políticas de backup, escolha Criar políticas de backup.
-
Na seção Detalhes insira um nome de política de backup e forneça uma descrição.
-
Na seção Detalhes dos planos de backup escolha a guia do editor visual e faça o seguinte:
-
Em Nome do plano de backup, insira um nome.
-
Em Regiões, escolha uma região na lista.
-
-
Na seção Configuração da regra de backup, escolha Adicionar regra de backup.
-
Em Nome da regra, insira um nome para a regra. O nome da regra diferencia maiúsculas e minúsculas e pode conter apenas caracteres alfanuméricos ou hífens.
-
Em Programação, escolha uma frequência de backup na lista Frequência e escolha uma das opções da Janela de backup. Recomendamos que você escolha Usar padrões de janela de backup – recomendado.
-
-
Em Ciclo de vida, escolha as configurações de ciclo de vida desejadas.
-
Em Nome do cofre de backup, insira um nome. Este é o cofre de backup em que os pontos de recuperação criados por seus backups serão armazenados.
Certifique-se de que o cofre de backup exista em todas as suas contas. AWS Backup não verifica isso.
-
(opcional) Escolha uma região de destino na lista se quiser que seus backups sejam copiados para outra Região da AWS e adicione tags. É possível escolher tags para os pontos de recuperação criados, independentemente das configurações de cópia entre regiões. Também é possível adicionar mais regras.
-
Na seção Atribuição de recursos, forneça o nome da função AWS Identity and Access Management (IAM). Para usar a função AWS Backup de serviço, forneça
service-role/AWSBackupDefaultServiceRole.AWS Backup assume essa função em cada conta para obter as permissões para realizar trabalhos de backup e cópia, incluindo permissões de chave de criptografia, quando aplicável. AWS Backup também usa essa função para realizar exclusões do ciclo de vida.
nota
AWS Backup não valida se a função existe ou se a função pode ser assumida.
Para planos de backup criados pelo gerenciamento de várias contas, AWS Backup usará as configurações opcionais da conta de gerenciamento e substituirá as configurações específicas das contas.
Para cada conta à qual você deseja adicionar políticas de backup, é necessário criar os cofres e os perfis do IAM por conta própria.
-
Adicione tags ao plano de backup se desejar. O número máximo permitido de tags é 20.
-
Na seção Configurações avançadas, escolha VSS do Windows se o recurso do qual você está fazendo backup estiver executando o Microsoft Windows em uma instância do Amazon EC2. Isso permite que você faça backups do VSS do Windows consistentes com as aplicações.
nota
AWS Backup atualmente oferece suporte a backups consistentes com aplicativos de recursos executados somente no Amazon EC2. Não há compatibilidade com todos os tipos de instância ou de aplicações para backups do VSS do Windows. Para ter mais informações, consulte Criar backups do VSS do Windows.
nota
AWS Organizations A política permite especificar no máximo 20 tags se um plano de backup for criado por meio da política de Organizations. É possível incluir tags adicionais utilizando várias atribuições de recursos ou envolvendo vários planos de backup por meio de JSON.
-
Escolha Adicionar plano de backup para adicioná-lo à política e escolha Criar política de backup.
A criação de uma política de backup não protege seus recursos até que a política seja anexada às contas. É possível escolher o nome da política e ver os detalhes.
Veja a seguir um exemplo AWS Organizations de política que cria um plano de backup. Se habilitar o backup do VSS do Windows, você deverá adicionar permissões que permitam fazer backups consistentes com a aplicação, conforme mostrado na seção
advanced_backup_settingsda política.{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } } -
Na seção Destinos escolha a unidade organizacional ou a conta à qual deseja anexar a política e escolha Anexar. A política também pode ser adicionada a unidades organizacionais ou contas individuais.
nota
Você deve validar a política e certificar-se de incluir todos os campos obrigatórios nela. Se partes da política não forem válidas, o AWS Backup vai ignorar essas partes, mas as partes válidas da política funcionarão conforme o esperado. Atualmente, AWS Backup não valida AWS Organizations as políticas quanto à exatidão.
