管理多个Amazon Backup资源 Amazon Web Services 账户 - Amazon Backup
在 Organizations 中创建管理账户启用跨账户管理 委托管理员创建备份策略多人监控活动 Amazon Web Services 账户资源选择加入规则定义策略、策略语法和策略继承
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理多个Amazon Backup资源 Amazon Web Services 账户

注意

在管理多个Amazon Web Services 账户中的资源之前Amazon Backup,您的账户必须属于Amazon Organizations服务中的同一个组织。

您可以使用中的跨账户管理功能Amazon Backup来管理和监控您配置的备份、还原和复制作业。Amazon Web Services 账户 Amazon Organizations Amazon Organizations是一项通过单个管理账户为多个账户提供基于策略Amazon Web Services 账户的管理的服务。它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中央视角来看,您可以轻松识别所有账户中符合您感兴趣标准的资源。

如果设置了 Amazon Organizations,则可以将 Amazon Backup 配置为在一个位置监视所有账户中的活动。您还可以创建备份策略并将其应用于属于组织一部分的选定账户,并直接从 Amazon Backup 控制台查看聚合备份作业活动。此功能使备份管理员能够通过一个管理帐户有效地监控整个企业中数百个帐户的备份任务状态。 Amazon Organizations配额适用。

例如,您可以定义一个备份策略 A,该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。(这意味着组织中的每个帐户都将获得该备份策略,该策略会创建相应的备份计划,该计划在该帐户中可见。) 然后,您创建一个名为 Finance 的 OU,并决定仅将其备份保留 30 天。在这种情况下,您定义一个备份策略 B,该策略将覆盖生命周期值,并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划,该计划每天对所有指定的资源进行备份,并将备份保留 30 天。

在此示例中,备份策略 A 和备份策略 B 合并为一个备份策略,该策略定义了名为 Finance 的 OU 下所有账户的保护策略。组织中的所有其他帐户仍受备份策略 A 的保护。只有共享相同备份计划名称的备份策略才会进行合并。还可以让策略 A 和策略 B 在该账户中共存,而无需进行任何合并。只能在控制台的 JSON 视图中使用高级合并运算符。有关合并策略的详细信息,请参阅Amazon Organizations用户指南定义策略、策略语法和策略继承中的。有关其他参考和用例,请参阅博客 “在Amazon Organizations使用中大规模管理备份” Amazon Backup 和视频教程 “在Amazon Organizations使用中大规模管理备份” Amazon Backup。

请查看按Amazon地区划分的功能可用性,以了解跨账户管理功能在哪些地方可用。

要使用跨账户管理,您必须执行以下步骤:

  1. 在中创建管理账户Amazon Organizations,并在管理账户下添加账户。

  2. 在 Amazon Backup 中启用跨账户管理功能。

  3. 创建适用于管理账户Amazon Web Services 账户下所有人的备份策略。

    注意

    对于由 Organizations 管理的备份计划,管理账户中的资源选择加入设置会覆盖成员账户中的设置。

  4. 管理您的所有备份、还原和复印作业Amazon Web Services 账户。

在 Organizations 中创建管理账户

首先,您必须创建您的组织并使用中的Amazon成员帐户对其进行配置Amazon Organizations。

在中创建管理账户Amazon Organizations并添加账户

启用跨账户管理

在 Amazon Backup 中使用跨账户管理之前,您必须启用该功能(即选择加入该功能)。启用此功能后,您可以创建备份策略,以允许您自动同时管理多个账户。

启用跨账户管理

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Backup 控制台:https://console.aws.amazon.com/backup

    您只能通过管理账户执行此步骤。

  2. 在左侧导航窗格中,选择设置以打开跨账户管理页面。

  3. 备份策略部分中,选择启用

    这使您可以访问所有账户,并允许您创建策略以便同时自动管理组织中的多个账户。

  4. 跨账户监控部分中,选择启用

    这使您能够通过管理帐户监控组织中所有帐户的备份、复制和恢复活动。

委托管理员

委托管理为注册成员账户中的分配用户提供了一种便捷的方式来执行大多数Amazon Backup管理任务。您可以选择将管理权限委托给中的成员账户Amazon Organizations,从而将管理账户外部的管理权限扩展Amazon Backup到整个组织。Amazon Backup

