本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨多个管理 AWS Backup 资源 AWS 账户
注意
在管理多个 AWS 账户 中的资源之前 AWS Backup,您的账户必须属于 AWS Organizations 服务中的同一个组织。
您可以使用中的跨账户管理功能 AWS Backup 来管理和监控您配置的备份、还原和复制作业。 AWS 账户 AWS OrganizationsAWS Organizations是一项通过单个管理账户为多个账户提供基于策略 AWS 账户 的管理的服务。它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中央视图中,您可以轻松地识别所有账户中符合您关注条件的资源。
如果您进行了设置 AWS Organizations,则可以配置 AWS Backup 为在一个地方监控所有账户中的活动。您还可以创建备份策略并将其应用于属于您组织的选定账户,并直接从 AWS Backup 控制台查看聚合备份任务活动。此功能使备份管理员能够从单个管理账户有效地监控整个企业中数百个账户的备份作业状态。AWS Organizations 配额适用。
例如,您可以定义一个备份策略 A,该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。(这意味着组织中的每个账户都会获得该备份策略,该策略会创建一个在该账户中可见的对应备份计划。) 然后,您创建一个名为 Finance 的 OU,并决定仅将其备份保留 30 天。在这种情况下,您定义一个备份策略 B,该策略将覆盖生命周期值,并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划,该计划每天对所有指定的资源进行备份,并将备份保留 30 天。
在此示例中,备份策略 A 和备份策略 B 合并为一个备份策略,该策略为名为 Finance 的 OU 下的所有账户定义保护策略。组织中的所有其他账户仍受备份策略 A 的保护。仅对共享相同备份计划名称的备份策略执行合并。还可以让策略 A 和策略 B 在该账户中共存,而无需进行任何合并。只能在控制台的 JSON 视图中使用高级合并运算符。有关合并策略的详细信息,请参阅《AWS Organizations 用户指南》中的定义策略、策略语法和策略继承。有关其他参考和用例,请参阅博客 “在 AWS Organizations 使用中大规模管理备份
请查看按 AWS 地区划分的功能可用性,以了解跨账户管理功能在哪些地方可用。
要使用跨账户管理,您必须执行以下步骤:
-
在中创建管理账户 AWS Organizations ,并在管理账户下添加账户。
-
在中启用跨账户管理功能。 AWS Backup
-
创建备份策略以应用于您的管理账户 AWS 账户 下的所有用户。
注意
对于由 Organizations 管理的备份计划,管理账户中的资源选择加入设置将覆盖成员账户中的该设置,即使配置了一个或多个委派管理员账户也是如此。委派管理员账户是具有增强功能的成员账户,不能像管理账户那样覆盖设置。
-
管理您的所有备份、还原和复印作业 AWS 账户。
在 Organizations 中创建管理账户
首先,您必须创建您的组织并使用中的 AWS 成员帐户对其进行配置 AWS Organizations。
在中创建管理账户 AWS Organizations 并添加账户
-
有关说明,请参阅《AWS Organizations 用户指南》中的教程:创建和配置组织。
启用跨账户管理
在中使用跨账户管理之前 AWS Backup,必须先启用该功能(即选择启用)。启用此特征后,您可以创建备份策略,以允许您自动同时管理多个账户。
启用跨账户管理
-
打开网址为 AWS Backup 控制台 https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 -
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在备份策略部分中,选择启用。
这使您可以访问所有账户,并允许您创建策略以便同时自动管理组织中的多个账户。
-
在跨账户监控部分中,选择启用。
这使您能够从管理账户监控组织中所有账户的备份、复制和还原活动。
委派管理员
委托管理为注册成员账户中的分配用户提供了一种便捷的方式来执行大多数 AWS Backup 管理任务。您可以选择将管理权限委托给中的成员账户 AWS Organizations,从而将管理账户外部的管理权限扩展 AWS Backup 到整个组织。 AWS Backup
默认情况下,管理账户是用于编辑和管理策略的账户。使用委托管理员特征,您可以将这些管理功能委托给您指定的成员账户。这样,除了管理账户之外,这些账户也可以管理策略。
成员账户在成功注册委托管理后,就成为委托管理员账户。请注意,指定为委托管理员的是账户(而非用户)。
启用委托管理员账户允许选择管理备份策略,这会最大限度地减少有权访问管理账户的用户数量,并允许跨账户监控作业。
下表显示了管理账户、委托为 Backup 管理员的账户以及作为 AWS 组织成员的账户的职能。
注意
委派管理员账户是具有增强功能的成员账户,不能像管理账户那样覆盖其他成员账户的服务选择加入设置。
