Erstellen von Sicherungskopien auf AWS-Konten - AWS Backup
Einrichten kontenübergreifender BackupsPlanen kontenübergreifender BackupsDurchführen eines kontoübergreifenden On-Demand-BackupsVerschlüsselungsschlüssel und kontoübergreifende KopienWiederherstellung eines Backups von einem AWS-Konto auf ein anderesFreigeben eines Backup-Tresors für ein anderes AWS -KontoKonfigurieren eines Kontos als ZielkontoSicherheitsüberlegungen für kontoübergreifende Backups

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Sicherungskopien auf AWS-Konten

Mithilfe AWS Backup können Sie bei Bedarf oder automatisch AWS-Konten im Rahmen eines geplanten Sicherungsplans mehrere sichern. Verwenden Sie ein kontoübergreifendes Backup, wenn Sie Ihre Backups aus betrieblichen oder Sicherheitsgründen sicher auf eines oder mehrere AWS-Konten in Ihrem Unternehmen kopieren möchten. Wenn Ihr ursprüngliches Backup versehentlich gelöscht wird, können Sie das Backup von seinem Zielkonto in das Quellkonto kopieren und dann die Wiederherstellung starten. Bevor Sie dies tun können, benötigen Sie zwei Konten, die zur selben Organisation im AWS Organizations -Dienst gehören. Weitere Informationen finden Sie unter Anleitung: Erstellen und Konfigurieren einer Organisation im Organisations-Benutzerhandbuch.

Sie müssen in Ihrem Zielkonto einen Backup-Tresor erstellen. Anschließend weisen Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung von Backups im Zielkonto und eine ressourcenbasierte Zugriffsrichtlinie zu, die den Zugriff auf die Ressourcen ermöglicht AWS Backup , die Sie kopieren möchten. Wenn Ihre Ressourcen im Quellkonto mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, müssen Sie diesen vom Kunden verwalteten Schlüssel mit dem Zielkonto teilen. Anschließend können Sie einen Backup-Plan erstellen und ein Zielkonto auswählen, das in AWS Organizations Teil Ihrer Organisationseinheit ist.

Wenn Sie ein Backup zum ersten Mal in ein Cross-Account-Konto kopieren, wird das Backup AWS Backup vollständig kopiert. Wenn ein Dienst inkrementelle Backups unterstützt, sind nachfolgende Kopien dieser Sicherung in demselben Konto im Allgemeinen inkrementell. AWS Backup verschlüsselt Ihre Kopie erneut mit dem vom Kunden verwalteten Schlüssel Ihres Zieltresors.

Voraussetzungen

  • Bevor Sie Ressourcen für mehrere Benutzer AWS-Konten verwalten können AWS Backup, müssen Ihre Konten derselben Organisation im AWS Organizations Service angehören.

  • Die meisten Ressourcen, die von unterstützt werden, AWS Backup unterstützen kontenübergreifendes Backup. Weitere Einzelheiten finden Sie unter Verfügbarkeit von Features nach Ressource.

  • Die meisten AWS Regionen unterstützen kontenübergreifende Backups. Weitere Einzelheiten finden Sie unter Verfügbarkeit der Funktionen von AWS-Region.

  • AWS Backup unterstützt keine kontoübergreifenden Kopien für die Speicherung in Cold-Tiers.

Einrichten kontenübergreifender Backups

Was benötigen Sie, um kontoübergreifende Backups zu erstellen?

  • Ein Quellkonto

    Das Quellkonto ist das Konto, in dem sich Ihre AWS Produktionsressourcen und primären Backups befinden.

    Der Benutzer des Quellkontos initiiert den kontoübergreifenden Backup-Vorgang. Der Benutzer oder die Rolle des Quellkontos muss über die entsprechenden API Berechtigungen verfügen, um den Vorgang einzuleiten. Bei den entsprechenden Berechtigungen kann es sich um die AWS verwaltete Richtlinie handelnAWSBackupFullAccess, die vollen Zugriff auf AWS Backup Vorgänge ermöglicht, oder um eine vom Kunden verwaltete Richtlinie, die Aktionen wie ermöglichtec2:ModifySnapshotAttribute. Weitere Informationen zu Richtlinientypen finden Sie unter Von AWS Backup verwaltete Richtlinien.

  • Ein Zielkonto

    Das Zielkonto ist das Konto, auf dem Sie eine Kopie Ihres Backups aufbewahren möchten. Sie können mehr als ein Zielkonto auswählen. Das Zielkonto muss sich in derselben Organisation befinden wie das Quellkonto in AWS Organizations.

