Comment puis-je copier des sauvegardes AWS Backup sur plusieurs comptes AWS ?

Lecture de 7 minute(s)
0

Je souhaite utiliser AWS Backup pour créer des sauvegardes sur plusieurs comptes AWS.

Brève description

Lorsque vous utilisez AWS, vous devez configurer les autorisations appropriées pour effectuer des actions sur plusieurs comptes AWS. De plus, avant d'utiliser AWS Backup pour gérer des ressources intercomptes, les comptes que vous utilisez doivent appartenir à la même organisation dans le service AWS Organizations.

La plupart des ressources prises en charge par AWS Backup vous permettent de créer des sauvegardes intercomptes. Pour en savoir plus, reportez-vous à Disponibilité des fonctionnalités par ressource.

Résolution

Exigences relatives au compte source

Le compte qui héberge vos ressources AWS de production et vos sauvegardes principales est appelé compte source. Avant de configurer des sauvegardes intercomptes, vérifiez les exigences relatives à votre compte source :

  • Si les ressources de votre compte source sont cryptées à l'aide d'une clé gérée par le client, partagez cette clé avec le compte de destination. Pour tous les services, à l'exception de ceux qui prennent en charge la gestion complète des sauvegardes AWS Backup, la fonctionnalité de sauvegarde intercomptes prend uniquement en charge les clés gérées par le client. Les clés AWS ne sont pas prises en charge, car elles ne peuvent pas être partagées entre comptes.
  • Vérifiez que l'utilisateur du compte source dispose des autorisations appropriées pour créer des tâches de copie, comme AWSBackupFullAccess. Cette autorisation fournit un accès administrateur de sauvegarde. L'administrateur de sauvegarde supervise toutes les opérations d'AWS Backup, y compris la création et la modification des plans de sauvegarde et l'exécution de restaurations de sauvegardes.

Exigences relatives au compte de destination

Le compte de destination est le compte AWS dans lequel vous souhaitez conserver une copie de votre sauvegarde. Vous pouvez choisir plusieurs comptes de destination. Le compte de destination doit appartenir à la même organisation que le compte source dans AWS Organizations.

Avant de configurer des sauvegardes intercomptes, configurez le compte de destination en procédant comme suit :

  • Créez un coffre-fort de sauvegarde dans le compte de destination, puis attribuez une clé gérée par le client pour chiffrer les sauvegardes.
  • Notez les Amazon Resource Name (ARN) du coffre-fort de sauvegarde de votre compte de destination. L'ARN contient l'ID du compte et sa région AWS.
  • Vous devez autoriser la stratégie d'accès backup:CopyIntoBackupVault pour votre coffre-fort de sauvegarde de destination. Sans cette stratégie, les tentatives de copie vers le compte de destination sont refusées. Référez-vous à l'exemple de stratégie suivant qui fournit l'accès :
{"Version": "2012-10-17","Statement": [{"Sid": "Allow account to copy into backup vault","Effect": "Allow","Action": "backup:CopyIntoBackupVault","Resource": "*","Principal": {"AWS": "arn:aws:iam::account-id:root"}}]}

Pour en savoir plus sur les exigences relatives au compte de destination, reportez-vous à Partage d'un coffre-fort de sauvegarde avec un autre compte AWS.

Considérations de sécurité pour la sauvegarde intercomptes

Lorsque vous effectuez des sauvegardes intercomptes dans AWS Backup, il est important de prendre en compte les points suivants :

  • Le coffre-fort par défaut ne peut pas être utilisé comme coffre-fort de destination pour les ressources qui ne prennent pas en charge la gestion complète d'AWS Backup.
  • Pour des raisons de cohérence à terme, les sauvegardes intercomptes peuvent se poursuivre jusqu'à 15 minutes après leur désactivation.
  • Si un compte de destination quitte l'organisation ultérieurement, il conserve les sauvegardes. Pour éviter d'éventuelles fuites de données, reportez-vous à Supprimer un compte membre de votre organisation.
  • Si vous supprimez un rôle de tâche de copie lors d'une copie intercomptes, AWS Backup ne peut pas annuler le partage des instantanés du compte source une fois la tâche de copie terminée.

Autoriser les sauvegardes intercomptes dans AWS Organizations

Pour utiliser la sauvegarde intercomptes, vous devez activer la fonctionnalité de sauvegarde intercomptes dans le compte de gestion AWS Organizations. Le compte de gestion AWS Organizations est le compte principal de votre organisation.

