跨多个 Amazon Web Services 账户管理 Amazon Backup 资源
注意
在 Amazon Backup 中跨多个 Amazon Web Services 账户管理资源之前,您的账户必须在 Amazon Organizations 服务中属于同一组织。
跨账户管理概述
您可以使用 Amazon Backup 中的跨账户管理功能,跨您使用 Amazon Organizations 配置的 Amazon Web Services 账户管理和监控备份、还原和复制作业。Amazon Organizations 是一项服务,可从单个管理账户中为多个 Amazon Web Services 账户提供基于策略的管理。它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中央视图中,您可以轻松地识别所有账户中符合您关注条件的资源。
如果设置了 Amazon Organizations,则可以将 Amazon Backup 配置为在一个位置监控所有账户中的活动。您还可以创建备份策略并将其应用于属于组织一部分的选定账户,并直接从 Amazon Backup 控制台查看聚合备份作业活动。此功能使备份管理员能够从单个管理账户有效地监控整个企业中数百个账户的备份作业状态。Amazon Organizations 配额适用。
例如,您可以定义一个备份策略 A,该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。(这意味着组织中的每个账户都会获得该备份策略,该策略会创建一个在该账户中可见的对应备份计划。) 然后,您创建一个名为 Finance 的 OU,并决定仅将其备份保留 30 天。在这种情况下,您定义一个备份策略 B,该策略将覆盖生命周期值,并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划,该计划每天对所有指定的资源进行备份,并将其备份保留 30 天。
在此示例中,备份策略 A 和备份策略 B 合并为一个备份策略,该策略为名为 Finance 的 OU 下的所有账户定义保护策略。组织中的所有其他账户仍受备份策略 A 的保护。仅对共享相同备份计划名称的备份策略执行合并。您还可以让策略 A 和策略 B 在该账户中共存,而无需进行任何合并。您只能在控制台的 JSON 视图中使用高级合并运算符。有关合并策略的详细信息,请参阅《Amazon Organizations 用户指南》中的定义策略、策略语法和策略继承。有关其他参考和使用案例,请参阅博客 Managing backups at scale in your Amazon Organizations using Amazon Backup
跨账户管理包括跨账户监控、跨账户备份、备份策略和委派管理员账户。并非所有这些元素在所有区域中都可用。有关跨账户管理在哪些区域可用的信息,请参阅按 Amazon 区域划分的功能可用性。
使用跨账户管理
-
在 Amazon Organizations 中创建管理账户并在管理账户下添加账户。
-
在 Amazon Backup 中启用跨账户管理特征。
-
创建适用于管理账户下所有 Amazon Web Services 账户的备份策略。
注意
对于由 Organizations 管理的备份计划,管理账户中的资源选择加入设置将覆盖成员账户中的该设置,即使配置了一个或多个委派管理员账户也是如此。委派管理员账户是具有增强功能的成员账户,不能像管理账户那样覆盖设置。
-
管理所有 Amazon Web Services 账户中的备份、还原和复制作业。
在 Organizations 中创建管理账户
首先,您必须创建您的组织并在 Amazon Organizations 中配置组织的 Amazon 成员账户。有关说明,请参阅《Amazon Organizations User Guide》中的 Tutorial: Creating and configuring an organization。
向组织添加成员账户时,请确保每个账户都具有:
-
至少一个备份和/或逻辑上受物理隔离的保管库
-
一个 IAM 角色
您创建的备份策略将有一个备份计划,但这些策略还需要指定 Amazon Web Services 区域、备份计划中使用的保管库、要备份的资源以及将用于创建备份的 IAM 角色。若备份策略引用的账户缺少所需信息,那么它们将无法按预期运行。
有关更多信息,请参阅《Amazon Organizations User Guide》中的 Syntax for backup policies。
启用跨账户管理
在 Amazon Backup 中使用跨账户管理之前,管理账户必须启用该特征(即选择加入该特征)。管理账户启用跨账户管理后,您可以创建备份策略,以管理多个账户中的资源。
启用跨账户管理
-
打开 Amazon Backup 控制台,网址为:https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 -
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在备份策略部分中,选择启用。
此时,系统会授予您访问所有账户的权限,并允许您创建策略以便同时自动管理组织中的多个账户。
-
在跨账户监控部分中,选择启用。
此时,系统会允许您从管理账户监控组织中所有账户的备份、复制和还原活动。
备份策略
您可以将备份计划与 Amazon Organizations 中的策略的可扩展性相结合,以创建备份策略,从而简化整个组织的管理。
请参阅《Amazon Organizations 用户指南》,了解有关如何为组织启用备份策略的信息,以便能够:
有关策略中所含元素的 Amazon Backup 特定配额,请参阅 Amazon Backup 配额。
委派管理员
委托管理提供了一种便捷的方式,可让注册成员账户中的分配用户执行大多数 Amazon Backup 管理任务。您可以选择将 Amazon Backup 管理权限委托给 Amazon Organizations 中的成员账户,从而使该账户能够从管理账户外部来管理 Amazon Backup 并扩展到整个组织。
默认情况下,管理账户是用于编辑和管理策略的账户。使用委托管理员特征,您可以将这些管理功能委托给您指定的成员账户。这样,除了管理账户之外,这些账户也可以管理策略。
