如何使用 AWS Backup 设置组织范围的备份？

简短描述

您可以在管理账户中创建备份策略，然后将此策略附加到您的成员账户，从而在其中创建备份。备份作业和备份位于您的成员账户中。在管理账户上开启跨账户监控后，即可查看在您的成员账户中创建的备份作业。

**警告：**以下过程需要在 AWS Organization 的管理账户和成员账户中执行操作。

要进行组织范围的备份，请完成以下步骤：

1. 在 AWS Organizations 中创建管理账户并添加成员账户。
2. 在您的管理账户中开启跨账户管理。
3. 在您的管理账户中为备份开启服务选择加入。
4. 在您的成员账户中创建备份保管库。
5. 在您的成员账户中创建默认服务角色或自定义 AWS Identity and Access Management（IAM）角色。
6. 在您的管理账户中配置备份策略，并将备份策略附加到您的成员账户或组织单位（OU）。
7. 在您的管理账户中开启跨账户监控。

解决方法

在 AWS Organizations 中创建管理账户

有关创建管理账户的说明，请参阅教程： 创建和配置组织。设置管理账户后，您可以使用委派管理员而非管理账户来创建备份策略。有关详细信息，请参阅 AWS Backup 的委派管理员支持。

**注意：**您无法更改哪个 AWS 账户是管理账户。

开启跨账户管理

要开启跨账户管理，请执行以下操作：

1. 登录 Organization 的管理账户，然后打开 AWS Backup 控制台。
2. 在导航窗格中，选择设置。
3. 在备份策略部分中，选择启用。
4. 在跨账户监控部分中，选择启用。

选择加入资源

**重要说明：**选择加入资源时，请考虑资源选择加入规则。

要选择加入服务以使用 AWS Backup，请执行以下操作：

1. 登录 Organization 的管理账户，然后打开 AWS Backup 控制台。
2. 在导航窗格中，选择设置。
3. 为服务选择加入选择配置资源。
4. 打开您要激活的 AWS Backup 支持的资源。
5. 选择确认。

注意：

• 服务选择加入设置特定于 AWS 区域。务必在配置了备份的所有 AWS 区域检查此设置。有关详细信息，请参阅服务选择加入。
• 必须在 AWS 管理账户中开启服务选择加入。对于由 Organizations 管理的备份计划，管理账户中的资源选择加入设置将优先于成员账户中的设置。

创建备份保管库

要创建备份保管库，请执行以下操作：

1. 以成员账户身份登录，然后打开 AWS Backup 控制台。
2. 在导航窗格中，选择备份保管库，然后选择创建备份保管库。
3. 输入您的备份保管库的名称。例如，myTargetBackupVault。
4. 选择 AWS Key Management Service（AWS KMS）密钥。您可以创建新密钥或使用现有密钥。
5. （可选）添加可帮助您搜索和识别备份保管库的标签。
6. 选择创建备份保管库。

**注意：**AWS Backup 不会检查是否已在成员账户中创建了备份保管库和 AWS Identity and Access Management（IAM）角色。如果尚未创建备份保管库和 IAM 角色，则备份计划不会创建备份。

创建默认服务角色或自定义 IAM 角色

要在成员账户中创建备份，成员账户必须包含一个默认服务角色或自定义 IAM 角色。自定义 IAM 角色必须在 AWS Backup 中具有适当的权限和信任策略。

您可以使用 AWS 托管策略创建自定义 IAM 角色。

-或者-

要创建默认服务角色，请执行以下操作：

**注意：**在您的 AWS 账户中，AWS Backup 默认服务角色名为 AWSBackupDefaultServiceRole。

1. 以成员账户身份登录，然后打开 AWS Backup 控制台。
2. 要为您的账户创建角色，请为备份计划分配资源或创建按需备份。
   要创建备份计划并分配资源，请参阅“创建计划备份”。
   要创建按需备份，请参阅“创建按需备份”。
3. 打开 AWS IAM 控制台，验证 AWSBackupDefaultServiceRole 是否已创建。
4. 在导航窗格中，选择角色。
5. 在搜索中，输入 AWSBackupDefaultServiceRole。如果该角色存在，则表示您已成功创建 AWS Backup 默认角色。

注意： 在备份策略中，使用服务角色时，必须在路径中包含 service-role/AWSBackupDefaultServiceRole。如果您使用的是自定义角色，则其格式为 role/custom-role。