默认情况下,管理账户是用于编辑和管理策略的账户。使用委派管理员功能,您可以将这些管理功能委托给您指定的成员账户。反过来,除了管理账户之外,这些账户还可以管理政策。

成员账户成功注册委托管理后,即为委托管理员账户。请注意,被指定为授权管理员的账户,而不是用户。

启用委派管理员帐户允许选择管理备份策略,最大限度地减少有权访问管理帐户的用户数量,并允许跨账户监控作业。

下表显示了管理账户、委托为 Backup 管理员的账户以及作为Amazon组织成员的账户的职能。

特权边缘 管理账户 委派管理员 会员账号
注册/注销委派管理员账号
在中跨账户管理备份策略 Amazon Organizations
监控跨账户作业

先决条件

在委托备份管理之前,必须先将Amazon组织中的至少一个成员帐户注册为委托管理员。必须先配置以下内容,然后才能将账户注册为委派管理员:

  • Amazon Organizations除了您的默认管理账户外,还@@ 必须启用并配置至少一个成员帐户。

  • 在Amazon Backup控制台中,确保备份策略跨账户监控跨账户备份功能已开启。它们位于Amazon Backup控制台的 “委派管理员” 窗格下方。

    • 跨账户监控允许您通过管理账户以及委派的管理员账户监控组织中所有账户的备份活动。

    • 可选:跨账户备份,允许组织中的账户将备份复制到其他账户(适用于备份支持的跨账户资源)。

    • 使用启用服务访问权限Amazon Backup。

设置委托管理涉及两个步骤。第一步是委托跨账户作业监控。第二步是委托备份策略管理。

将成员账号注册为委派管理员账号

这是第一部分:使用Amazon Backup控制台注册委托管理员帐户以监控跨账户作业。要委派Amazon Backup策略,您将在下一节中使用 Organizations 控制台。

要使用Amazon Backup控制台注册成员账户,请执行以下操作:

  1. 使用您的管理账户的凭据@@ 登录Amazon Backup控制台Amazon Organizations。

  2. 在控制台左侧导航栏的 “我的帐户” 下,选择 “设置”

  3. 在 “委派管理员” 窗格中,单击 “注册委派管理员” 或 “添加委派管理员”。

  4. 在 “注册委托管理员” 页面上,选择要注册的账户,然后选择 “注册账户”。

此指定账户现在将注册为授权管理员,拥有管理权限,可以监控组织内各个账户的作业,并且可以查看和编辑策略(策略委托)。该成员账号不能注册或注销其他委托管理员账号。您可以使用控制台将最多 5 个账户注册为委托管理员。

要以编程方式注册成员账户,请执行以下操作:

使用 register-delegated-administrator CLI 命令。您可以在 CLI 请求中指定以下参数:

  • service-principal

  • account-id

以下是 CLI 请求以编程方式注册成员账户的示例:

aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

注销成员账户

使用以下步骤Amazon Backup通过注销Amazon组织中以前被指定为授权管理员的成员帐户来移除管理访问权限。

使用控制台注销成员账户

  1. 使用您的管理账户的凭据@@ 登录Amazon Backup控制台Amazon Organizations。

  2. 在控制台左侧导航栏的 “我的帐户” 下,选择 “设置”

  3. 在 “委托管理员” 部分,单击 “注销账户”。

  4. 选择您要注销的账户。

  5. 在 “注销帐户” 对话框中,查看安全隐患,然后键入confirm以完成注销。

  6. 选择 Deregister account

要以编程方式注销成员账户,请执行以下操作:

使用 CLI 命令deregister-delegated-administrator取消注册委派管理员帐户。您可以在 API 请求中指定以下参数:

