Comment configurer des sauvegardes à l'échelle de l'organisation avec AWS Backup ?

Lecture de 9 minute(s)
0

Je souhaite effectuer des sauvegardes pour les comptes membres de mon organisation dans AWS Organizations à l'aide d'AWS Backup.

Brève description

Vous pouvez créer une politique de sauvegarde dans votre compte de gestion et associer cette politique à vos comptes membres pour y créer des sauvegardes. Les tâches de sauvegarde et les sauvegardes se trouvent dans votre compte membre. Une fois que vous avez activé la surveillance de comptes multiples sur votre compte de gestion, vous pouvez consulter les tâches de sauvegarde créées dans vos comptes membres.

Avertissement : Le processus suivant nécessite des actions à la fois dans le compte de gestion d'AWS Organizations et dans les comptes membres.

Pour effectuer des sauvegardes à l'échelle de l'organisation, procédez comme suit :

  1. Créez un compte de gestion dans AWS Organizations et ajoutez des comptes membres.
  2. Activez la gestion multi-compte dans votre compte de gestion.
  3. Procédez à l'activation du service pour la sauvegarde dans votre compte de gestion.
  4. Créez un coffre-fort de sauvegarde dans vos comptes membres.
  5. Créez une fonction du service par défaut ou un rôle de gestion des identités et des accès AWS (IAM) personnalisé dans vos comptes membres.
  6. Configurez la politique de sauvegarde dans votre compte de gestion et associez la politique de sauvegarde à vos comptes membres ou à votre unité organisationnelle (UO).
  7. Activez la surveillance de comptes multiples dans votre compte de gestion.

Solution

Créer un compte de gestion dans AWS Organizations

Pour en savoir plus sur la création d'un compte de gestion, consultez Didacticiel : Création et configuration d'une organisation. Une fois le compte de gestion configuré, vous pouvez utiliser un administrateur délégué à la place du compte de gestion pour créer une politique de sauvegarde. Pour plus d'informations, consultez la section Prise en charge des administrateurs délégués pour AWS Backup.

Remarque : Vous ne pouvez pas modifier le compte AWS défini comme compte de gestion.

Activer la gestion multi-compte

Pour activer la gestion multi-compte, procédez comme suit :

  1. Connectez-vous au compte de gestion de l'organisation, puis ouvrez la console AWS Backup.
  2. Dans le volet de navigation, choisissez Paramètres.
  3. Dans la section Politiques de sauvegarde, choisissez Activer.
  4. Dans la section Surveillance de comptes multiples, sélectionnez Activer.

Activer des ressources

Important : Lorsque vous activez des ressources, tenez compte des Règles d'activation des ressources.

Pour activer les services afin d'utiliser AWS Backup, procédez comme suit :

  1. Connectez-vous au compte de gestion de l'organisation, puis ouvrez la console AWS Backup.
  2. Dans le volet de navigation, choisissez Paramètres.
  3. Pour Activation du service, choisissez Configurer les ressources.
  4. Activez les Ressources prises en charge par AWS Backup que vous souhaitez activer.
  5. Choisissez Confirmer.

Remarques :

  • Les paramètres d'activation du service sont spécifiques à la région AWS. Assurez-vous de vérifier ce paramètre dans toutes les régions AWS où vous avez configuré des sauvegardes. Pour plus d'informations, consultez la section Activation du service.
  • L'activation du service doit être effectuée dans le compte de gestion AWS. Pour les plans de sauvegarde gérés par AWS Organizations, les paramètres d'activation des ressources du compte de gestion remplacent ceux du compte membre.

Créer un coffre-fort de sauvegarde

Pour créer un coffre-fort de sauvegarde, procédez comme suit :

  1. Connectez-vous en tant que compte membre, puis ouvrez la console AWS Backup.
  2. Dans le volet de navigation, choisissez Coffres-forts de sauvegarde, puis Créer un coffre-fort de sauvegarde.
  3. Entrez un nom pour votre coffre-fort de sauvegarde. Par exemple, myTargetBackupVault.
  4. Sélectionnez une clé AWS Key Management Service (AWS KMS). Vous pouvez créer une nouvelle clé ou utiliser une clé existante.
  5. (Facultatif) Ajoutez des balises qui peuvent vous aider à rechercher et à identifier votre coffre-fort de sauvegarde.
  6. Choisissez Créer un coffre-fort de sauvegarde.

