本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理多个AWS Backup资源AWS 账户
在管理多个域AWS 账户的资源之前AWS Backup,您的账户必须属于AWS Organizations服务中的同一组织。
您可以使用中的跨账户管理功能AWS Backup来管理和监控您配置的备份、还原和复制任务AWS Organizations。AWS 账户 AWS Organizations是一项通过单个管理帐户为多个帐户提供基于策略AWS 账户的管理的服务。它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中心视图来看,您可以轻松地识别所有账户中符合您感兴趣的标准的资源。
如果设置了 AWS Organizations,则可以将 AWS Backup 配置为在一个位置监视所有账户中的活动。您还可以创建备份策略并将其应用于属于组织一部分的选定账户,并直接从 AWS Backup 控制台查看聚合备份作业活动。此功能使备份管理员能够通过单个管理帐户有效地监控整个企业中数百个帐户的备份作业状态。 AWS Organizations配额适用。
例如,您可以定义一个备份策略 A,该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。(这意味着组织中的每个帐户都有该备份策略,该策略会创建相应的备份计划,该计划在该帐户中可见。) 然后,您创建一个名为 Finance 的 OU,并决定仅将其备份保留 30 天。在这种情况下,您定义一个备份策略 B,该策略将覆盖生命周期值,并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划,该计划每天对所有指定的资源进行备份,并将备份保留 30 天。
在此示例中,备份策略 A 和备份策略 B 合并为单个备份策略,该策略定义了名为 Finance 的 OU 下所有帐户的保护策略。组织中的所有其他帐户仍受备份策略保护 A. 合并仅适用于共享相同备份计划名称的备份策略。还可以让策略 A 和策略 B 在该账户中共存,而无需进行任何合并。只能在控制台的 JSON 视图中使用高级合并运算符。有关合并策略的详细信息,请参阅《AWS Organizations用户指南》定义策略、策略语法和策略继承中的。有关其他参考和用例,请参阅博客在AWS Organizations使用中大规模管理备份
请查看按AWS地区划分的功能可用性,以了解跨账户管理功能的可用性。
要使用跨账户管理,您必须执行以下步骤:
-
在管理账户中创建管理账户AWS Organizations并在管理账户下添加账户。
-
在 AWS Backup 中启用跨账户管理功能。
-
创建备份策略以应用于您的管理账户AWS 账户下的所有人。
注意 对于由Organizations 管理的备份计划,管理帐户中的资源选择加入设置会覆盖成员帐户中的设置。
-
管理您的所有备份、还原和复印任务AWS 账户。
在Organizations 中创建管理账户
首先,您必须创建组织并在中使用AWS成员帐户对其进行配置AWS Organizations。
在中创建管理账户AWS Organizations并添加账户
-
有关说明,请参阅《AWS Organizations用户指南》中的教程:创建和配置组织。
启用跨账户管理
在 AWS Backup 中使用跨账户管理之前,您必须启用该功能(即选择加入该功能)。启用此功能后,您可以创建备份策略,以允许您自动同时管理多个账户。
启用跨账户管理
-
登录AWS Management Console,然后通过以下网址打开AWS Backup控制台:https://console.aws.amazon.com/backup
。 您只能通过管理账户执行此步骤。
-
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在备份策略部分中,选择启用。
这使您可以访问所有账户,并允许您创建策略以便同时自动管理组织中的多个账户。
-
在跨账户监控部分中,选择启用。
这使您可以通过管理帐户监视组织中所有帐户的备份、复制和恢复活动。
委托管理员
委托管理为注册成员账户中的分配用户提供了一种执行大多数AWS Backup管理任务的便捷方式。您可以选择将管理权AWS Backup委托给中的成员帐户AWS Organizations,从而扩展AWS Backup从管理帐户外部和整个组织进行管理的能力。
默认情况下,管理账户是用于编辑和管理策略的账户。使用委派管理员功能,您可以将这些管理功能委托给您指定的成员账户。反过来,除了管理账户外,这些账户还可以管理政策。
成功注册成员帐户进行委托管理后,该帐户即为委托管理员帐户。请注意,帐户而不是用户被指定为委托管理员。
启用委托管理员帐户允许选择管理备份策略,最大限度地减少有权访问管理帐户的用户数量,并允许对作业进行跨账户监控。
下表显示了管理帐户、委托为Backup 管理员的帐户以及作为AWS组织成员的帐户的功能。
| 特权 | 管理账户 | 委派管理员 | 会员账户 |