  • service-principal

  • account-id

以下是 CLI 请求以编程方式注销成员账户的示例:

aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

通过以下方式委派Amazon Backup策略 Amazon Organizations

在Amazon Organizations控制台中,您可以委托管理多个策略,包括 Backup 策略。

通过登录到Amazon Organizations控制台的管理账户,您可以为组织创建、查看或删除基于资源的委托策略。有关委派策略的步骤,请参阅《Amazon Organizations用户指南》中的创建基于资源的委托策略

创建备份策略

启用跨账户管理后,使用您的管理账户创建跨账户备份策略。

创建备份策略

  1. 在左侧导航窗格中,选择备份策略。在备份策略页上,选择创建备份策略

  2. 详细信息部分中,输入备份策略名称并提供说明。

  3. 备份计划详细信息部分中,选择可视编辑器选项卡,然后执行以下操作:

    1. 对于备份计划名称,输入名称。

    2. 对于区域,从列表中选择一个区域。

  4. 备份规则配置部分中,选择添加备份规则

    1. 对于规则名称,输入规则的名称。规则名称区分大小写,只能包含字母数字字符或连字符。

    2. 对于计划,请在频率列表中选择备份频率,然后选择备份时段选项之一。我们建议您选择 “使用默认备份窗口”(推荐)

  5. 对于生命周期,请选择所需的生命周期设置。

  6. 对于备份保管库名称,输入一个名称。这是将存储由备份创建的恢复点的备份保管库。

    确保您的所有账户中都存在备份保管库。 Amazon Backup不检查这个。

  7. (可选)如果要将备份复制到另一个区域,请从列表中选择目标区域Amazon Web Services 区域,然后添加标签。无论跨区域复制设置如何,您都可以为创建的恢复点选择标签。您还可以添加更多规则。

  8. 资源分配部分,提供 Amazon Identity and Access Management (IAM) 角色的名称。要使用Amazon Backup服务角色,请提供service-role/AWSBackupDefaultServiceRole

    Amazon Backup在每个账户中担任此角色是为了获得执行备份和复制任务的权限,包括加密密钥权限(如果适用)。 Amazon Backup还使用此角色执行生命周期删除。

    注意

    Amazon Backup 不会验证角色是否存在或者是否可以代入角色。

    对于跨账户管理创建的备份计划,Amazon Backup将使用管理账户中的选择加入设置并覆盖特定账户的设置。

    对于要向其添加备份策略的每个账户,您必须自己创建文件库和 IAM 角色。

  9. 如果需要,则将标签添加到备份计划。允许的最大标签数为 20。

  10. 如果您要备份的资源在亚马逊 EC2 实例上运行 Micro soft Windows,请在 “高级设置” 部分中选择 Windows VS S。这使您能够进行应用程序一致的 Windows VSS 备份。

    注意

    Amazon Backup目前仅支持在 Amazon EC2 上运行的资源的应用程序一致性备份。并非所有实例类型或应用程序都支持 Windows VSS 备份。有关更多信息,请参阅创建 Windows VSS 备份

    注意

    Amazon Organizations如果备份计划是通过 Organizations 策略创建的,则策略最多允许指定 20 个标签。通过使用多个资源分配或通过 JSON 参与多个备份计划,可以包含其他标签。

  11. 选择添加备份计划以将其添加到策略中,然后选择创建备份策略

    创建备份策略不会保护您的资源,直到您将其附加到账户。您可以选择您的策略名称并查看详细信息。

    以下是创建备份计划的Amazon Organizations策略示例。如果启用 Windows VSS 备份,则必须添加允许您进行应用程序一致性备份的权限,如策略advanced_backup_settings部分所示。

