跨多个 AWS 账户管理 AWS Backup 资源 - AWS Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨多个 AWS 账户管理 AWS Backup 资源

您可以使用 AWS Backup 中的跨账户管理功能来跨使用 AWS Organizations 配置的 AWS 账户管理和监控备份、还原和复制作业。AWS Organizations 是一项服务,可为单个 中的多个 AWS 账户提供基于策略的管理。管理账户它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中心视图中,您可以轻松地识别所有账户中符合您感兴趣的条件的资源。

如果设置了 AWS Organizations,则可以将 AWS Backup 配置为在一个位置监视所有账户中的活动。您可通过 AWS Backup 控制台或 AWS Command Line Interface (AWS CLI) 完成这一操作。您还可以创建备份策略并将其应用于属于组织一部分的选定账户,并直接从 AWS Backup 控制台查看聚合备份作业活动。此功能使备份管理员能够从单个 管理账户 有效地监控其整个企业中数百个账户的备份作业状态。

跨账户管理功能在以下 AWS 区域不可用:

  • 中东(巴林)

  • 亚太地区(香港)

  • AWS GovCloud

  • 中国(北京)

  • 中国 (宁夏)

要使用跨账户管理,您必须执行以下步骤:

  1. 在 管理账户 中创建 AWS Organizations 并在 管理账户 下添加账户。

  2. 在 AWS Backup 中启用跨账户管理功能。

  3. 创建备份策略以应用于 管理账户 下的所有 AWS 账户。

    注意

    对于由组织管理的备份计划,管理账户 中的资源选择加入设置将覆盖成员账户中的设置。

  4. 管理所有 AWS 账户中的备份、恢复和复制作业。

在 管理账户 中创建组织

首先,您需要创建您的组织并使用 AWS Organizations 中的 AWS 成员账户对此组织进行配置。

在 管理账户 中创建 AWS Organizations 并添加账户

启用跨账户管理

在 AWS Backup 中使用跨账户管理之前,您必须启用该功能(即选择加入该功能)。启用此功能后,您可以创建备份策略,以允许您自动同时管理多个账户。

启用跨账户管理

  1. 通过以下网址登录 AWS 管理控制台并打开 AWS Backup 控制台:https://console.amazonaws.cn/backup

    您只能通过 管理账户 执行此操作。

  2. 在左侧导航窗格中,选择设置以打开跨账户管理页面。

  3. 备份策略部分中,选择启用

    这使您可以访问所有账户,并允许您创建策略以便同时自动管理组织中的多个账户。

  4. 跨账户监控部分中,选择启用

    这使您能够从 管理账户 监控组织中所有账户的备份、复制和还原活动。

创建备份策略

启用跨账户管理后,通过创建策略,您可以同时从 管理多个账户的资源。管理账户

创建备份策略

  1. 在左侧导航窗格中,选择备份策略。在备份策略页上,选择创建备份策略

  2. 详细信息部分中,输入备份策略名称并提供说明。

  3. 备份计划详细信息部分中,选择可视编辑器选项卡,然后执行以下操作:

    1. 对于备份计划名称,输入名称。

    2. 对于区域,从列表中选择一个区域。

  4. 备份规则配置部分中,选择添加备份规则

    1. 对于规则名称,输入规则的名称。规则名称区分大小写,只能包含字母数字字符或连字符。

    2. 对于计划,请在频率列表中选择备份频率,然后选择备份时段选项之一。我们建议您选择使用备份时段默认值 — 建议

  5. 对于生命周期,请选择所需的生命周期设置。

  6. 对于备份保管库名称,输入一个名称。这是将存储由备份创建的恢复点的备份保管库。

    确保您的所有账户中都存在备份保管库。AWS Backup 不会对此进行检查。

  7. (可选)如果您希望将备份复制到另一 AWS 区域,请从列表中选择目标区域,然后添加标签。无论跨区域复制设置如何,您都可以为创建的恢复点选择标签。您还可以添加更多规则。

