管理Amazon Backup跨多个资源Amazon账户 - Amazon Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理Amazon Backup跨多个资源Amazon账户

您可以使用Amazon Backup以管理和监控跨跨部门的备份、恢复和复制作业Amazon您配置的帐户Amazon Organizations。Amazon Organizations是一种服务,可以针对多个Amazon帐户从单个管理帐户。它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中心视图中,您可以轻松地识别所有账户中符合您感兴趣的条件的资源。

如果设置了 Amazon Organizations,则可以将 Amazon Backup 配置为在一个位置监视所有账户中的活动。您还可以创建备份策略并将其应用于属于组织一部分的选定账户,并直接从 Amazon Backup 控制台查看聚合备份作业活动。此功能使备份管理员能够从单个管理账户有效地监控整个企业中数百个账户的备份作业状态。

例如,您可以定义一个备份策略 A,该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。(这意味着组织中的每个账户都会获得该备份策略,该策略会创建一个在该账户中可见的对应备份计划。) 然后,您创建一个名为 Finance 的 OU,并决定仅将其备份保留 30 天。在这种情况下,您定义一个备份策略 B,该策略将覆盖生命周期值,并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划,该计划每天对所有指定的资源进行备份,并将备份保留 30 天。

在此示例中,备份策略 A 和备份策略 B 合并为单个备份策略,该策略为名为 Finance 的 OU 下的所有账户定义保护策略。组织中的所有其他账户仍受备份策略 A 的保护。合并仅对共享相同备份计划名称的备份策略执行。还可以让策略 A 和策略 B 在该账户中共存,而无需进行任何合并。只能在控制台的 JSON 视图中使用高级合并运算符。有关合并策略的详细信息,请参阅定义策略、策略语法和策略继承中的Amazon Organizations用户指南。有关其他参考资料和使用案例,请参阅博客大规模管理备份Amazon Organizations,使用Amazon Backup和视频教程大规模管理备份Amazon Organizations,使用Amazon Backup

跨账户管理功能在以下Amazon区域:Amazon GovCloud (US)、中国区域、中东(巴林)区域和亚太地区(香港)区域。

要使用跨账户管理,您必须执行以下步骤:

  1. 在中创建管理帐户Amazon Organizations并在管理账户下添加账户。

  2. 在 Amazon Backup 中启用跨账户管理功能。

  3. 创建备份策略以应用于所有Amazon您的管理帐户下的帐户。

    注意

    对于由 Organizations 管理的备份计划,管理账户中的资源选择加入设置将覆盖成员账户中的相应设置。

  4. 管理所有您的备份、恢复和复制作业Amazon账户。

在 Organizations 中创建管理帐户

首先,您需要创建您的组织并使用Amazon中的成员账户Amazon Organizations。

若要在Amazon Organizations并添加帐户

支持跨账户管理

在 Amazon Backup 中使用跨账户管理之前,您必须启用该功能(即选择加入该功能)。启用此功能后,您可以创建备份策略,以允许您自动同时管理多个账户。

启用跨账户管理

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Backup控制台位于https://console.aws.amazon.com/backup

    您只能从管理账户执行此操作。

  2. 在左侧导航窗格中,选择设置以打开跨账户管理页面。

  3. 备份策略部分中,选择启用

    这使您可以访问所有账户,并允许您创建策略以便同时自动管理组织中的多个账户。

  4. 跨账户监控部分中,选择启用

    这使您能够从管理账户监控组织中所有账户的备份、复制和还原活动。

创建备份策略

启用跨账户管理后,从管理账户创建跨账户备份策略。

创建备份策略

  1. 在左侧导航窗格中,选择备份策略。在备份策略页上,选择创建备份策略

  2. 详细信息部分中,输入备份策略名称并提供说明。

  3. 备份计划详细信息部分中,选择可视编辑器选项卡,然后执行以下操作:

    1. 对于备份计划名称,输入名称。

    2. 对于区域,从列表中选择一个区域。

  4. 备份规则配置部分中,选择添加备份规则

    1. 对于规则名称,输入规则的名称。规则名称区分大小写,只能包含字母数字字符或连字符。

    2. 对于计划,请在频率列表中选择备份频率,然后选择备份时段选项之一。建议您选择使用备份窗口默认值 — 推荐

  5. 对于生命周期,请选择所需的生命周期设置。

  6. 对于备份保管库名称,输入一个名称。这是将存储由备份创建的恢复点的备份保管库。

    确保您的所有账户中都存在备份保管库。Amazon Backup不会对此进行检查。

  7. (可选)如果您希望将备份复制到另一个目标区域,请从列表中选择目标区域Amazon区域,并添加标签。无论跨区域复制设置如何,您都可以为创建的恢复点选择标签。您还可以添加更多规则。