    {
  "plans": {
    "PiiBackupPlan": {
      "regions": {
        "@@append":[
          "us-east-1",
          "eu-north-1"
        ]
      },
      "rules": {
        "Hourly": {
          "schedule_expression": {
            "@@assign": "cron(0 0/1 ? * * *)"
          },
          "start_backup_window_minutes": {
            "@@assign": "60"
          },
          "complete_backup_window_minutes": {
            "@@assign": "604800"
          },
          "target_backup_vault_name": {
            "@@assign": "FortKnox"
          },
          "recovery_point_tags": {
            "owner": {
              "tag_key": {
                "@@assign": "Owner"
              },
              "tag_value": {
                "@@assign": "Backup"
              }
            }
          },
          "lifecycle": {
            "delete_after_days": {
              "@@assign": "365"
            },
            "move_to_cold_storage_after_days": {
              "@@assign": "180"
            }
          },
          "copy_actions": {
            "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : {
            "target_backup_vault_arn" : {
            "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault"  },
              "lifecycle": {
                "delete_after_days": {
                  "@@assign": "365"
                },
                "move_to_cold_storage_after_days": {
                  "@@assign": "180"
                }
              }
            }
          }
        }
      },
      "selections": {
        "tags": {
          "SelectionDataType": {
            "iam_role_arn": {
              "@@assign": "arn:aws:iam::$account:role/MyIamRole"
            },
            "tag_key": {
              "@@assign": "dataType"
            },
            "tag_value": {
              "@@assign": [
                "PII",
                "RED"
              ]
            }
          }
        }
      },
      "backup_plan_tags": {
        "stage": {
          "tag_key": {
            "@@assign": "Stage"
          },
          "tag_value": {
            "@@assign": "Beta"
          }
        }
      }
    }
  }
}

  12. 目标部分中,选择要将策略附加到的组织单位或账户,然后选择附加。此策略也可以添加到各个组织单位或账户中。

    注意

    请务必验证您的政策,并在策略中包含所有必填字段。如果策略的某些部分无效,则 Amazon Backup 忽略这些部分,但策略的有效部分将按预期工作。目前,Amazon Backup不验证Amazon Organizations策略的正确性。

    如果您对管理账户应用一种策略,对成员账户应用不同的策略,并且它们存在冲突(例如,备份保留期不同),则这两个策略将毫无问题地运行(也就是说,这些策略将针对每个账户独立运行)。例如,如果管理账户策略每天备份一次 Amazon EBS 卷,而本地策略每周备份一次 EBS 卷,则这两个策略都将运行。

    如果要应用于账户的有效政策中缺少必填字段(可能是由于不同政策之间的合并),则根本Amazon Backup不会将该政策应用于该账户。如果某些设置无效,则对其Amazon Backup进行调整。

    在根据备份策略创建的备份计划中,无论成员账户中的选择加入设置如何,都Amazon Backup将使用组织管理账户中指定的选择加入设置。

    当您将策略附加到组织单位时,加入此组织单位的每个账户都会自动获取此策略,从组织单位中删除的每个账户都会失去此策略。相应的备份计划将自动从该账户中删除。

多人监控活动 Amazon Web Services 账户

要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这使您可以通过组织管理帐户监控所有账户中的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时,Amazon Backup 将作业在聚合视图中保留 30 天(从到达终点状态开始)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅启用跨账户管理

监控多个账户

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Backup 控制台:https://console.aws.amazon.com/backup

    您只能通过管理账户执行此操作。

  2. 在左侧导航窗格中,选择设置以打开跨账户管理页面。

  3. 跨账户监控部分中,选择启用

    这使您能够通过管理帐户监控组织中所有帐户的备份和还原活动。

  4. 在左侧导航窗格中,选择跨账户监控

  5. 跨账户监控页面上,选择备份作业还原作业复制作业选项卡,以查看在所有账户中创建的所有作业。您可以通过 Amazon Web Services 账户 ID 查看这些作业,也可以查看特定账户中的所有作业。

  6. 在搜索框中,您可以按账户 ID状态作业 ID 筛选作业。

    例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。

资源选择加入规则

如果成员账户的备份计划是由组织级别的备份策略创建的(以 ID 开头orgs-),则 Amazon Backup Organizations 管理账户的选择加入设置将覆盖该成员账户中的选择加入设置,但仅适用于该备份计划。

如果成员账户还有用户创建的本地级备份计划,则这些备份计划将遵循成员账户中的选择加入设置,而不必参考 Organizations 管理账户的选择加入设置。

定义策略、策略语法和策略继承

Amazon Organizations用户指南》中记录了以下主题。