成员账户在成功注册委托管理后,就成为委托管理员账户。请注意,指定为委托管理员的是账户(而非用户)。
启用委托管理员账户允许选择管理备份策略,这会最大限度地减少有权访问管理账户的用户数量,并允许跨账户监控作业。
下表显示了管理账户、委派为备份管理员的账户和 Amazon Organization 内成员账户的功能。
注意
委派管理员账户是具有增强功能的成员账户,不能像管理账户那样覆盖其他成员账户的服务选择加入设置。
| 权限 | 管理账户 | 委托管理员 | 成员账户 |
|---|---|---|---|
| 注册/注销委托管理员账户 | 是 | 否 | 否 |
| 启用跨账户管理 | 是 | 否 | 否 |
| 在 Amazon Organizations 中跨账户管理备份策略 | 是 | 是 | 否 |
| 监控跨账户作业 | 是 | 是 | 否 |
先决条件
在委托备份管理之前,必须先将 Amazon 组织中的至少一个成员账户注册为委托管理员。在将账户注册为委托管理员之前,您必须先配置以下内容:
必须启用和配置 Amazon Organizations,使其除了您的默认管理账户之外,至少还包含一个成员账户。
-
在 Amazon Backup 控制台中,确保备份策略、跨账户监控和跨账户备份功能已开启。它们位于 Amazon Backup 控制台的委托管理员窗格下方。
设置委托管理涉及到两个步骤。第一步是委托跨账户作业监控。第二步是委托备份策略管理。
将成员账户注册为委托管理员账户
这是第一部分:使用 Amazon Backup 控制台注册委托管理员账户以监控跨账户作业。要委托 Amazon Backup 策略,您将在下一节中使用 Organizations 控制台。
使用 Amazon Backup 控制台注册成员账户:
-
打开 Amazon Backup 控制台,网址为:https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 在控制台左侧导航栏的我的账户下,选择设置。
在委托管理员窗格中,单击注册委托管理员或添加委托管理员。
在注册委托管理员页面上,选择要注册的账户,然后选择注册账户。
此指定账户现在将注册为委托管理员,拥有管理权限,可以监控组织内各个账户的作业,并且可以查看和编辑策略(策略委托)。该成员账户不能注册或注销其他委托管理员账户。您可以使用控制台,将最多五个账户注册为委派管理员。
以编程方式注册成员账户:
使用 register-delegated-administrator CLI 命令。您可以在 CLI 请求中指定以下参数:
service-principalaccount-id
以下是使用 CLI 请求以编程方式注册成员账户的示例:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
注销成员账户
使用以下步骤,通过注销 Amazon 组织中以前被指定为委托管理员的成员账户,从 Amazon Backup 中移除其管理访问权限。
使用控制台注销成员账户
-
打开 Amazon Backup 控制台,网址为:https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 在控制台左侧导航栏的我的账户下,选择设置。
在委托管理员部分,单击注销账户。
选择要注销的账户。
在注销账户对话框中,查看安全隐患,然后键入
confirm以完成注销。选择
Deregister account。
以编程方式注销成员账户:
使用 CLI 命令 deregister-delegated-administrator 注销委托管理员账户。您可以在 API 请求中指定以下参数:
service-principalaccount-id
以下是使用 CLI 请求以编程方式注销成员账户的示例:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
通过 Amazon Organizations 委托 Amazon Backup 策略
在 Amazon Organizations 控制台中,您可以委托管理多个策略,包括 Backup 策略。
在登录到 Amazon Organizations 控制台
监控多个 Amazon Web Services 账户中的活动
要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这样,您就可以从组织管理账户监控所有账户中的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时,Amazon Backup 将作业在聚合视图中保留 30 天(自达到终止状态之日起计算)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅启用跨账户管理。
监控多个账户
-
打开 Amazon Backup 控制台,网址为:https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 -
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在跨账户监控部分中,选择启用。
这样,您可以从管理账户监控组织中所有账户的备份和还原活动。
-
在左侧导航窗格中,选择跨账户监控。
-
在跨账户监控页面上,选择备份作业、还原作业或复制作业选项卡,以查看在您所有账户中创建的所有作业。您可以按 Amazon Web Services 账户 ID 查看其中每个作业,并可以查看特定账户中的所有作业。
-
在搜索框中,您可以按账户 ID、状态或作业 ID 筛选作业。
例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。
资源选择加入规则
如果成员账户的备份计划是由 Organizations 级别的备份策略创建的,则 Organizations 管理账户的 Amazon Backup 选择加入设置将覆盖该成员账户中的选择加入设置,但仅适用于该备份计划。
如果成员账户还有用户创建的本地级备份计划,则这些备份计划将遵循成员账户中的选择加入设置,而不参照 Organizations 管理账户的选择加入设置。
定义策略、策略语法和策略继承
《Amazon Organizations 用户指南》中记录了以下主题。