Se você aplicar uma política à conta de gerenciamento e uma política diferente a uma conta-membro e elas entrarem em conflito (por exemplo, períodos de retenção de backup diferentes), ambas as políticas serão executadas sem problemas (ou seja, as políticas serão executadas de forma independente para cada conta). Por exemplo, se a política da conta de gerenciamento fizer backup de um volume do Amazon EBS uma vez por dia e a política local fizer backup de um volume do EBS uma vez por semana, ambas as políticas serão executadas.
Se os campos obrigatórios estiverem ausentes na política efetiva que será aplicada a uma conta (provavelmente devido à mesclagem de diferentes políticas), o AWS Backup não aplicará a política à conta. Se algumas configurações não forem válidas, AWS Backup ajuste-as.
Independentemente das configurações de aceitação em uma conta de membro em um plano de backup criado a partir de uma política de backup, AWS Backup usaremos as configurações de aceitação especificadas na conta de gerenciamento da organização.
Quando você anexar uma diretiva a uma unidade organizacional, cada conta que ingressar nessa unidade organizacional obterá essa política automaticamente e cada conta que é removida da unidade organizacional perderá essa política. Os planos de backup correspondentes são excluídos automaticamente dessa conta.
Monitorar atividades em várias Contas da AWS
Para monitorar trabalhos de backup, cópia e restauração entre contas, é necessário habilitar o monitoramento entre contas. Isso permite que você monitore as atividades de backup em todas as contas da conta de gerenciamento da organização. Depois da inclusão, todos os trabalhos em toda a organização que foram criados após a inclusão ficarão visíveis. Quando você cancela a inclusão, o AWS Backup mantém os trabalhos na exibição agregada por 30 dias (depois de atingir um estado terminal). Os trabalhos criados após o cancelamento da inclusão não ficarão visíveis e nenhum trabalho de backup recém-criado será exibido. Para obter instruções de inclusão, consulte Habilitar o gerenciamento entre contas.
Como monitorar várias contas
-
Abra o Console do AWS Backup em https://console.aws.amazon.com/backup/
. Faça login usando as credenciais da sua conta de gerenciamento. -
No painel de navegação esquerdo, escolha Configurações para abrir a página de gerenciamento entre contas.
-
Na seção Monitoramento entre contas, escolha Habilitar.
Isso permite que você monitore as atividades de backup e restauração de todas as contas em sua organização pela conta de gerenciamento.
-
No painel de navegação à esquerda, escolha Monitoramento entre contas.
-
Na página Monitoramento entre contas, escolha a guia Trabalhos de backup, Trabalhos de restauração ou Trabalhos de cópia para ver todos os trabalhos criados em todas as suas contas. Você pode ver cada um desses trabalhos por Conta da AWS ID e pode ver todos os trabalhos em uma conta específica.
-
Na caixa de pesquisa, filtre os trabalhos por ID da conta, Status ou ID do trabalho.
Por exemplo, escolha a guia Trabalhos de backup e veja todos os trabalhos de backup criados em todas as suas contas. Filtre a lista por ID da conta e veja todos os trabalhos de backup criados nessa conta.
Regras de inclusão de recursos
Se o plano de backup de uma conta de membro foi criado por uma política de backup em nível de organização (com um ID começandoorgs-), as configurações de AWS Backup aceitação da conta de gerenciamento da Organizations substituirão as configurações de aceitação nessa conta de membro, mas somente para esse plano de backup.
Se a conta do membro também tiver planos de backup em nível local criados pelos usuários, esses planos de backup seguirão as configurações de inclusão na conta-membro, sem referência às configurações de inclusão da conta de gerenciamento do Organizations.
Definir políticas, sintaxe de políticas e herança de políticas
Os tópicos a seguir estão documentados no Guia AWS Organizations do usuário.
-
Políticas de backup: consulte Políticas de backup.
-
Sintaxe da política: consulte Sintaxe e exemplos de política de backup.
-
Herança para tipos de políticas de gerenciamento: consulte Herança para tipos de políticas de gerenciamento.
