本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨多個管理 AWS Backup 資源 AWS 帳戶
注意
AWS 帳戶 在中管理多個資源之前 AWS Backup,您的帳戶必須屬於 AWS Organizations 服務中的相同組織。
您可以使用中的跨帳戶管理功能 AWS Backup 來管理和監控您設定的備份、還原和複製工作。 AWS 帳戶 AWS OrganizationsAWS Organizations是一項服務,可針對單一管理帳戶提供多個原 AWS 帳戶 則式管理。它可讓您將實作備份政策的方式標準化,同時減少手動錯誤和人力。您可以集中檢視所有資源,輕鬆在所有帳戶中找出符合您感興趣條件的資源。
如果您進行設定 AWS Organizations,您可以設 AWS Backup 定在同一個位置監控所有帳戶中的活動。您也可以建立備份政策,並將其套用至屬於組織一部分的選取帳戶,並直接從 AWS Backup 主控台檢視彙總備份工作活動。這項功能讓備份管理員可從單一管理帳戶有效監控全企業數百個帳戶的備份任務狀態。AWS Organizations 配額適用之。
例如,您定義備份政策 A,該政策會每日備份特定資源,並將其保留 7 天。您選擇將備份政策 A 套用至整個組織。(這表示組織中的每個帳戶都會取得該備份政策,因此系統會建立一個對應的備份計畫顯示在該帳戶中。) 然後,您建立名為「財務」的組織單位,並決定其備份只保留 30 天。在此案例中,您定義一個覆寫生命週期值的備份政策 B,並將其連接至該「財務」組織單位。這表示「財務」組織單位下的所有帳戶都會取得新的有效備份計畫,該計畫會每日備份所有指定的資源,並將其保留 30 天。
在此範例中,備份政策 A 和備份政策 B 合併為單一備份政策,該政策會定義「財務」組織單位下所有帳戶的保護策略。組織中的所有其他帳戶仍然受到備份政策 A 保護。只有使用相同備份計畫名稱的備份政策才能合併。您也可以讓政策 A 和政策 B 共存在於該帳戶中,不進行任何合併。您只能在主控台的 JSON 檢視中使用進階合併運算子。如需合併政策的詳細資訊,請參閱《AWS Organizations 使用指南》的定義政策、政策語法和政策繼承。如需其他參考資料和使用案例,請參閱部落格在您的 AWS Organizations 使用中大規模管理備
請參閱各 AWS 區域的功能可用性,了解跨帳戶管理功能的可用位置。
若要使用跨帳戶管理,您必須依照下列步驟執行:
-
在中建立管理帳戶, AWS Organizations 並在管理帳戶下新增帳戶。
-
啟用中的跨帳戶管理功能。 AWS Backup
-
建立備份政策以套用至您管理帳戶 AWS 帳戶 下的所有人。
注意
至於由組織管理的備份計畫,管理帳戶中的資源選擇加入設定會覆寫成員帳戶中的設定,即使一或多個委派的管理員帳戶已設定也是如此。委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫設定。
-
管理所有的備份、還原和複製工作 AWS 帳戶。
建立組織的管理帳戶
首先,您必須建立您的組織,並使用中的 AWS 成員帳戶進行設定 AWS Organizations。
在中建立管理帳戶 AWS Organizations 並新增帳戶
-
如需指示,請參閱《AWS Organizations 使用者指南》的教學課程:建立和設定組織。
啟用跨帳戶管理
在中使用跨帳戶管理之前 AWS Backup,管理帳戶必須先啟用此功能 (也就是選擇加入該功能)。管理帳戶啟用跨帳戶管理後,您可以建立備份政策,以管理多個帳戶中的資源。
啟用跨帳戶管理
-
AWS Backup 主控台 在以下位置打開。
https://console.aws.amazon.com/backup/ 您必須使用管理帳戶憑證進行登入。 -
在左側導覽窗格中,選擇 Settings (設定) 以開啟跨帳戶管理頁面。
-
在 Backup policies (備份政策) 區段中,選擇 Enable (啟用)。
這可讓您存取所有帳戶,並可讓您建立政策,以同時自動管理組織中的多個帳戶。
-
在 Cross-account monitoring (跨帳戶監控) 區段中,選擇 Enable (啟用)。
這可讓您從管理帳戶監控組織中所有帳戶的備份、複製和還原活動。
委派的管理員
