AWS Backup으로 조직 전체 백업을 설정하려면 어떻게 해야 하나요?
AWS Backup을 사용하여 내 AWS 조직의 회원 계정을 백업하고 싶어요.
간단한 설명
사용자의 관리 계정에서 Backup 정책을 생성하고 이 정책을 사용자의 회원 계정에 연결하여 사용자의 회원 계정에 백업을 생성할 수 있습니다. Backup 작업과 Backups는 사용자의 회원 계정에 있습니다. 사용자의 관리 계정에서 계정 간 모니터링을 켜면, 사용자의 회원 계정에서 생성된 Backup 작업을 볼 수 있습니다.
**경고:**다음 절차를 위해서는 AWS Organization의 관리 계정과 회원 계정 모두에서 작업이 필요합니다.
조직 전체 백업을 수행하려면, 다음 단계를 완료하세요.
- AWS Organizations에서 관리 계정을 생성하고 회원 계정을 추가하세요.
- 사용자의 관리 계정에서계정 간 관리를 켜세요.
- 사용자의 관리 계정에서 Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/service-opt-in.html)에 대한 서비스 옵트인을[켜세요.
- 사용자의 회원 계정에 백업 볼트](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#create-backup-vault)를[생성하세요.
- 사용자의 회원 계정에 기본 서비스 역할이나](https://docs.aws.amazon.com/aws-backup/latest/devguide/setting-up.html#setting-up-role)사용자 지정 AWS Identity and Access Management(IAM) 역할을[생성하세요.
- 사용자의 관리 계정에 백업 정책](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#create-backup-policy)을구성하고 백업 정책을 사용자의 회원 계정이나 OU(조직 단위)에[연결하세요.
- 사용자의 관리 계정에서 계정 간 모니터링](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-xcross-monitoring)을[켜세요.
해결 방법
AWS Organizations에서 관리 계정 생성
관리 계정 생성에 대한 지침은Tutorial(사용 지침서)을 참조하세요. 조직생성 및 구성. 관리 계정을 설정한 후에는 관리 계정 대신위임받은 관리자를 사용하여 Backup 정책을 생성할 수 있습니다. 자세한 내용은Delegated administrator support for AWS Backup(AWS Backup에 대한 위임받은 관리자 지원)을 참조하세요.
**참고:**어느 AWS 계정이 관리 계정인지는 변경할 수 없습니다.
계정 간 관리를 켭니다
계정 간 관리를 켜려면, 다음을 수행하세요.
- Organization의 관리 계정에 로그인한 다음,AWS Backup 콘솔을 여세요.
- 탐색 창에서, **Settings(설정)**를 선택하세요.
- **Backup policies(Backup 정책)**섹션에서 **Enable(활성화)**을 선택하세요.
- **Cross-account monitoring(계정 간 모니터링)**섹션에서, **Enable(활성화)**을 선택하세요.
옵트인 자원
**중요:**자원을 옵트인할 때는,자원 옵트인 규칙을 고려하세요.
AWS Backup을 사용하도록 서비스를 옵트인 하려면, 다음을 수행하세요.
- Organization의 관리 계정에 로그인한 다음,AWS Backup 콘솔을 여세요.
- 탐색 창에서, **Settings(설정)**를 선택하세요.
- **Service opt-in(서비스 옵트인)**에 대해, **Configure resources(자원 구성)**을 선택하세요.
- 사용자가 활성화하려는 AWS Backup 지원**Resources(자원)**를 켜세요.
- **Confirm(확인)**을 선택하세요.
참고:
- 서비스 옵트인 설정은 AWS Region별로 다릅니다. 사용자가 백업을 구성한 모든 AWS Regions에서 이 설정을 확인하세요. 자세한 내용은 Service Opt-in(서비스 옵트인)을 참조하세요.
- AWS 관리 계정에서는 서비스 옵트인을 켜야 합니다. Organizations에서 관리하는 백업 계획의 경우, 관리 계정의 자원 옵트인 설정이 회원 계정의 설정보다 우선합니다.