权限 | 管理账户 | 委托管理员 | 成员账户 |
---|---|---|---|
注册/注销委托管理员账户 | 是 | 否 | 否 |
在中跨账户管理备份策略 AWS Organizations | 是 | 是 | 不支持 |
监控跨账户作业 | 是 | 是 | 不支持 |
先决条件
在委托备份管理之前,必须先将 AWS 组织中的至少一个成员帐户注册为委托管理员。在将账户注册为委托管理员之前,您必须先配置以下内容:
AWS Organizations 除了您的默认管理账户外,还@@ 必须启用并配置至少一个成员帐户。
-
在 AWS Backup 控制台中,确保备份策略、跨账户监控和跨账户备份功能已开启。它们位于 AWS Backup 控制台的 “委派管理员” 窗格下方。
设置委托管理涉及到两个步骤。第一步是委托跨账户作业监控。第二步是委托备份策略管理。
将成员账户注册为委托管理员账户
这是第一部分:使用 AWS Backup 控制台注册委托管理员帐户以监控跨账户作业。要委派 AWS Backup 策略,您将在下一节中使用 Organizations 控制台。
要使用 AWS Backup 控制台注册成员账户,请执行以下操作:
-
打开网址为 AWS Backup 控制台 https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 在控制台左侧导航栏的我的账户下,选择设置。
在委托管理员窗格中,单击注册委托管理员或添加委托管理员。
在注册委托管理员页面上,选择要注册的账户,然后选择注册账户。
此指定账户现在将注册为委托管理员,拥有管理权限,可以监控组织内各个账户的作业,并且可以查看和编辑策略(策略委托)。该成员账户不能注册或注销其他委托管理员账户。您可以使用控制台,将最多五个账户注册为委托管理员。
以编程方式注册成员账户:
使用 register-delegated-administrator
CLI 命令。您可以在 CLI 请求中指定以下参数:
service-principal
account-id
以下是使用 CLI 请求以编程方式注册成员账户的示例:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
注销成员账户
使用以下步骤 AWS Backup 通过注销 AWS 组织中以前被指定为授权管理员的成员帐户来移除管理访问权限。
使用控制台注销成员账户
-
打开网址为 AWS Backup 控制台 https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 在控制台左侧导航栏的我的账户下,选择设置。
在委托管理员部分,单击注销账户。
选择要注销的账户。
在注销账户对话框中,查看安全隐患,然后键入
confirm
以完成注销。选择
Deregister account
。
以编程方式注销成员账户:
使用 CLI 命令 deregister-delegated-administrator
注销委托管理员账户。您可以在 API 请求中指定以下参数:
service-principal
account-id
以下是使用 CLI 请求以编程方式注销成员账户的示例:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
通过以下方式委派 AWS Backup 策略 AWS Organizations
在 AWS Organizations 控制台中,您可以委托管理多个策略,包括 Backup 策略。
在登录到 AWS Organizations 控制台
创建备份策略
启用跨账户管理后,使用您的管理账户创建跨账户备份策略。
警告
当您使用 JSON 创建策略时,重复的密钥名称将被拒绝。如果单个策略中包含多个计划、规则或选项,则每个密钥的名称必须是唯一的。
通过 AWS Backup 控制台创建备份策略
-
在左侧导航窗格中,选择备份策略。在备份策略页上,选择创建备份策略。
-
在详细信息部分中,输入备份策略名称并提供描述。
-
在备份计划详细信息部分中,选择可视编辑器选项卡,然后执行以下操作:
-
对于备份计划名称,输入名称。
-
对于区域,从列表中选择一个区域。
-
-
在备份规则配置部分中,选择添加备份规则。
每个备份计划的最大规则数为 10。如果计划包含的规则超过 10 条,则备份计划将被忽略,并且不会根据该计划创建备份。
-
对于规则名称,输入规则的名称。规则名称区分大小写,只能包含字母数字字符或连字符。
-
对于计划,请在频率列表中选择备份频率,然后选择备份时段选项之一。建议您选择使用备份时段默认值 - 推荐。
-
-
对于生命周期,请选择所需的生命周期设置。
-
对于备份保管库名称,输入一个名称。这是将存储由备份创建的恢复点的备份保管库。
确保您的所有账户中都存在备份保管库。 AWS Backup 不检查这个。
-
(可选)如果要将备份复制到另一个区域,请从列表中选择目标区域 AWS 区域,然后添加标签。无论跨区域复制设置如何,您都可以为创建的恢复点选择标签。您还可以添加更多规则。
-
在资源分配部分,提供 AWS Identity and Access Management (IAM) 角色的名称。要使用 AWS Backup 服务角色,请提供
service-role/AWSBackupDefaultServiceRole