委派管理為註冊成員帳戶中的指派使用者提供了一種方便的方式,以執行大部分的 AWS Backup 管理工作。您可以選擇將的 AWS Backup 管理委派給中的成員帳戶 AWS Organizations,從而擴展 AWS Backup 從管理帳戶外部和整個組織進行管理的能力。
管理帳戶預設是編輯和管理政策的帳戶。使用委派管理員功能,您可以將這些管理功能委派給您指定的成員帳戶。反之,除管理帳戶之外,這些帳戶也可以管理政策。
成功註冊可執行委派管理的成員帳戶,就是委派的管理員帳戶。請注意,被指定為委派管理員的是帳戶,非使用者。
啟用委派的管理員帳戶可讓您選擇管理備份政策、將可存取管理帳戶的使用者數量減至最少,並允許跨帳戶監控任務。
下表顯示管理帳戶的功能、委派為 Backup 系統管理員的帳戶,以及屬於 AWS 組織內部成員的帳戶。
注意
委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫其他成員帳戶的服務選擇加入設定。
PRIVILEGES | 管理帳戶 | 委派管理員 | 成員帳戶 |
---|---|---|---|
註冊/取消註冊委派管理員帳戶 | 是 | 否 | 否 |
啟用跨帳戶管理 | 是 | 否 | 否 |
管理所有帳戶的備份政策 AWS Organizations | 是 | 是 | 否 |
監控跨帳戶任務 | 是 | 是 | 否 |
必要條件
在委派備份管理之前,您必須先將 AWS 組織中至少一個成員帳戶註冊為委派的系統管理員。您必須先設定下列項目,才能將帳戶註冊為委派管理員:
AWS Organizations 除了您的預設管理帳戶之外,還必須啟用並設定至少一個成員帳戶。
-
在 AWS Backup 主控台中,請確定已開啟備份政策、跨帳戶監控和跨帳戶備份功能。這些位於 AWS Backup 主控台中的 [委派管理員] 窗格下方。
設定委派管理需要兩個步驟。第一個步驟是委派跨帳戶任務監控。第二個步驟是委派備份政策管理。
將成員帳戶註冊為委派管理員帳戶。
這是第一部分:使用 AWS Backup 控制台註冊委派的管理員帳戶以監視跨帳戶工作。若要委派 AWS Backup 原則,您將使用下一節中的 [Organizations] 主控台。
要使用 AWS Backup 控制台註冊成員帳戶:
-
AWS Backup 主控台 在以下位置打開。
https://console.aws.amazon.com/backup/ 您必須使用管理帳戶憑證進行登入。 在主控台左側導覽列中,選擇 我的帳戶 下的 設定。
在 委派管理員 窗格中,按一下 註冊委派管理員 或 新增委派管理員。
在 註冊委派管理員 頁面中,選取您要註冊的帳戶,然後選擇 註冊帳戶。
此指定帳戶現在會註冊為委派的管理員,具有管理權限,可監控組織內所有帳戶任務,並可檢視及編輯政策 (政策委派)。此成員帳戶不能註冊或取消註冊其他委派管理員帳戶。使用主控台最多可將 5 個帳戶註冊為委派管理員。
確定委派的系統管理員具有授與的權限AWSBackupOrganizationAdminAccess。
使用程式設計方式註冊成員帳戶:
使用 register-delegated-administrator
CLI 命令。您可以在 CLI 請求中指定下列參數:
service-principal
account-id
以下是使用程式設計方式註冊成員帳戶的 CLI 請求範例:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
取消註冊成員帳戶
請遵循下列程序, AWS Backup 藉由取消註冊 AWS 組織中先前已指定為委派管理員的成員帳戶,以移除管理存取權。
使用主控台取消註冊成員帳戶
-
AWS Backup 主控台 在以下位置打開。
https://console.aws.amazon.com/backup/ 您必須使用管理帳戶憑證進行登入。 在主控台左側導覽列中,選擇 我的帳戶 下的 設定。
在 委派管理員 區段,按一下 取消註冊帳戶。
選擇您要取消註冊的帳戶。
在 取消註冊帳戶 對話方塊中,檢閱安全性隱患,然後輸入
confirm
完成取消註冊。選擇
Deregister account
。
使用程式設計方式取消註冊成員帳戶:
使用 CLI 命令 deregister-delegated-administrator
取消註冊委派的管理員帳戶。您可以在 CLI 請求中指定下列參數:
service-principal
account-id
以下是使用程式設計方式取消註冊成員帳戶的 CLI 請求範例:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
透過委派 AWS Backup 政策 AWS Organizations
在 AWS Organizations 主控台內,您可以委派多個原則的管理,包括 Backup 政策。
您可以在登入 AWS Organizations 主控台
建立備份政策
啟用跨帳戶管理後,請從您的管理帳戶建立跨帳戶備份政策。
警告
當您使用 JSON 建立政策時,重複的金鑰名稱將會遭到拒絕。如果單一原則中包含多個計劃、規則或選項,則每個金鑰的名稱必須是唯一的。
透過 AWS Backup 主控台建立備份政策
-
在左側導覽窗格中,選擇 Backup policies (備份政策)。在 Backup policies (備份政策) 頁面上,選擇 Create backup policies (建立備份政策)。
-
在 Details (詳細資訊) 區段中,輸入備份政策名稱並提供說明。
-
在 Backup plans details (備份計畫詳細資訊) 區段中,選擇視覺化編輯器標籤,然後執行下列動作:
-
針對 Backup plan name (備份計畫名稱),輸入名稱。
-
針對 Regions (區域),選擇清單中的區域。
-
-
在 Backup rule configuration (備份規則組態) 區段中,選擇 Add backup rule (新增備份規則)。
每個備份計畫的規則數目上限為 10。如果計劃包含 10 個以上的規則,則會忽略備份計畫,且不會從中建立任何備份。
-
針對 Rule name (規則名稱),輸入規則的名稱。規則名稱必須區分大小寫,而且只能包含英數字元或連字號。
-
針對 Schedule (排程),選擇 Frequency (頻率) 清單中的備份頻率,然後選擇其中一個 Backup window (備份時段) 選項。建議您選擇 使用備份時段預設值 (建議項目)。
-
-
針對 Lifecycle (生命週期),選擇您要的生命週期設定。
-
針對 Backup vault name (備份文件庫名稱),輸入名稱。這是儲存備份所建立復原點的備份文件庫。
確保備份保管庫存在於您的所有帳戶中。 AWS Backup 不檢查這個。
-
(選擇性) 如果要將備份複製到另一個備份,請從清單中選擇目的地區域 AWS 區域,然後新增標記。無論跨區域複製設定為何,您都可以為所建立的復原點選擇標籤。您也可以新增更多規則。
-
在 [資源指派] 區段中,提供 AWS Identity and Access Management (IAM) 角色的名稱。若要使用 AWS Backup 服務角色,請提供
service-role/AWSBackupDefaultServiceRole
。AWS Backup 在每個帳戶中擔任此角色,以取得執行備份和複製工作的權限,包括適用的加密金鑰權限。 AWS Backup 也會使用此角色執行生命週期刪除。
注意
AWS Backup 不驗證角色是否存在,或者是否可以假定角色。
對於跨帳戶管理建立的備份計劃, AWS Backup 將使用管理帳戶中的選擇加入設定,並覆寫特定帳戶的設定。
您必須自行為要新增備份政策的每個帳戶,建立保存庫和 IAM 角色。
-
新增標籤以選取您要備份的資源。允許的最大標籤數量為 30。
AWS Organizations 如果透過 Organizations 織原則建立備份計劃,則原則允許最多指定 30 個標記。利用多個資源分配或執行多個備份計劃,可以包含其他標籤。
如果同一備份選項中的標記數目超過 30 個 (無論是透過修改現有選取項目或使用)
@@append
,則備份計劃將無效且會從本機帳戶中移除。 -
如果您要備份的資源正在 Amazon EC2 執行個體上執行 Microsoft Windows,請在 進階設定 區段選擇 Windows VSS。這可讓您取得應用程式一致的 Windows VSS 備份。
注意
AWS Backup 目前僅支援在 Amazon EC2 上執行的資源的應用程式一致性備份。並非所有執行個體類型或應用程式皆支援 Windows VSS 備份。如需詳細資訊,請參閱 建立 Windows VSS 備份。
-
選擇 Add backup plan (新增備份計畫) 將其新增至政策,然後選擇 Create backup policy (建立備份政策)。
建立備份政策並不會保護您的資源,除非您將其連接到帳戶。您可以選擇您的政策名稱,查看詳細資訊。
以下是建立備份計劃的範例 AWS Organizations 原則。如果您啟用 Windows VSS 備份,即必須新增可讓您取得應用程式一致備份的許可,如政策的
advanced_backup_settings
區段所示。{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
-
在 Targets (目標) 區段中,選擇要連接政策的組織單位或帳戶,然後選擇 Attach (連接)。您也可以將政策新增至個別組織單位或帳戶。
注意
請務必驗證您的政策,並確認政策中包含了所有必要欄位。如果政策的某些部分無效, AWS Backup 會忽略這些部分,但政策的有效部分將會如預期般運作。目前, AWS Backup 不驗證 AWS Organizations 策略的正確性。
如果您將彼此互相衝突的兩項政策 (例如,具有不同的備份保留期間),一項套用至管理帳戶,另一項套用至成員帳戶,則兩項政策的執行不會發生問題 (即每個帳戶都會獨立執行政策)。例如,如果管理帳戶政策每天備份一次 Amazon EBS 磁碟區,而本機政策每週備份一次 EBS 磁碟區,則兩項政策都可執行。
如果將要套用至帳戶的有效政策缺少了必要欄位 (可能因為合併不同政策所致),則 AWS Backup 完全不會將政策套用至帳戶。如果某些設定無效,請對其 AWS Backup 進行調整。
無論從備份策略建立的備份計劃中,成員帳戶中的選擇加入設定為何,都 AWS Backup 會使用組織管理帳戶中指定的選擇加入設定。
若將政策連接至組織單位,加入此組織單位的每個帳戶都會自動取得此政策,而從組織單位移除的每個帳戶則會失去此政策。對應的備份計畫會自動從該帳戶中刪除。
監控多個 AWS 帳戶的活動
若要監控跨帳戶的備份、複製和還原任務,您必須啟用跨帳戶監控。這可讓您從組織管理帳戶監控所有帳戶的備份活動。當您選擇加入之後,您組織中所有在選擇加入之後建立的任務都會顯示出來。當您選擇退出時, AWS Backup 會將任務保留在彙總檢視中 30 天 (從達到終止狀態起)。系統不會顯示選擇退出後建立的任務,也不會顯示任何新建立的備份任務。如需選擇加入的說明,請參閱 啟用跨帳戶管理。
監控多個帳戶
-
AWS Backup 主控台 在以下位置打開。
https://console.aws.amazon.com/backup/ 您必須使用管理帳戶憑證進行登入。 -
在左側導覽窗格中,選擇 Settings (設定) 以開啟跨帳戶管理頁面。
-
在 Cross-account monitoring (跨帳戶監控) 區段中,選擇 Enable (啟用)。
這可讓您從管理帳戶監控組織中所有帳戶的備份和還原活動。
-
在左側導覽窗格中,選擇 Cross-account monitoring (跨帳戶監控)。
-
在 Cross-account monitoring (跨帳戶監控) 頁面上,選擇 Backup jobs (備份任務)、Restore jobs (還原任務) 或 Copy jobs (複製任務) 標籤,以查看在所有帳戶中建立的所有任務。您可以通過 AWS 帳戶 ID 查看每個作業,並且可以查看特定帳戶中的所有作業。
-
在搜尋方塊中,您可以依 Account ID (帳戶 ID)、Status (狀態) 或 Job ID (任務 ID) 篩選任務。
例如,您可以選擇 Backup jobs (備份任務) 標籤,並查看在您的所有帳戶中建立的所有備份任務。您可以依 Account ID (帳戶 ID) 篩選清單,並查看在該帳戶中建立的所有備份任務。
資源選擇加入規則
如果成員帳戶的備份計劃是由組織層級備份策略所建立,則組 Organizations 管理帳戶的 AWS Backup 選擇加入設定將覆寫該成員帳戶中的選擇加入設定,但僅適用於該備份計劃。
如果成員帳戶也有使用者建立的本機層級備份計畫,則這些備份計畫會遵循成員帳戶中的選擇加入設定,不參考 Organizations 管理帳戶的選擇加入設定。
定義政策、政策語法和政策繼承
《 AWS Organizations 使用者指南》中將說明下列主題。