|---|---|---|---|
| 注册/注销委托管理员账户 | 是 | 否 | 否 |
| 管理跨账户的备份策略AWS Organizations | 是 | 是 | 否 |
| 监控跨账户作业 | 是 | 是 | 否 |
先决条件
在委托备份管理之前,必须首先在AWS组织中注册至少一个成员帐户作为委派管理员。在将帐户注册为委托管理员之前,必须先配置以下内容:
AWS Organizations除了您的默认管理帐户外,还@@ 必须启用并配置至少一个成员帐户。
-
在AWS Backup控制台中,确保备份策略、跨账户监控和跨账户备份功能已开启。它们位于AWS Backup控制台的 “委派管理员” 面板下方。
设置委托管理涉及到两个步骤。第一步是委托跨账户任务监控。第二步是委托备份策略管理。
将一个成员账户注册为委托管理员账户
这是第一部分:使用AWS Backup控制台注册委托管理员帐户来监控跨账户作业。要委派AWS Backup策略,您将在下一节中使用Organizations 控制台。
要使用AWS Backup控制台注册成员账户,请执行以下操作:
使用您的管理账户的凭据@@ 登录AWS Backup控制台
AWS Organizations。 在控制台左侧导航栏的 “我的帐户” 下,选择 “设置”。
在 “委派管理员” 窗格中,单击 “注册委托管理员” 或 “添加委托管理员”。
在 “注册委托管理员” 页面上,选择要注册的账户,然后选择 “注册账户”。
现在,该指定帐户将注册为委托管理员,该管理员具有监控组织内跨账户作业的管理权限,并可以查看和编辑策略(策略委托)。此成员账户无法注册或注销其他委托管理员账户。您可以使用控制台将最多 5 个账户注册为委托管理员。
要使用编程方式注册成员账户,请执行以下操作:
使用 register-delegated-administrator CLI 命令。您可以在 CLI 请求中指定以下参数:
service-principalaccount-id
以下是 CLI 请求以编程方式注册成员账户的示例:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
取消注册一个成员账户
使用以下步骤AWS Backup通过注销AWS组织中先前被指定为委托管理员的成员帐户来删除管理访问权限。
使用控制台注销成员账户
使用您的管理账户的凭据@@ 登录AWS Backup控制台
AWS Organizations。 在控制台左侧导航栏的 “我的帐户” 下,选择 “设置”。
在 “委托管理员” 部分中,单击 “注销账户”。
选择要取消注册的账户。
在 “注销帐户” 对话框中,查看安全隐患,然后键入
confirm以完成注销。选择
Deregister account。
要使用编程方式注销成员账户,请执行以下操作:
使用 CLIderegister-delegated-administrator 命令注销委托管理员帐户。您可以在 API 请求中指定以下参数:
service-principalaccount-id
以下是 CLI 请求以编程方式注销成员账户的示例:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
通过委托AWS Backup政策AWS Organizations
在AWS Organizations控制台中,您可以委托管理多个策略,包括Backup 策略。
通过登录到AWS Organizations控制台
创建备份策略
启用跨账户管理后,从您的管理账户创建跨账户备份策略。
创建备份策略
-
在左侧导航窗格中,选择备份策略。在备份策略页上,选择创建备份策略。
-
在详细信息部分中,输入备份策略名称并提供说明。
-
在备份计划详细信息部分中,选择可视编辑器选项卡,然后执行以下操作:
-
对于备份计划名称,输入名称。
-
对于区域,从列表中选择一个区域。
-
-
在备份规则配置部分中,选择添加备份规则。
-
对于规则名称,输入规则的名称。规则名称区分大小写,只能包含字母数字字符或连字符。
-
对于计划,请在频率列表中选择备份频率,然后选择备份时段选项之一。我们建议您选择 “使用备份窗口默认值-推荐”。
-
-
对于生命周期,请选择所需的生命周期设置。
-
对于备份保管库名称,输入一个名称。这是将存储由备份创建的恢复点的备份保管库。
确保备份库存在于您的所有账户中。 AWS Backup不检查这个。
-
(可选)如果您想将备份复制到另一个区域,请从列表中选择一个目标区域AWS 区域,然后添加标签。无论跨区域复制设置如何,您都可以为创建的恢复点选择标签。您还可以添加更多规则。
-
在资源分配部分中,提供AWS Identity and Access Management (IAM) 角色的名称。要使用AWS Backup服务相关角色,请提供
service-role/AWSBackupDefaultServiceRole。AWS Backup在每个账户中担任此角色以获得执行备份和复制任务的权限,包括适用的加密密钥权限。 AWS Backup还使用此角色执行生命周期删除。
注意 AWS Backup 不会验证角色是否存在或者是否可以代入角色。