Remarque : AWS Backup ne vérifie pas si le coffre-fort de sauvegarde et le rôle AWS IAM ont été créés dans les comptes membres. Si le coffre-fort de sauvegarde et le rôle IAM n'ont pas été créés, le plan de sauvegarde ne créera pas de sauvegardes.

Créer une fonction du service par défaut ou un rôle IAM personnalisé

Pour créer des sauvegardes dans les comptes membres, ceux-ci doivent contenir une fonction du service par défaut ou un rôle IAM personnalisé. Le rôle IAM personnalisé doit disposer des autorisations et de la politique de confiance appropriées pour AWS Backup.

Vous pouvez utiliser les Politiques gérées par AWS pour créer le rôle IAM personnalisé.

-or-

Pour créer la fonction du service par défaut, procédez comme suit :

Remarque : La fonction du service par défaut d'AWS Backup s'appelle AWSBackupDefaultServiceRole dans votre compte AWS.

  1. Connectez-vous en tant que compte membre, puis ouvrez la console AWS Backup.
  2. Pour créer la fonction de votre compte, attribuez des ressources à un plan de sauvegarde ou créez une sauvegarde à la demande.
    Pour créer un plan de sauvegarde et attribuer des ressources, consultez la section Créer une sauvegarde planifiée.
    Pour créer une sauvegarde à la demande, consultez la section Créer une sauvegarde à la demande.
  3. Vérifiez que le rôle AWSBackupDefaultServiceRole est créé en ouvrant la console AWS IAM.
  4. Dans le volet de navigation, choisissez Rôles.
  5. Dans la barre de recherche, saisissez AWSBackupDefaultServiceRole. Si le rôle existe, vous avez créé avec succès le rôle par défaut d'AWS Backup.

Remarque : Dans la politique de sauvegarde, vous devez inclure service-role/AWSBackupDefaultServiceRole dans le chemin lorsque vous utilisez la fonction du service. Si vous utilisez un rôle personnalisé, il doit être au format role/custom-role.

Configurer la politique de sauvegarde

Après avoir activé la gestion multi-compte, créez une politique de sauvegarde multi-compte à partir de votre compte de gestion.

Pour créer la politique de sauvegarde, procédez comme suit :

1.    Connectez-vous au compte de gestion de l'organisation, puis ouvrez la console AWS Backup.

2.    Dans le volet de navigation, sélectionnez Politiques de sauvegarde. Sur la page Politiques de sauvegarde, choisissez Créer une politique de sauvegarde.

3.    Dans la section Détails, entrez un nom de politique de sauvegarde et fournissez une description.

4.    Dans la section Détails des plans de sauvegarde, choisissez l'onglet de l'éditeur visuel et procédez comme suit :
Dans le champ Nom du plan de sauvegarde, entrez un nom.
Dans le champ Régions du plan de sauvegarde, choisissez une région dans la liste.

5.    Dans la section Ajouter une règle de sauvegarde, procédez comme suit :
Dans le champ Nom de la règle, entrez le nom de la règle.
Dans le champ Coffre-fort de sauvegarde, entrez un nom. Assurez-vous que le coffre-fort de sauvegarde existe dans tous vos comptes. AWS Backup ne vérifie pas la présence de coffres-forts de sauvegarde dans tous vos comptes.
Dans le champ Fréquence de sauvegarde, choisissez une fréquence de sauvegarde dans la liste Fréquence, puis sélectionnez l'une des options de la fenêtre de sauvegarde. Il est recommandé de choisir Utiliser les paramètres par défaut de la fenêtre de sauvegarde (recommandé).

6.    (Facultatif) Activez les sauvegardes continues afin d'activer la récupération ponctuelle (PITR) pour les ressources Amazon Relational Database Service (Amazon RDS) ou Amazon Simple Storage Service (Amazon S3). Pour plus d'informations, consultez la section Récupération ponctuelle.

7.    Dans le champ Cycle de vie, choisissez les paramètres de cycle de vie que vous souhaitez.

8.    (Facultatif) Choisissez une région de destination dans la liste si vous souhaitez que vos sauvegardes soient copiées vers une autre région AWS et ajoutez des balises. Vous pouvez choisir des balises pour les points de restauration créés, quels que soient les paramètres de copie entre régions. Vous pouvez également ajouter d'autres règles.