。AWS Backup 在每个账户中担任此角色是为了获得执行备份和复制任务的权限,包括加密密钥权限(如果适用)。 AWS Backup 还使用此角色执行生命周期删除。
注意
AWS Backup 不验证该角色是否存在或是否可以担任该角色。
对于跨账户管理创建的备份计划, AWS Backup 将使用管理账户中的选择加入设置并覆盖特定账户的设置。
对于要添加备份策略的每个账户,您必须自行创建保管库和 IAM 角色。
-
添加标签以选择要备份的资源。允许的最大标签数为 30。
AWS Organizations 如果备份计划是通过 Organizations 策略创建的,则策略最多允许指定 30 个标签。通过使用多个资源分配或参与多个备份计划,可以包含其他标签。
如果在同一个备份选择中标签的数量超过 30 个,无论是通过修改现有选择还是使用
@@append
,备份计划都将失效,并将从本地帐户中删除。 -
如果您要备份的资源正在 Amazon EC2 实例上运行 Microsoft Windows,请在高级设置部分选择 Windows VSS。这样,您将能够创建与应用程序保持一致的 Windows VSS 备份。
注意
AWS Backup 目前仅支持在 Amazon EC2 上运行的资源的应用程序一致性备份。Windows VSS 备份并非支持所有实例类型或应用程序。有关更多信息,请参阅 创建 Windows VSS 备份。
-
选择添加备份计划以将其添加到策略中,然后选择创建备份策略。
创建备份策略不会保护您的资源,直到您将其附加到账户。您可以选择您的策略名称并查看详细信息。
以下是创建备份计划的 AWS Organizations 策略示例。如果启用 Windows VSS 备份,则必须添加允许您创建应用程序一致性备份的权限,如策略的
advanced_backup_settings
部分所示。{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
-
在目标部分中,选择要将策略附加到的组织单位或账户,然后选择附加。此策略也可以添加到各个组织单位或账户中。
注意
确保验证您的策略,并确保在策略中包含所有必需的字段。如果策略的某些部分无效,则 AWS Backup 忽略这些部分,但策略的有效部分将按预期工作。目前, AWS Backup 不验证 AWS Organizations 策略的正确性。
如果您对管理账户应用一种策略,对成员账户应用不同的策略,并且它们存在冲突(例如,备份保留期不同),则这两个策略将毫无问题地运行(也就是说,这些策略将针对每个账户独立运行)。例如,如果管理账户策略每天备份一次 Amazon EBS 卷,而本地策略每周备份一次 EBS 卷,则这两个策略都将运行。
如果将应用于某个账户的有效策略中缺少必需的字段(可能是由于不同策略之间的合并所致),则 AWS Backup 根本不会将该策略应用于该账户。如果某些设置无效,则对其 AWS Backup 进行调整。
在根据备份策略创建的备份计划中,无论成员账户中的选择加入设置如何,都 AWS Backup 将使用组织管理账户中指定的选择加入设置。
当您将策略附加到组织单位时,加入此组织单位的每个账户都会自动获取此策略,从组织单位中删除的每个账户都会失去此策略。相应的备份计划将自动从该账户中删除。
监控多个 AWS 账户中的活动
要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这样,您就可以从组织管理账户监控所有账户中的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时, AWS Backup 将作业在聚合视图中保留 30 天(从到达终点状态开始)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅启用跨账户管理。
监控多个账户
-
打开网址为 AWS Backup 控制台 https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 -
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在跨账户监控部分中,选择启用。
这样,您可以从管理账户监控组织中所有账户的备份和还原活动。
-
在左侧导航窗格中,选择跨账户监控。
-
在跨账户监控页面上,选择备份作业、还原作业或复制作业选项卡,以查看在所有账户中创建的所有作业。您可以通过 AWS 账户 ID 查看这些作业,也可以查看特定账户中的所有作业。
-
在搜索框中,您可以按账户 ID、状态或作业 ID 筛选作业。
例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。
资源选择加入规则
如果成员账户的备份计划是由组织级别的备份策略创建的,则组织管理账户的 AWS Backup 选择加入设置将覆盖该成员账户中的选择加入设置,但仅适用于该备份计划。
如果成员账户还有用户创建的本地级备份计划,则这些备份计划将遵循成员账户中的选择加入设置,而不参照 Organizations 管理账户的选择加入设置。
定义策略、策略语法和策略继承
《 AWS Organizations 用户指南》中记录了以下主题。