对于跨账户管理创建的备份计划,AWS Backup将使用管理账户中的选择加入设置,并覆盖特定账户的设置。
对于要向其添加备份策略的每个账户,您必须自己创建文件库和 IAM 角色。
-
如果需要,则将标签添加到备份计划。允许的最大标签数为 20。
-
在高级设置部分中,如果您要备份的资源正在Amazon EC2 实例上运行 Microsoft Windows,请选择 Windows VS S。这使您能够进行应用程序一致的 Windows VSS 备份。
注意 AWS Backup目前仅支持在 Amazon EC2 上运行的资源的应用程序一致性备份。并非所有实例类型或应用程序都支持 Windows VSS 备份。有关更多信息,请参阅 创建 Windows VSS 备份。
注意 AWS Organizations如果备份计划是通过Organizations 策略创建的,则策略允许最多指定 20 个标签。通过使用多个资源分配或通过 JSON 执行多个备份计划,可以添加其他标签。
-
选择添加备份计划以将其添加到策略中,然后选择创建备份策略。
创建备份策略不会保护您的资源,直到您将其附加到账户。您可以选择您的策略名称并查看详细信息。
以下是创建备份计划的示例AWS Organizations策略。如果启用 Windows VSS 备份,则必须添加允许您进行应用程序一致性备份的权限,如策略
advanced_backup_settings部分所示。{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } } -
在目标部分中,选择要将策略附加到的组织单位或账户,然后选择附加。此策略也可以添加到各个组织单位或账户中。
注意 确保验证您的政策,并在政策中包含所有必填字段。如果策略的某些部分无效,则 AWS Backup 忽略这些部分,但策略的有效部分将按预期工作。目前,AWS Backup不验证AWS Organizations策略的正确性。
如果您对管理帐户应用一个策略,对成员帐户应用不同的策略,但它们存在冲突(例如,具有不同的备份保留期),则两个策略都将顺利运行(也就是说,策略将为每个账户独立运行)。例如,如果管理账户策略每天备份一次 Amazon EBS 卷,而本地策略每周备份一次 EBS 卷,则这两个策略都将运行。
如果将应用于账户的有效政策中缺少必填字段(可能是由于不同政策之间的合并),则根本AWS Backup不会将该政策应用于该账户。如果某些设置无效,请对其AWS Backup进行调整。
无论根据备份策略创建的备份计划中的成员帐户中的选择加入设置如何,都AWS Backup将使用组织管理帐户中指定的选择加入设置。
当您将策略附加到组织单位时,加入此组织单位的每个账户都会自动获取此策略,从组织单位中删除的每个账户都会失去此策略。相应的备份计划将自动从该账户中删除。
监视多个活动AWS 账户
要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这使您可以监视组织管理帐户中所有帐户中的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时,AWS Backup 将作业在聚合视图中保留 30 天(从到达终点状态开始)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅启用跨账户管理。
监控多个账户
-
登录AWS Management Console,然后通过以下网址打开AWS Backup控制台:https://console.aws.amazon.com/backup
。 您只能通过管理账户执行此操作。
-
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在跨账户监控部分中,选择启用。
这使您可以通过管理帐户监视组织中所有帐户的备份和恢复活动。
-
在左侧导航窗格中,选择跨账户监控。
-
在跨账户监控页面上,选择备份作业、还原作业或复制作业选项卡,以查看在所有账户中创建的所有作业。您可以按AWS 账户 ID 查看每个任务,也可以查看特定账户中的所有作业。
-
在搜索框中,您可以按账户 ID、状态或作业 ID 筛选作业。
例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。
资源选择加入规则
如果成员账户的备份计划是由Organizations 级别的备份策略(以 ID 开头orgs-)创建的,则AWS Backup Organizations 管理帐户的选择加入设置将覆盖该成员帐户中的选择加入设置,但仅适用于该备份计划。
如果成员账户还有用户创建的本地级备份计划,则这些备份计划将遵循成员账户中的选择加入设置,而无需参考Organizations 管理账户的选择加入设置。
定义策略、策略语法和策略继承
以下主题记录在《AWS Organizations用户指南》中。
-
Backup 策略-请参阅 Backup 策略。
-
策略语法-请参阅 Backup 策略语法和示例。
-
管理策略类型的继承-请参阅管理策略类型的继承。