    Sie müssen die Zugriffsrichtlinie backup:CopyIntoBackupVault für Ihren Ziel-Backup-Tresor „zulassen“. Wenn diese Richtlinie nicht vorhanden ist, werden Versuche, auf das Zielkonto zu kopieren, abgelehnt.

  • Ein Verwaltungskonto in AWS Organizations

    Das Verwaltungskonto ist das primäre Konto in Ihrer Organisation, wie in AWS Organizations definiert, das Sie verwenden, um kontenübergreifende Backups in Ihrem AWS-Konten zu verwalten. Um kontoübergreifendes Backup verwenden zu können, müssen Sie außerdem Service Trust aktivieren. Nachdem Sie Service Trust aktiviert haben, können Sie jedes Konto in der Organisation als Zielkonto verwenden. Von Ihrem Zielkonto aus können Sie auswählen, welche Tresore für kontoübergreifende Backups verwendet werden sollen.

  • Aktivieren kontoübergreifender Backups in der AWS Backup -Konsole

Weitere Informationen zu Sicherheit finden Sie unter Sicherheitsüberlegungen für kontoübergreifende Backups.

Um das kontoübergreifende Backup verwenden zu können, müssen Sie das kontoübergreifende Backup-Feature aktivieren. Dann müssen Sie die Zugriffsrichtlinie backup:CopyIntoBackupVault für Ihren Ziel-Backup-Tresor „zulassen“.

Aktivieren Sie die kontoübergreifende Sicherung

  1. Melden Sie sich mit den Anmeldeinformationen Ihres AWS Organizations Verwaltungskontos an. Kontoübergreifende Backups können nur mit diesen Anmeldeinformationen aktiviert oder deaktiviert werden.

  2. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  3. Wählen Sie unter Mein Konto die Option Einstellungen aus.

  4. Wählen Sie für kontoübergreifendes Backup die Option Aktivieren aus.

  5. Wählen Sie unter Backup-Tresore Ihren Zieltresor aus.

    Beim kontenübergreifenden Kopieren befinden sich der Quelltresor und der Zieltresor in unterschiedlichen Konten. Wechseln Sie bei Bedarf zu dem Konto, dem das Zielkonto gehört.

  6. Klicken Sie im Bereich Zugriffsrichtlinie auf backup:CopyIntoBackupVault „Zulassen“. Wählen Sie beispielsweise Berechtigungen hinzufügen und dann Zugriff auf einen Backup-Tresor aus der Organisation zulassen aus. Jede andere kontoübergreifende Aktion als backup:CopyIntoBackupVault wird abgelehnt.

  7. Jetzt kann jedes Konto in Ihrer Organisation den Inhalt seines Backup-Tresors mit jedem anderen Konto in Ihrer Organisation teilen. Weitere Informationen finden Sie unter Freigeben eines Backup-Tresors für ein anderes AWS -Konto. Informationen zur Einschränkung, welche Konten den Inhalt der Backup-Tresore anderer Konten erhalten können, finden Sie unter Konfigurieren eines Kontos als Zielkonto.

Planen kontenübergreifender Backups

Sie können einen geplanten Backup-Plan verwenden, um Backups über AWS-Konten hinweg zu kopieren.

So kopieren Sie ein Backup mit einem geplanten Backup-Plan:

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie unter Mein Konto die Option Backup-Pläne und dann Backup-Plan erstellen aus.

  3. Wählen Sie auf der Seite Backup-Plan erstellen die Option Neuen Plan erstellen aus.

  4. Geben Sie für Name des Backup-Plans einen Namen für Ihren Backup-Plan ein.

  5. Fügen Sie im Abschnitt Konfiguration der Backup-Regel eine Backup-Regel hinzu, die einen Backup-Zeitplan, ein Backup-Fenster und Lebenszyklusregeln definiert. Sie können später weitere Backup-Regeln hinzufügen.

    Geben Sie unter Regelname einen Namen für Ihre Regel ein.

  6. Wählen Sie im Abschnitt Zeitplan unter Häufigkeit aus, wie oft das Backup durchgeführt werden soll.

  7. Wählen Sie für Backup-Fenster die Option Standardwerte für Backup-Fenster verwenden (empfohlen). Sie können das Backup-Fenster anpassen.

  8. Wählen Sie für Backup-Tresor einen Tresor aus der Liste aus. Die Wiederherstellungspunkte für dieses Backup werden in diesem Tresor gespeichert. Sie können bei Bedarf auch einen neuen Backup-Tresor erstellen.

  9. Geben Sie im Abschnitt Kopie generieren – optional die folgenden Werte ein:

    Zielregion

    Wählen Sie das Ziel AWS-Region für Ihre Sicherungskopie. Ihr Backup wird in diese Region kopiert. Sie können einem neuen Ziel eine neue Kopierregel pro Kopie hinzufügen.