配置备份策略

激活跨账户管理后，从您的管理账户创建跨账户备份策略。

要创建备份策略，请执行以下操作：

1.    登录 Organization 的管理账户，然后打开 AWS Backup 控制台。

2.    在导航窗格中，选择备份策略。在“备份策略”页面上，选择创建备份策略。

3.    在详细信息部分中，输入备份策略名称并提供描述。

4.    在备份计划详细信息部分中，选择“视觉编辑器”选项卡并执行以下操作：
在备份计划名称中，输入名称。
对于备份计划区域，从列表中选择一个区域。

5.    在添加备份规则部分中，执行以下操作：
在规则名称中，输入规则的名称。
为备份保管库输入一个名称。确保您的所有账户中都有备份保管库。AWS Backup 不会检查您的所有账户是否都有备份保管库。
对于备份频率，在频率列表中选择一个备份频率，然后选择其中一个备份****时段选项。最好是选择使用备份时段默认值 - 推荐。

6.    （可选）开启连续备份以激活 Amazon Relational Database Service（Amazon RDS）或 Amazon Simple Storage Service（Amazon S3）资源的时间点故障恢复（PITR）。有关详细信息，请参阅时间点故障恢复。

7.    对于生命周期，选择所需的生命周期设置。

8.    （可选）如果您希望将备份复制到另一个 AWS 区域，请从列表中选择一个目标区域，然后添加标签。无论跨区域复制如何设置，您都可以为创建的恢复点选择标签。您也可以添加其他规则。

9.    在资源分配部分中，提供 AWS Identity and Access Management（IAM）角色的名称。要使用与 AWS Backup 服务相关的角色，请输入 service-role/AWSBackupDefaultServiceRole。

注意： AWS Backup 在每个账户中担任此角色，以获得执行备份和复制作业的权限，包括在适当时获得加密密钥权限。AWS Backup 还使用此角色执行生命周期删除。

10.    （可选）向备份计划添加标签。允许的最大标签数为 20。

11.    对于高级设置，如果您要备份的资源正在运行Amazon Elastic Compute Cloud（Amazon EC2）Windows 实例，请选择 Windows VSS。这允许您进行应用程序一致的 Windows VSS 备份。有关详细信息，请参阅创建 Windows VSS 备份。

12.    选择添加备份计划，将其添加到策略中，然后选择创建备份策略。

**注意：**创建备份策略并不能保护您的资源，除非您将其附加到账户。

以下是创建组织备份计划的 AWS Organizations JSON 备份策略的示例：

{
  "plans": {
    "PiiBackupPlan": {
      "regions": {
        "@@append":[
          "us-east-1",
          "eu-north-1"
        ]
      },
      "rules": {
        "Hourly": {
          "schedule_expression": {
            "@@assign": "cron(0 0/1 ? * * *)"
          },
          "start_backup_window_minutes": {
            "@@assign": "60"
          },
          "complete_backup_window_minutes": {
            "@@assign": "604800"
          },
          "target_backup_vault_name": {
            "@@assign": "mySourceBackupVault"
          },
          "recovery_point_tags": {
            "owner": {
              "tag_key": {
                "@@assign": "Owner"
              },
              "tag_value": {
                "@@assign": "Backup"
              }
            }
          },
          "lifecycle": {
            "delete_after_days": {
              "@@assign": "365"
            },
            "move_to_cold_storage_after_days": {
              "@@assign": "180"
            }
          },
          "copy_actions": {
            "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : {
            "target_backup_vault_arn" : {
            "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault"  },
              "lifecycle": {
                "delete_after_days": {
                  "@@assign": "365"
                },
                "move_to_cold_storage_after_days": {
                  "@@assign": "180"
                }
              }
            }
          }
        }
      },
      "selections": {
        "tags": {
          "SelectionDataType": {
            "iam_role_arn": {
              "@@assign": "arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole"
            },
            "tag_key": {
              "@@assign": "dataType"
            },
            "tag_value": {
              "@@assign": [
                "PII",
                "RED"
              ]
            }
          }
        }
      },
      "backup_plan_tags": {
        "stage": {
          "tag_key": {
            "@@assign": "Stage"
          },
          "tag_value": {
            "@@assign": "Beta"
          }
        }
      }
    }
  }
}

13.    在目标部分中，选择要将策略附加到的组织单位或个人成员账户，然后选择附加。有关详细信息，请参阅附加备份策略。

跨账户监控

要通过管理账户查看在您的成员账户中创建的作业，请在管理账户中开启跨账户监控。您还可以在委派管理员账户中开启跨账户监控，以查看在成员账户中创建的作业。

其他故障排除

有关其他故障排除步骤，请参阅如何解决备份策略未在 AWS Organization 的成员账户中创建任何作业的问题？

相关信息

跨多个 AWS 账户管理 AWS Backup 资源