使用备份策略的最佳实践 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用备份策略的最佳实践

Amazon 推荐以下使用备份策略的最佳实践。

决定备份策略

您可以创建不完整的备份策略,然后继承并合并这些策略以便为每个成员账户生成完整的策略。这样做后,如果您在一个级别进行更改,而没有仔细考虑该更改对该级别以下的所有账户的影响,则最终会出现有效策略不完整的风险。为防止出现这种情况,我们建议您改为确保在所有级别实施的备份策略本身完整。将父策略视为可由子策略中指定的设置覆盖的默认策略。这样,即使子策略不存在,继承的策略也是完整的,并使用默认值。您可以使用子控制继承运算符来控制可以添加到子策略、由子策略更改或删除的设置。

使用 GetEffectivePolicy 验证对备份策略的更改

更改备份策略后,请检查有效策略中低于您进行更改的级别的代表账户。您可以使用 Amazon Web Services Management Console 查看有效策略,或者使用 GetEffectivePolicy API 操作或其 Amazon CLI 或 Amazon SDK 变体之一来查看有效策略。确保您所做的更改对有效策略产生预期影响。

简单开始并进行一些小更改

要简化调试,请先从简单策略开始,然后一次更改一个项目。在进行下一个更改之前,验证每个更改的行为和影响。此方法可以减少出现错误或意外结果时必须考虑的变量数量。

将备份的副本存储在其他Amazon Web Services 区域和您组织中的账户中

为了增强灾难恢复能力,您可以存储备份的副本。

  • 其他区域 – 如果您将备份的副本存储在其他Amazon Web Services 区域,这有助于保护备份,防止原始区域中的意外损坏或删除。使用策略的 copy_actions 部分,在运行备份计划的同一账户的一个或多个区域中指定文件库。若要执行此操作,请在指定要在其中存储备份副本的备份文件库的 ARN 时,使用 $account 变量来识别账户。$account 变量会在运行时自动替换为运行备份策略的账户 ID。

  • 其他账户 – 如果您将备份的副本存储在其他Amazon Web Services 账户中,您可以添加一个安全屏障,以帮助防止恶意行为者损害您的某个账户。使用策略的 copy_actions 部分,在组织中的一个或多个账户中指定文件库,该账户与运行备份计划的账户分开。若要执行此操作,请在指定要在其中存储备份副本的备份文件库的 ARN 时,使用其实际账户 ID 号来识别账户。

限制每个策略的计划数量

包含多个计划的策略的问题排查更加复杂,因为必须全部验证的输出数量更多。相反,让每个策略包含一个且只有一个备份计划,以简化调试和问题排查。然后,您可以添加别的具有其他计划的策略以满足其他要求。此方法有助于将某个计划的任何问题隔离到一个策略中,并防止这些问题使其他策略及其计划的问题的排查复杂化。

使用堆栈套创建所需的备份文件库和 IAM 角色

使用与 Organizations 的 Amazon CloudFormation 堆栈套集成可以在您组织的每个成员账户中自动创建所需的备份文件库和 Amazon Identity and Access Management(IAM)角色。您可以创建一个堆栈套,其中包括您希望在组织的每个Amazon Web Services 账户中自动可用的资源。此方法使您能够在运行备份计划时确保已满足依赖关系。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的创建具有自行管理权限的堆栈套

通过查看在每个账户中创建的第一个备份来检查您的结果

当您对策略进行一项更改时,请检查该更改后创建的下一个备份,以确保该更改产生了预期的影响。此步骤不仅仅是保证有效策略,而且还可以确保 Amazon Backup 按照预期的方式解释您的策略并实施备份计划。