  8. 资源分配部分中,提供 AWS Identity and Access Management (IAM) 角色的名称。AWS Backup 在每个账户中代入此角色,并具有执行备份和复制作业的权限。此角色也用于生命周期删除。

    注意

    AWS Backup 不会验证角色是否存在或者是否可以代入角色。

    由跨账户管理创建的备份计划,AWS Backup 将使用 管理账户 中的选择加入设置,并覆盖特定账户的设置。

    对于要添加备份策略的每个账户,您需要自行创建保管库和 IAM 角色。

  9. 如果需要,则将标签添加到备份计划。

  10. 如果要备份的资源在 实例上运行 Microsoft Windows,请在 Advanced settings (高级设置) 部分中,选择 Windows VSSAmazon EC2。这使您能够进行应用程序一致性 Windows VSS 备份。

    注意

    AWS Backup 目前仅支持在 Amazon EC2 上运行的资源的应用程序一致性备份。Windows VSS 备份并不支持所有实例类型或应用程序。有关更多信息,请参阅 创建启用 VSS 的 Windows 备份

  11. 选择添加备份计划以将其添加到策略中,然后选择创建备份策略

    创建备份策略不会保护您的资源,直到您将其附加到账户。您可以选择您的策略名称并查看详细信息。

    以下是创建备份计划的示例 AWS Organizations 策略。如果您启用 Windows VSS 备份,则需要添加允许您执行应用程序一致性备份的权限 如策略的 advanced_backup_settings 部分所示。

    { "plans": { "PiiMasterBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "2" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
  12. 目标部分中,选择要将策略附加到的组织单位或账户,然后选择附加。此策略也可以添加到各个组织单位或账户中。

    注意

    您应验证您的策略,并确保在策略中包含所有必填字段。如果策略的某些部分无效,则 AWS Backup 忽略这些部分,但策略的有效部分将按预期工作。目前,AWS Backup 不为 AWS Organizations 开发工具包和 JSON 提供策略验证。

    如果应用于管理账户和成员账户的策略发生冲突,则两个策略都会执行而不会出现问题(即,这两个策略将针对每个账户独立执行)。例如,如果主策略每天备份一个 Amazon EBS 卷,而本地策略每周备份一次 EBS 卷,则两个策略都将执行。

    如果将应用于某个账户的有效策略中缺少必填字段(可能是由于不同策略之间的合并所致),则 AWS Backup 根本不会将该策略应用于该账户。如果某些设置无效,AWS Backup 将对其进行调整。

    无论从备份策略创建的备份计划中成员账户中的选择加入设置如何,AWS Backup 都将使用组织的 管理账户 中指定的选择加入设置。

    当您将策略附加到组织单位时,加入此组织单位的每个账户都会自动获取此策略,从组织单位中删除的每个账户都会失去此策略。相应的备份计划将自动从该账户中删除。

监控多个 AWS 账户中的活动

要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这样,您就可以从组织 管理账户 中监控所有账户的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时,AWS Backup 将作业在聚合视图中保留 30 天(从到达终点状态开始)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅启用跨账户管理

监控多个账户

  1. 通过以下网址登录 AWS 管理控制台并打开 AWS Backup 控制台:https://console.amazonaws.cn/backup

    您只能通过 管理账户 执行此操作。

  2. 在左侧导航窗格中,选择设置以打开跨账户管理页面。

  3. 跨账户监控部分中,选择启用

    这使您能够从 管理账户 监控组织中所有账户的备份和还原活动。

  4. 在左侧导航窗格中,选择跨账户监控

  5. 跨账户监控页面上,选择备份作业还原作业复制作业选项卡,以查看在所有账户中创建的所有作业。您可以通过 AWS 账户 ID 查看其中的每个作业,并可以查看特定账户中的所有作业。

  6. 在搜索框中,您可以按账户 ID状态作业 ID 筛选作业。

    例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。

定义策略、策略语法和策略继承

AWS Organizations 用户指南 中记录了以下主题。