Pour activer les sauvegardes intercomptes pour votre organisation, procédez comme suit :

  1. Connectez-vous à la console AWS Backup à l'aide des informations d'identification de votre compte de gestion AWS Organizations. Vous pouvez activer la sauvegarde intercomptes uniquement à l'aide de ces informations d'identification.
  2. Dans la section Mon compte, choisissez Paramètres.
  3. Activez Sauvegarde intercomptes.

Après avoir suivi ces étapes, n'importe quel compte de votre organisation peut partager le contenu de son coffre-fort de sauvegarde avec n'importe quel autre compte de l'organisation. Pour en savoir plus, reportez-vous à Partage d'un coffre-fort de sauvegarde avec un autre compte AWS.

Planifier des sauvegardes intercomptes

Pour planifier vos sauvegardes intercomptes, procédez comme suit à l'aide de la console AWS Backup.

  1. Ouvrez la console AWS Backup.
  2. Dans la section Mon compte, choisissez Plans de sauvegarde, puis choisissez Créer un plan de sauvegarde.
  3. Sur la page Créer un plan de sauvegarde, choisissez Créer un nouveau plan.
  4. Dans la section Configuration des règles de sauvegarde, créez une règle de sauvegarde qui inclut un calendrier de sauvegarde, une fenêtre de sauvegarde et des règles de cycle de vie. Vous pouvez ajouter toute autre règle de sauvegarde dont vous aurez besoin ultérieurement.
  5. Pour Planifier, choisissez la fréquence à laquelle vous souhaitez que la sauvegarde soit effectuée.
  6. Il est recommandé d'utiliser les paramètres par défaut de la fenêtre de sauvegarde.
  7. Choisissez un coffre-fort de sauvegarde pour enregistrer des points de restauration de votre sauvegarde, ou créez un nouveau coffre-fort de sauvegarde. Le coffre-fort de sauvegarde vous permet d'enregistrer les sauvegardes sur le compte local (source)
  8. Dans la section Générer une copie, choisissez la région AWS de destination pour votre copie de sauvegarde, puis ajoutez une nouvelle règle de copie.
  9. Activez l'option Copier vers le coffre-fort d'un autre compte. Cette option devient bleue lorsqu'elle est activée. L'option ARN du coffre-fort externe s'affiche.
  10. Saisissez l'ARN du coffre de sauvegarde du compte de destination. AWS Backup copie la sauvegarde dans le coffre-fort du compte de destination. La liste des régions de destination est automatiquement mise à jour vers la région de l'ARN du coffre-fort externe.
  11. Pour Autoriser l'accès au coffre-fort de sauvegarde, choisissez Autoriser. Choisissez ensuite à nouveau Autoriser dans l'assistant qui s'ouvre.
  12. Pour effectuer une Transition vers le stockage à froid, choisissez quand faire passer la copie de sauvegarde vers le stockage à froid et quand faire expirer (supprimer) la copie.
  13. Choisissez Créer un plan.

Coffres-forts chiffrés

Les coffres-forts par défaut sont chiffrés à l'aide de clés gérées par AWS Key Management Service (AWS KMS). Les clés gérées par AWS KMS ne peuvent pas être partagées avec d'autres comptes. Il est recommandé d'utiliser plutôt les coffres-forts des clients, car ils sont chiffrés à l'aide de clés gérées par le client.

Il se peut que vous souhaitiez effectuer des sauvegardes intercomptes pour les ressources chiffrées, comme Amazon Elastic Compute Cloud (Amazon EC2), qui ne prennent pas en charge l'intégralité de la gestion des sauvegardes AWS Backup. Dans ce cas, vos ressources doivent être chiffrées à l'aide de clés gérées par le client. Les clés gérées par AWS ne sont pas prises en charge pour les copies intercomptes. Pour en savoir plus, reportez-vous à Chiffrement des sauvegardes dans AWS Backup.

Pour les services qui prennent en charge la gestion complète des sauvegardes AWS Backup, les SMK sont pris en charge pour les copies intercomptes. Pour en savoir plus, reportez-vous à Disponibilité des fonctionnalités par ressource. Reportez-vous également à Protection des instances de base de données Amazon Relational Database Service (Amazon RDS) chiffrées grâce à des sauvegardes intercomptes et interrégions.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois