Melhores práticas para usar políticas de backup - AWS Organizations

Melhores práticas para usar políticas de backup

AWSA recomenda as melhores práticas a seguir para usar as políticas de backup.

Decidir uma estratégia de política de backup

Você pode criar políticas de backup em partes incompletas que são herdadas e mescladas para criar uma política completa para cada conta-membro. Se você fizer isso, corre o risco de acabar com uma política efetiva que não esteja completa se fizer uma alteração em um nível sem considerar cuidadosamente o impacto da alteração em todas as contas abaixo desse nível. Para que isso seja evitado, recomendamos que, em vez disso, você verifique se as políticas de backup implementadas em todos os níveis são completas em si mesmas. Trate as políticas superiores políticas padrão que podem ser substituídos pelas configurações especificadas nas políticas subordinadas. Dessa forma, mesmo que uma política subordinada não exista, a política herdada fica completa e usa os valores padrão. Você pode controlar quais configurações podem ser adicionadas, alteradas ou removidas por políticas subordinadas usando os operadores de herança de controle de subordinados.

Como validar alterações na verificação de políticas de backup usando GetEffectivePolicy

Depois de fazer uma alteração em uma política de backup, verifique as políticas efetivas para contas representativas abaixo do nível em que você fez a alteração. Você pode visualizar a política em vigor usando o AWS Management Console ou usando a operação de API GetEffectivePolicy ou uma de suas variantes da AWS CLI ou do AWS SDK. Certifique-se de que a alteração feita tenha o impacto pretendido na política efetiva.

Comece simples e faça pequenas alterações

Para simplificar a depuração, comece com políticas simples e faça alterações em um item de cada vez. Valide o comportamento e o impacto de cada alteração antes de fazer a próxima alteração. Essa abordagem reduz o número de variáveis que você tem que considerar quando um erro ou resultado inesperado acontece.

Armazene cópias de seus backups em outras Regiões da AWS e em contas de sua organização

Para melhorar sua posição na recuperação de desastres, você pode armazenar cópias de seus backups.

  • Uma região diferente – Se armazenar cópias d o backup emRegiões da AWS, você ajuda a proteger o backup contra corrompimento ou exclusão acidental na região original. Use a seção copy_actions da política para especificar um cofre em uma ou mais regiões da mesma conta em que o plano de backup é executado. Para fazer isso, identifique a conta usando o a variável $account quando você especificar o ARN do cofre de backup no qual a cópia do backup será armazenada. A variável $account é automaticamente substituída em tempo de execução pelo ID da conta em que a política de backup está sendo executada.

  • Uma conta diferente – Se armazenar cópias de backup adicionais em Contas da AWS, você adiciona uma barreira de segurança que ajuda a proteger contra um agente mal-intencionado que comprometa uma de suas contas. Use a seção copy_actions da política para especificar um cofre em uma ou mais contas de sua organização, separadas da conta em que o plano de backup é executado. Para fazer isso, identifique a conta usando o número do ID quando especificar o ARN do cofre de backup no qual a cópia do backup será armazenada.

Limitar o número de planos por política

É mais complicado solucionar problemas em políticas que contêm vários planos devido ao maior número de saídas que devem ser validadas. Em vez disso, faça com que cada política contenha apenas um plano de backup para simplificar a depuração e a solução de problemas. Depois, você pode adicionar políticas extras com outros planos para atender a outros requisitos. Essa abordagem ajuda a manter quaisquer problemas com um plano isolados em uma política, além de impedir que esses problemas compliquem a solução de problemas com outras políticas e seus planos.

Use conjuntos de pilhas para criar as funções de IAM e os cofres de backup necessários

Use a integração dos conjuntos de pilhas do AWS CloudFormation com o Organizations para criar automaticamente os cofres de backup e as funções do AWS Identity and Access Management (IAM) necessários em cada uma das contas-membro de sua organização. Você pode criar um conjunto de pilha que inclua os recursos que deseja que estejam automaticamente disponíveis em todas as contas da Conta da AWS de sua organização. Essa abordagem permite que você execute seus planos de backup com a garantia de que as dependências já foram atendidas. Para obter mais informações, consulte Criação de um conjunto de pilhas com permissões autogerenciadas no Manual do usuário do AWS CloudFormation.

Verifique seus resultados analisando o primeiro backup criado em cada conta

Ao fazer uma alteração em uma política, verifique o próximo backup criado após essa alteração para garantir que a alteração teve o impacto desejado. Essa etapa vai além de analisar a política em vigor e garante que o AWS Backup interprete suas políticas e implemente os planos de backup da maneira desejada.