    In den Tresor eines anderen Kontos kopieren

    Schalten Sie um, um diese Option auszuwählen. Die Option wird blau, wenn sie ausgewählt ist. Die ARN Option Externer Tresor wird angezeigt.

    Externer Tresor ARN

    Geben Sie den Amazon-Ressourcennamen (ARN) des Zielkontos ein. Das ARN ist eine Zeichenfolge, die die Konto-ID und ihre enthält AWS-Region. AWS Backup kopiert das Backup in den Tresor des Zielkontos. Die Liste der Zielregionen wird automatisch mit der Region im externen Tresor aktualisiertARN.

    Wählen Sie unter Zugriff auf Backup-Tresor zulassen die Option Zulassen aus. Wählen Sie dann im sich öffnenden Assistenten die Option Zulassen aus.

    AWS Backup benötigt Zugriffsberechtigungen für das externe Konto, um das Backup auf den angegebenen Wert zu kopieren. Der Assistent zeigt die folgende Beispielrichtlinie, die diesen Zugriff ermöglicht.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
    Übergang auf Cold Storage

    Legen Sie fest, wann die Sicherungskopie in den Cold Storage übergestellt werden soll und wann die Kopie abläuft (gelöscht werden soll). In den Cold Storage übertragene Sicherungen müssen mindestens 90 Tage lang im Cold Storage gespeichert werden. Dieser Wert kann nicht geändert werden, nachdem eine Kopie in den Cold Storage übergegangen ist.

    Eine Liste der Ressourcen, die Sie in den Cold Storage übertragen können, finden Sie unter „Lebenszyklus bis zu Cold Storage“ in der Tabelle.Verfügbarkeit von Features nach Ressource Der Cold-Storage-Ausdruck wird für andere Ressourcen ignoriert.

    Expire (Ablaufdatum) gibt die Anzahl der Tage nach der Erstellung an, nach denen die Kopie gelöscht wird. Dieser Wert muss 90 Tage über dem Wert Übergang zu Cold Storage liegen.

    Anmerkung

    Wenn Backups ablaufen und im Rahmen Ihrer Lebenszyklus-Richtlinie zum Löschen markiert sind, werden die Backups zu einem zufällig ausgewählten Zeitpunkt innerhalb der folgenden 8 Stunden AWS Backup gelöscht. Dieses Zeitfenster trägt dazu bei, eine gleichbleibende Leistung zu ermöglichen.

  10. Wählen Sie Zu Wiederherstellungspunkten hinzugefügte Tags, um Ihren Wiederherstellungspunkten Tags hinzuzufügen.

  11. Wählen Sie unter Erweiterte Backup-Einstellungen Windows, VSS um anwendungsspezifische Snapshots für die ausgewählte Drittanbietersoftware zu aktivieren, auf der ausgeführt wird. EC2

  12. Wählen Sie Plan erstellen aus.

Durchführen eines kontoübergreifenden On-Demand-Backups

Sie können ein Backup bei Bedarf auf ein anderes AWS-Konto kopieren.

So kopieren Sie ein Backup nach Bedarf:

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie unter Mein Konto die Option Backup-Tresor aus, um alle Ihre Backup-Tresore aufzulisten. Sie können nach dem Namen oder Tag des Backup-Tresors filtern.

  3. Wählen Sie die Wiederherstellungspunkt-ID des Backups, das Sie kopieren möchten.

  4. Wählen Sie die Option Kopieren aus.

  5. Erweitern Sie die Backup-Details, um Informationen über den Wiederherstellungspunkt zu sehen, den Sie kopieren.

  6. Wählen Sie im Abschnitt Konfiguration kopieren eine Option aus der Liste Zielregion aus.

  7. Wählen Sie In den Tresor eines anderen Kontos kopieren. Die Option wird blau, wenn sie ausgewählt ist.

  8. Geben Sie den Amazon-Ressourcennamen (ARN) des Zielkontos ein. Das ARN ist eine Zeichenfolge, die die Konto-ID und ihre enthält AWS-Region. AWS Backup kopiert das Backup in den Tresor des Zielkontos. Die Liste der Zielregionen wird automatisch mit der Region im externen Tresor aktualisiertARN.

  9. Wählen Sie unter Zugriff auf Backup-Tresor zulassen die Option Zulassen aus. Wählen Sie dann im sich öffnenden Assistenten die Option Zulassen aus.