백업 볼트 생성
백업 볼트를 생성하려면, 다음과 같이 하세요.
- 회원 계정으로 로그인한 다음, AWS Backup 콘솔을 여세요.
- 탐색 창에서 **Backup vaults(백업 볼트)**를 선택한 다음, **Create backup vault(백업 볼트 생성)**를 선택하세요.
- 사용자의 백업 볼트 이름을 입력하세요. 예를 들어, myTargetBackupVault입니다.
- AWS Key Management Service(AWS KMS) 키를 선택하세요. 새 키를 생성하거나 기존 키를 사용할 수 있습니다.
- (선택적임)백업 볼트를 검색하고 식별하는 데 도움이 되는 태그를 추가하세요.
- **Create Backup vault(백업 볼트 생성)**를 선택하세요.
**참고:**AWS Backup은 백업 볼트와 AWS Identity and Access Management (IAM) 역할이 회원 계정에 생성되었는지를 확인하지 않습니다. 백업 볼트와 IAM 역할이 생성되지 않은 경우, 백업 계획은 백업을 생성하지 않습니다.
기본 서비스 역할이나 사용자 지정 IAM 역할 생성
회원 계정에 백업을 생성하려면, 회원 계정에는 기본 서비스 역할이나 사용자 지정 IAM 역할이 포함되어야 합니다. 사용자 지정 IAM 역할에는 AWS Backup에 대한 올바른 권한과 신뢰 정책이 있어야 합니다.
AWS 관리형 정책을 사용하여 사용자 지정 IAM 역할을 생성할 수 있습니다.
-또는-
기본 서비스 역할을 생성하려면, 다음과 같이 하세요.
참고:사용자의 AWS 계정에서는 AWS Backup 기본 서비스 역할을AWSBackupDefaultServiceRole이라고 합니다.
- 회원 계정으로 로그인한 다음, AWS Backup 콘솔을 여세요.
- 사용자 계정의 역할을 생성하려면, 백업 계획에 자원을 할당하거나 온디맨드 백업을 생성하세요.
백업 계획을 생성하고 자원을 할당하려면, Create a scheduled backup(스케듈링된 백업 생성)을 참조하세요.
온디맨드 백업을 생성하려면, Create an on-demand backup(온디맨드 백업 생성)을 참조하세요. - AWS IAM 콘솔을 열어AWSBackupDefaultServiceRole이 생성되는지 확인하세요.
- 탐색 창에서 **Roles(역할)**를 선택하세요.
- 검색란에 AWSBackupDefaultServiceRole을 입력하세요. 역할이 존재하면, AWS Backup 기본 역할을 성공적으로 생성한 것입니다.
참고: 백업 정책에서 서비스 역할을 사용할 때 경로에 service-role/AWSBackupDefaultServiceRole을 포함해야 합니다. 사용자 지정 역할을 사용하는 경우, 형식은 role/custom-role입니다.
백업 정책 구성
계정 간 관리를 활성화한 후, 사용자의 관리 계정에서 계정 간 백업 정책을 생성하세요.
백업 정책을 생성하려면, 다음과 같이 하세요.
1. Organization의 관리 계정에 로그인한 다음,AWS Backup 콘솔을 여세요.
2. 탐색 창에서 **Backup policies(백업 정책)**를 선택하세요. Backup 정책 페이지에서 **Create backup policy(백업 정책 생성)**를 선택하세요.
3. **Details(세부 정보)**섹션에서, 백업 정책 이름을 입력하고 설명을 입력하세요.
4. **Backup plans details(Backup 계획 세부 정보)**섹션에서, 시각적 편집기 탭을 선택하고 다음을 수행하세요.
Backup 계획 이름에, 이름을 입력하세요.
**Backup plan regions(Backup 계획 지역)**의 경우, 목록에서 Region을 선택하세요.
5. **Add Backup Rule(Backup 규칙 추가)**섹션에서, 다음을 수행하세요.
**Rule name(규칙 이름)**에 규칙 이름을 입력하세요.
Backup볼트란에, 이름을 입력하세요. 백업 볼트는 사용자의 모든 계정에 있어야 합니다. AWS Backup은 사용자의 모든 계정의 백업 볼트를 확인하지 않습니다.
Backup 빈도의경우, **Frequency(빈도)**목록에서 백업 빈도를 선택한 다음,Backup****창옵션 중 하나를 선택하세요. **Use backup window defaults--recommended(백업 창 기본값 사용(권장))**를 선택하는 것이 가장 좋습니다.
6. (선택적임)연속 백업을켜서 Amazon Relational Database Service (Amazon RDS)나 Amazon Simple Storage Service(Amazon S3) 자원에 대한 Point-in-time 복구(PITR)를 활성화하세요. 자세한 내용은 Point-in-time recovery(지정 시간 복구)를 참조하세요.
7. Lifecycle에서, 사용자가 원하는 라이프사이클 설정을 선택하세요.
8. (선택적임)사용자의 백업을 다른 AWS Region으로 복사하려는 경우, 목록에서 대상 Region을 선택하고 태그를 추가하세요. Region 간 복사 설정과 관계없이, 생성된 복구 지점의 태그를 선택할 수 있습니다. 또한 규칙을 더 추가할 수 있습니다.
9. **Resource assignment(자원 할당)**섹션에서, AWS Identity and Access Management(IAM) 역할의 이름을 입력하세요. AWS Backup 서비스 연결 역할을 사용하려면,service-role/AWSBackupDefaultServiceRole을 입력하세요.
참고: AWS Backup은 해당하면 암호화 키 권한을 포함하여 백업과 복사 작업을 수행할 권한을 얻기 위해 각 계정에서 이 역할을 맡습니다. 또한 AWS Backup은 이 역할을 사용하여 라이프 사이클 삭제를 수행합니다.
10. (선택적임)백업 계획에 태그를 추가하세요. 허용되는 최대 태그 수는 20개입니다.
11. Advanced settings(고급 설정)의 경우, 사용자가 백업하려는 자원이 Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스를 실행하면Windows VSS를 선택하세요. 이렇게 하면 애플리케이션과 일치성이 보장되는 Windows VSS 백업을 생성할 수 있습니다. 자세한 내용은Creating Windows VSS backups(Windows VSS 백업 생성)를 참조하세요.
12. **Add backup plan(백업 계획 추가)**를 선택하여 정책에 추가한 다음, **Create backup policy(백업 정책 생성)**를 선택하세요.
**참고:**백업 정책을 생성해도 이를 계정에 연결하기 전까지는 자원이 보호되지 않습니다.
다음은 조직 백업 계획을 생성하는 AWS Organization의 JSON 백업 정책의 예입니다.
{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "mySourceBackupVault" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
13. **Targets(대상)**섹션에서, 사용자가 정책을 연결하려는 조직 단위 또는 개별 회원 계정을 선택한 다음, **Attach(연결)**를 선택하세요. 자세한 내용은Attaching a backup policy(백업 정책 연결)를 참조하세요.
계정 간 모니터링
관리 계정에서 사용자의 회원 계정에 생성된 작업을 보려면, 사용자의 관리 계정에서 계정 간 모니터링](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-xcross-monitoring)을[켜세요. 또한 사용자의위임받은 관리자계정에서 계정 간 모니터링을 켜서 회원 계정에서 생성된 작업을 볼 수 있습니다.
추가 문제 해결
추가 문제 해결 단계는How can I troubleshoot a Backup policy not creating any jobs in my member accounts in an AWS Organization?(AWS Organization의 내 회원 계정에서 백업 정책이 작업을 생성하지 않는 문제를 해결하려면 어떻게 해야 하나요?)를 참조하세요.
관련 정보
관련 콘텐츠
- 질문됨 한 달 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 일 년 전
- AWS 공식업데이트됨 일 년 전