9.    Dans la sectionAttribution des ressources, indiquez le nom du rôle AWS IAM. Pour utiliser la fonction du service d'AWS Backup, saisissez service-role/AWSBackupDefaultServiceRole.

Remarque : AWS Backup assume ce rôle dans chaque compte afin d'obtenir les autorisations nécessaires pour effectuer des tâches de sauvegarde et de copie, y compris les autorisations relatives aux clés de chiffrement, le cas échéant. AWS Backup utilise également ce rôle pour effectuer des suppressions au cours du cycle de vie.

10.    (Facultatif) Ajoutez des balises au plan de sauvegarde. Le nombre maximum de balises autorisées est de 20.

11.    Dans Paramètres avancés, choisissez Windows VSS si la ressource que vous sauvegardez exécute une instance Windows Amazon Elastic Compute Cloud (Amazon EC2). Cela vous permet d'effectuer des sauvegardes Windows VSS cohérentes avec les applications. Pour plus d'informations, consultez la section Créer des sauvegardes Windows VSS.

12.    Choisissez Ajouter un plan de sauvegarde pour l'ajouter à la politique, puis choisissez Créer une politique de sauvegarde.

Remarque : La création d'une politique de sauvegarde ne protège pas vos ressources tant que vous ne les associez pas aux comptes.

Voici un exemple de politique de sauvegarde JSON d'AWS Organizations qui crée un plan de sauvegarde organisationnel :

{
  "plans": {
    "PiiBackupPlan": {
      "regions": {
        "@@append":[
          "us-east-1",
          "eu-north-1"
        ]
      },
      "rules": {
        "Hourly": {
          "schedule_expression": {
            "@@assign": "cron(0 0/1 ? * * *)"
          },
          "start_backup_window_minutes": {
            "@@assign": "60"
          },
          "complete_backup_window_minutes": {
            "@@assign": "604800"
          },
          "target_backup_vault_name": {
            "@@assign": "mySourceBackupVault"
          },
          "recovery_point_tags": {
            "owner": {
              "tag_key": {
                "@@assign": "Owner"
              },
              "tag_value": {
                "@@assign": "Backup"
              }
            }
          },
          "lifecycle": {
            "delete_after_days": {
              "@@assign": "365"
            },
            "move_to_cold_storage_after_days": {
              "@@assign": "180"
            }
          },
          "copy_actions": {
            "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : {
            "target_backup_vault_arn" : {
            "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault"  },
              "lifecycle": {
                "delete_after_days": {
                  "@@assign": "365"
                },
                "move_to_cold_storage_after_days": {
                  "@@assign": "180"
                }
              }
            }
          }
        }
      },
      "selections": {
        "tags": {
          "SelectionDataType": {
            "iam_role_arn": {
              "@@assign": "arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole"
            },
            "tag_key": {
              "@@assign": "dataType"
            },
            "tag_value": {
              "@@assign": [
                "PII",
                "RED"
              ]
            }
          }
        }
      },
      "backup_plan_tags": {
        "stage": {
          "tag_key": {
            "@@assign": "Stage"
          },
          "tag_value": {
            "@@assign": "Beta"
          }
        }
      }
    }
  }
}

13.    Dans la section Cibles, choisissez l'unité organisationnelle ou le compte de membre individuel auquel vous souhaitez associer la politique, puis sélectionnez Associer. Pour plus d'informations, consultez la section Associer une politique de sauvegarde.

Surveillance de comptes multiples

Pour consulter les tâches créées sur votre compte membre à partir du compte de gestion, activez la surveillance de comptes multiples dans ce dernier. Vous pouvez également activer la surveillance de comptes multiples dans vos comptes administrateur délégué pour consulter les tâches créées dans les comptes membres.

Dépannage supplémentaire

Pour obtenir des étapes de dépannage supplémentaires, consultez la section Comment résoudre les problèmes liés à une politique de sauvegarde qui ne crée aucune tâche sur mes comptes membres dans une organisation d'AWS Organizations ?

Informations connexes

Gérer les ressources AWS Backup sur plusieurs comptes AWS

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois
Aucun commentaire

Contenus pertinents