使用 Amazon Backup 控制台创建报告计划 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Backup 控制台创建报告计划

有两种类型的报告。一种是作业报告,它显示过去 24 小时内完成的作业以及所有活动作业。另一种报告是合规性报告。合规性报告可以监控资源级别或有效的不同控件。创建报告时,您可以选择要创建的报告类型。

根据您的账户类型,控制台显示可能会有所不同。只有管理账户才能看到多账户功能。

备份计划类似,您可以创建报告计划来自动创建报告并定义其目的地 Amazon S3 存储桶。报告计划要求您拥有 S3 存储桶才能接收报告。有关设置新 S3 存储桶的说明,请参阅《Amazon Simple Storage Service 用户指南》中的步骤 1:创建您的第一个 S3 存储桶

在 Amazon Backup 控制台中创建报告计划

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 在左侧导航窗格中,选择报告

  3. 选择创建报告计划

  4. 从列表中选择一个报告模板。

  5. 输入唯一报告计划名称。该名称的长度必须介于 1 到 256 个字符之间,以字母开头,由字母(a-z、A-Z)、数字 (0-9) 和下划线 (_) 组成。

  6. (可选)输入报告计划描述

  7. 仅适用于一个账户的合规性报告模板。选择要报告的一个或多个框架。您最多可以向报告计划添加 1,000 个框架。

    1. 选择您所在 Amazon 的地区。

    2. 从该区域中选择一个框架。

    3. 选择添加框架

  8. (可选)要向报告计划添加标签,请选择向报告计划添加标签

  9. 如果您使用的是管理账户,则可以指定要在此报告计划中包含哪些账户。您可以选择仅我的账户,这将仅针对您当前登录的账户生成报告。或者,您可以选择我的组织中的一个或多个帐户适用于管理和委派管理员帐户)。

  10. 如果您只为一个区域创建合规性报告,请跳过此步骤)。您可以选择要包含在报告中的区域。单击下拉菜单,显示可供您使用的区域。选择所有可用区域或您喜欢的区域。

    1. 将新区域合并到 Backup Audit Manager 时将其包括在内复选框将在新区域可用时触发将其包含在您的报告中。

  11. 选择报告的文件格式。所有报告均可以 CSV 格式导出。此外,可以以 JSON 格式导出单个区域的报告。

  12. 使用下拉列表选择您的 S3 存储桶名称

  13. (可选)输入存储桶前缀。

    Amazon Backup 将您的往来账户、当前地区报告发送至s3://your-bucket-name/prefix/Backup/accountID/Region/year/month/day/report-name

    Amazon Backup 将您的跨账户报告发送s3://your-bucket-name/prefix/Backup/crossaccount/Region/year/month/day/report-name

    Amazon Backup 将您的跨区域报告发送s3://your-bucket-name/prefix/Backup/accountID/crossregion/year/month/day/report-name

  14. 选择创建报告计划

接下来,您必须允许您的 S3 存储桶接收来自的报告 Amazon Backup。创建报告计划后,Audit Amazon Backup Manager 会自动生成一个 S3 存储桶访问策略供您应用。

如果您使用客户托管的 KMS 密钥加密存储桶,则 KMS 密钥策略必须满足以下要求:

  • Action属性必须kms:Decrypt至少包含kms:GenerateDataKey和。

该策略AWSServiceRolePolicyForBackupReports具有这些权限。

查看此访问策略并将其应用于 S3 存储桶

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 在左侧导航窗格中,选择报告

  3. 报告计划名称下,选择报告计划的名称,来选择报告计划。

  4. 选择编辑

  5. 选择查看 S3 存储桶的访问策略。您还可以在此过程结束时使用策略。

  6. 选择复制权限

  7. 选择编辑存储桶策略。请注意,在首次创建备份报告之前,S3 存储桶策略中提及的服务相关角色尚不存在,从而导致错误 “委托人无效”。

  8. 将权限复制到策略

示例存储桶策略

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::123456789012:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"
      },
      "Action":"s3:PutObject",
      "Resource":[
        "arn:aws:s3:::BucketName/*"
      ],
      "Condition":{
        "StringEquals":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    }
  ]
}

如果您使用自定义 Amazon Key Management Service 来加密存储报告的目标 S3 存储桶,请在策略中包括以下操作:


      "Action":[
        "kms:GenerateDataKey",
        "kms:Encrypt"
      ],  
      "Resource":[
        "*"
      ],