如何使用 AWS Backup 设置组织范围的备份?
我想使用 AWS Backup 为 AWS Organization 中的成员账户进行备份。
简短描述
您可以在管理账户中创建备份策略,然后将此策略附加到您的成员账户,从而在其中创建备份。备份作业和备份位于您的成员账户中。在管理账户上开启跨账户监控后,即可查看在您的成员账户中创建的备份作业。
**警告:**以下过程需要在 AWS Organization 的管理账户和成员账户中执行操作。
要进行组织范围的备份,请完成以下步骤:
- 在 AWS Organizations 中创建管理账户并添加成员账户。
- 在您的管理账户中开启跨账户管理。
- 在您的管理账户中为备份开启服务选择加入。
- 在您的成员账户中创建备份保管库。
- 在您的成员账户中创建默认服务角色或自定义 AWS Identity and Access Management(IAM)角色。
- 在您的管理账户中配置备份策略,并将备份策略附加到您的成员账户或组织单位(OU)。
- 在您的管理账户中开启跨账户监控。
解决方法
在 AWS Organizations 中创建管理账户
有关创建管理账户的说明,请参阅教程: 创建和配置组织。设置管理账户后,您可以使用委派管理员而非管理账户来创建备份策略。有关详细信息,请参阅 AWS Backup 的委派管理员支持。
**注意:**您无法更改哪个 AWS 账户是管理账户。
开启跨账户管理
要开启跨账户管理,请执行以下操作:
- 登录 Organization 的管理账户,然后打开 AWS Backup 控制台。
- 在导航窗格中,选择设置。
- 在备份策略部分中,选择启用。
- 在跨账户监控部分中,选择启用。
选择加入资源
**重要说明:**选择加入资源时,请考虑资源选择加入规则。
要选择加入服务以使用 AWS Backup,请执行以下操作:
- 登录 Organization 的管理账户,然后打开 AWS Backup 控制台。
- 在导航窗格中,选择设置。
- 为服务选择加入选择配置资源。
- 打开您要激活的 AWS Backup 支持的资源。
- 选择确认。
注意:
- 服务选择加入设置特定于 AWS 区域。务必在配置了备份的所有 AWS 区域检查此设置。有关详细信息,请参阅服务选择加入。
- 必须在 AWS 管理账户中开启服务选择加入。对于由 Organizations 管理的备份计划,管理账户中的资源选择加入设置将优先于成员账户中的设置。
创建备份保管库
要创建备份保管库,请执行以下操作:
- 以成员账户身份登录,然后打开 AWS Backup 控制台。
- 在导航窗格中,选择备份保管库,然后选择创建备份保管库。
- 输入您的备份保管库的名称。例如,myTargetBackupVault。
- 选择 AWS Key Management Service(AWS KMS)密钥。您可以创建新密钥或使用现有密钥。
- (可选)添加可帮助您搜索和识别备份保管库的标签。
- 选择创建备份保管库。
**注意:**AWS Backup 不会检查是否已在成员账户中创建了备份保管库和 AWS Identity and Access Management(IAM)角色。如果尚未创建备份保管库和 IAM 角色,则备份计划不会创建备份。
创建默认服务角色或自定义 IAM 角色
要在成员账户中创建备份,成员账户必须包含一个默认服务角色或自定义 IAM 角色。自定义 IAM 角色必须在 AWS Backup 中具有适当的权限和信任策略。
您可以使用 AWS 托管策略创建自定义 IAM 角色。
-或者-
要创建默认服务角色,请执行以下操作:
**注意:**在您的 AWS 账户中,AWS Backup 默认服务角色名为 AWSBackupDefaultServiceRole。
- 以成员账户身份登录,然后打开 AWS Backup 控制台。
- 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。
要创建备份计划并分配资源,请参阅“创建计划备份”。
要创建按需备份,请参阅“创建按需备份”。 - 打开 AWS IAM 控制台,验证 AWSBackupDefaultServiceRole 是否已创建。
- 在导航窗格中,选择角色。
- 在搜索中,输入 AWSBackupDefaultServiceRole。如果该角色存在,则表示您已成功创建 AWS Backup 默认角色。
注意: 在备份策略中,使用服务角色时,必须在路径中包含 service-role/AWSBackupDefaultServiceRole。如果您使用的是自定义角色,则其格式为 role/custom-role。
配置备份策略
激活跨账户管理后,从您的管理账户创建跨账户备份策略。
要创建备份策略,请执行以下操作:
1. 登录 Organization 的管理账户,然后打开 AWS Backup 控制台。
2. 在导航窗格中,选择备份策略。在“备份策略”页面上,选择创建备份策略。
3. 在详细信息部分中,输入备份策略名称并提供描述。
4. 在备份计划详细信息部分中,选择“视觉编辑器”选项卡并执行以下操作:
在备份计划名称中,输入名称。
对于备份计划区域,从列表中选择一个区域。
5. 在添加备份规则部分中,执行以下操作:
在规则名称中,输入规则的名称。
为备份保管库输入一个名称。确保您的所有账户中都有备份保管库。AWS Backup 不会检查您的所有账户是否都有备份保管库。
对于备份频率,在频率列表中选择一个备份频率,然后选择其中一个备份****时段选项。最好是选择使用备份时段默认值 - 推荐。
6. (可选)开启连续备份以激活 Amazon Relational Database Service(Amazon RDS)或 Amazon Simple Storage Service(Amazon S3)资源的时间点故障恢复(PITR)。有关详细信息,请参阅时间点故障恢复。
7. 对于生命周期,选择所需的生命周期设置。
8. (可选)如果您希望将备份复制到另一个 AWS 区域,请从列表中选择一个目标区域,然后添加标签。无论跨区域复制如何设置,您都可以为创建的恢复点选择标签。您也可以添加其他规则。
9. 在资源分配部分中,提供 AWS Identity and Access Management(IAM)角色的名称。要使用与 AWS Backup 服务相关的角色,请输入 service-role/AWSBackupDefaultServiceRole。
注意: AWS Backup 在每个账户中担任此角色,以获得执行备份和复制作业的权限,包括在适当时获得加密密钥权限。AWS Backup 还使用此角色执行生命周期删除。
10. (可选)向备份计划添加标签。允许的最大标签数为 20。
11. 对于高级设置,如果您要备份的资源正在运行Amazon Elastic Compute Cloud(Amazon EC2)Windows 实例,请选择 Windows VSS。这允许您进行应用程序一致的 Windows VSS 备份。有关详细信息,请参阅创建 Windows VSS 备份。
12. 选择添加备份计划,将其添加到策略中,然后选择创建备份策略。
**注意:**创建备份策略并不能保护您的资源,除非您将其附加到账户。
以下是创建组织备份计划的 AWS Organizations JSON 备份策略的示例:
{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "mySourceBackupVault" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
13. 在目标部分中,选择要将策略附加到的组织单位或个人成员账户,然后选择附加。有关详细信息,请参阅附加备份策略。
跨账户监控
要通过管理账户查看在您的成员账户中创建的作业,请在管理账户中开启跨账户监控。您还可以在委派管理员账户中开启跨账户监控,以查看在成员账户中创建的作业。
其他故障排除
有关其他故障排除步骤,请参阅如何解决备份策略未在 AWS Organization 的成员账户中创建任何作业的问题?
相关信息
相关内容
- AWS 官方已更新 9 个月前
- AWS 官方已更新 10 个月前
- AWS 官方已更新 3 年前
- AWS 官方已更新 5 个月前