    Um die Kopie zu erstellen, AWS Backup sind Zugriffsberechtigungen für das Quellkonto erforderlich. Der Assistent zeigt die Beispielrichtlinie, die diesen Zugriff ermöglicht. Diese Richtlinie wird im Folgenden angezeigt.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}

  10. Legen Sie unter Übergang in Cold Storage fest, wann die Backup-Kopie in den Cold Storage übertragen werden soll und wann die Kopie abläuft (gelöscht werden soll). In den Cold Storage übertragene Sicherungen müssen mindestens 90 Tage lang im Cold Storage gespeichert werden. Dieser Wert kann nicht geändert werden, nachdem eine Kopie in den Cold Storage übergegangen ist.

    Eine Liste der Ressourcen, die Sie in den Cold Storage übertragen können, finden Sie unter „Lebenszyklus bis zu Cold Storage“ in der Tabelle.Verfügbarkeit von Features nach Ressource Der Cold-Storage-Ausdruck wird für andere Ressourcen ignoriert.

    Expire (Ablaufdatum) gibt die Anzahl der Tage nach der Erstellung an, nach denen die Kopie gelöscht wird. Dieser Wert muss 90 Tage über dem Wert Übergang zu Cold Storage liegen.

  11. Geben Sie unter IAMRolle die IAM Rolle an (z. B. die Standardrolle), die über die Berechtigungen verfügt, Ihr Backup zum Kopieren verfügbar zu machen. Der Vorgang des Kopierens wird von der serviceverknüpften Rolle Ihres Zielkontos ausgeführt.

  12. Wählen Sie die Option Kopieren aus. Je nach Größe der Ressource, die Sie kopieren, kann dieser Vorgang bis zum Abschluss mehrere Stunden dauern. Wenn der Kopierauftrag abgeschlossen ist, wird die Kopie auf der Registerkarte Aufträge kopieren im Menü Aufträge angezeigt.

Verschlüsselungsschlüssel und kontoübergreifende Kopien

Der Verschlüsselungsschlüssel für kontoübergreifende Kopien hängt vom Ressourcentyp ab. Ressourcen, die den Vollständige Verwaltung AWS Backup Verschlüsselungsschlüssel des Quell-Backup-Tresors verwendet haben. Vom Kunden verwaltete KMS Schlüssel können für die kontoübergreifende Kopierverschlüsselung dieser Ressourcentypen verwendet werden.

Ressourcentypen, die nicht vollständig verwaltet werden, AWS Backup haben denselben Quell KMS - und KMS Ressourcenschlüssel. Kontoübergreifendes Kopieren mit AWS verwalteten KMS Schlüsseln wird für diese Arten von Ressourcen, die nicht vollständig verwaltet AWS Backup werden, nicht unterstützt.

Weitere Hilfe zur Behebung von Fehlern beim kontenübergreifenden Kopieren finden Sie im AWS Knowledge Center.

Bei einer kontoübergreifenden Kopie muss die KMS Schlüsselrichtlinie für das Quellkonto das Zielkonto für die KMS Schlüsselrichtlinie zulassen.

Wiederherstellung eines Backups von einem AWS-Konto auf ein anderes

AWS Backup unterstützt nicht die Wiederherstellung von Ressourcen von einem AWS-Konto zum anderen. Sie können jedoch ein Backup von einem Konto auf ein anderes Konto kopieren und es dann in diesem Konto wiederherstellen. Sie können beispielsweise kein Backup von Konto A auf Konto B wiederherstellen, aber Sie können ein Backup von Konto A auf Konto B kopieren und es dann in Konto B wiederherstellen.

Das Wiederherstellen eines Backups von einem Konto bei einem anderen ist ein zweistufiger Prozess.

So stellen Sie ein Backup von einem -Konto auf ein anderes wieder her:

  1. Kopieren Sie das Backup von der Quelle AWS-Konto auf das Konto, für das Sie die Wiederherstellung durchführen möchten. Anweisungen finden Sie unter Kontoübergreifendes Backup einrichten.

  2. Verwenden Sie die entsprechenden Anweisungen für Ihre Ressource, um das Backup wiederherzustellen.

Freigeben eines Backup-Tresors für ein anderes AWS -Konto

AWS Backup ermöglicht es Ihnen, einen Backup-Tresor mit einem oder mehreren Konten oder Ihrer gesamten Organisation gemeinsam zu nutzen AWS Organizations. Sie können einen Ziel-Backup-Tresor mit einem AWS Quellkonto, einem Benutzer oder einer IAM Rolle teilen.