  8. 资源分配部分中,提供Amazon Identity and Access Management(IAM) 角色。使用Amazon Backup服务相关角色,提供service-role/AWSBackupDefaultServiceRole

    Amazon Backup在每个账户中代入此角色以获得执行备份和复制作业的权限,包括加密密钥权限(如果适用)。Amazon Backup还使用此角色执行生命周期删除。

    注意

    Amazon Backup 不会验证角色是否存在或者是否可以代入角色。

    跨账户管理创建的 Backup 计划,Amazon Backup将使用管理账户中的选择加入设置并覆盖特定账户的设置。

    对于要添加备份策略的每个账户,您需要自行创建保管库和 IAM 角色。

  9. 如果需要,则将标签添加到备份计划。

  10. 高级设置部分中,选择。Windows VSS如果您正在备份的资源在 Amazon EC2 实例上运行微软 Windows,则该资源正在运行。这使您能够进行应用程序一致性的 Windows VSS 备份。

    注意

    Amazon Backup目前仅支持 Amazon EC2 上运行的资源的应用程序一致性备份。并非所有实例类型或应用程序都支持 Windows VSS 备份。有关更多信息,请参阅创建 Windows VSS 备份

  11. 选择添加备份计划以将其添加到策略中,然后选择创建备份策略

    创建备份策略不会保护您的资源,直到您将其附加到账户。您可以选择您的策略名称并查看详细信息。

    以下是示例Amazon创建备份计划的 Organizations 策略。如果您启用Windows VSS 备份,您需要添加权限以允许您执行应用程序一致性备份 ,如advanced_backup_settings部分。

    { "plans": { "PiiMasterBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "2" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
  12. 目标部分中,选择要将策略附加到的组织单位或账户,然后选择附加。此策略也可以添加到各个组织单位或账户中。

    注意

    您应验证您的策略,并确保在策略中包含所有必填字段。如果策略的某些部分无效,则 Amazon Backup 忽略这些部分,但策略的有效部分将按预期工作。目前,Amazon Backup 不为 Amazon Organizations 开发工具包和 JSON 提供策略验证。

    如果应用于管理帐户和成员帐户的策略冲突,两种策略将执行而不会出现问题(即,这些策略将针对每个账户独立执行)。例如,如果主策略每天备份一个 Amazon EBS 卷,而本地策略每周备份一次 EBS 卷,则两个策略都将执行。

    如果将应用于某个账户的有效策略中缺少必填字段(可能是由于不同策略之间的合并所致),Amazon Backup根本不会将策略应用于该帐户。如果某些设置无效,Amazon Backup调整它们。

    无论从备份策略创建的备份计划中成员账户中的选择加入设置如何,Amazon Backup将使用组织管理帐户中指定的选择加入设置。

    当您将策略附加到组织单位时,加入此组织单位的每个账户都会自动获取此策略,从组织单位中删除的每个账户都会失去此策略。相应的备份计划将自动从该账户中删除。

多个监控活动Amazon账户

要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这使您能够从组织管理账户监控所有账户中的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时,Amazon Backup 将作业在聚合视图中保留 30 天(从到达终点状态开始)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅支持跨账户管理

监控多个账户

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Backup控制台位于https://console.aws.amazon.com/backup

    您只能从管理账户执行此操作。

  2. 在左侧导航窗格中,选择设置以打开跨账户管理页面。

  3. 跨账户监控部分中,选择启用

    这使您能够从管理账户监控组织中所有账户的备份和还原活动。

  4. 在左侧导航窗格中,选择跨账户监控

  5. 跨账户监控页面上,选择备份作业还原作业复制作业选项卡,以查看在所有账户中创建的所有作业。您可以通过Amazon账户 ID,您可以查看特定账户中的所有作业。

  6. 在搜索框中,您可以按账户 ID状态作业 ID 筛选作业。

    例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。

定义策略、策略语法和策略继承

以下主题记录在Organizations 用户指南