So geben Sie einen Ziel-Backup-Tresor frei:

  1. Wählen Sie AWS Backup und wählen Sie dann Backup-Tresore.

  2. Wählen Sie den Namen des Backup-Tresors aus, den Sie freigeben möchten.

  3. Wählen Sie im Bereich Zugriffsrichtlinie die Dropdown-Liste Berechtigungen hinzufügen aus.

  4. Wählen Sie Zugriff auf Kontoebene auf einen Backup-Tresor zulassen. Sie können auch wählen, ob Sie Zugriff auf Organisations- oder Rollenebene zulassen möchten.

  5. Geben Sie die KontoID des Kontos ein, das Sie für diesen Ziel-Backup-Tresor freigeben möchten.

  6. Wählen Sie Richtlinie speichern.

Sie können IAM Richtlinien verwenden, um Ihren Backup-Tresor gemeinsam zu nutzen.

Teilen Sie einen Ziel-Backup-Tresor mit einer AWS-Konto IAM Oder-Rolle

Die folgende Richtlinie teilt sich einen Backup-Tresor mit der Kontonummer 4444555566666 und der IAM Rolle SomeRole in der Kontonummer111122223333.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
Teilen Sie sich einen Ziel-Backup-Tresor mit einer Organisationseinheit AWS Organizations

Die folgende Richtlinie gibt einen Backup-Tresor für Organisationseinheiten, die ihre PrincipalOrgPaths verwenden, frei.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
Teilen Sie einen Ziel-Backup-Tresor mit einer Organisation in AWS Organizations

Die folgende Richtlinie teilt gibt einen Backup-Tresor für die Organisation frei mit PrincipalOrgID „o-a1b2c3d4e5“.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

Konfigurieren eines Kontos als Zielkonto

Wenn Sie zum ersten Mal kontenübergreifende Backups mit Ihrem AWS Organizations Verwaltungskonto aktivieren, kann jeder Benutzer eines Mitgliedskontos sein Konto als Zielkonto konfigurieren. Wir empfehlen, eine oder mehrere der folgenden Dienststeuerungsrichtlinien (SCPs) einzurichten AWS Organizations , um Ihre Zielkonten einzuschränken. Weitere Informationen zum Anhängen von Dienststeuerungsrichtlinien an AWS Organizations Knoten finden Sie unter Dienststeuerungsrichtlinien anhängen und trennen.

Beschränken von Zielkonten mithilfe von Tags

Wenn sie mit einem AWS Organizations Root-, OU- oder Einzelkonto verknüpft sind, beschränkt diese Richtlinie die Kopierziele von diesem Stammkonto, dieser Organisationseinheit oder diesem Konto nur auf die Konten mit Backup-Tresoren, die Sie markiert haben. DestinationBackupVault Die Berechtigung "backup:CopyIntoBackupVault" steuert, wie sich ein Backup-Tresor verhält und in diesem Fall, welche Ziel-Backup-Tresore gültig sind. Verwenden Sie diese Richtlinie zusammen mit dem entsprechenden Tag, das auf genehmigte Zieltresore angewendet wird, um die Ziele von kontenübergreifenden Kopien zu kontrollieren, die nur an genehmigte Konten und Backup-Tresore gesendet werden. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
Beschränken der Zielkonten mithilfe von Kontonummern und Tresornamen

Wenn sie mit einem AWS Organizations Root-, OU- oder Einzelkonto verknüpft sind, beschränkt diese Richtlinie Kopien, die von diesem Root-, OU- oder Konto stammen, auf nur zwei Zielkonten. Die Berechtigung "backup:CopyFromBackupVault" steuert das Verhalten eines Wiederherstellungspunkts im Backup-Tresor und in diesem Fall die Ziele, an die Sie diesen Speicherort kopieren können. Der Quelltresor erlaubt nur Kopien auf das erste Zielkonto (112233445566), wenn ein oder mehrere Namen des Ziel-Backup-Tresors mit cab- beginnen. Der Quelltresor erlaubt nur Kopien auf das zweite Zielkonto (123456789012), wenn das Ziel der einzelne Backup-Tresor mit dem Namen fort-knox ist.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
Beschränken Sie Zielkonten mithilfe von Organisationseinheiten in AWS Organizations

Wenn sie an ein AWS Organizations Stammkonto oder eine Organisationseinheit angehängt sind, die Ihr Quellkonto enthält, oder wenn sie mit Ihrem Quellkonto verknüpft sind, beschränkt die folgende Richtlinie die Zielkonten auf die Konten innerhalb der beiden angegebenen KontenOUs.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

Sicherheitsüberlegungen für kontoübergreifende Backups

Beachten Sie Folgendes, wenn Sie kontoübergreifende Backups in AWS Backup ausführen:

  • Der Zieltresor kann nicht der Standardtresor sein. Das liegt daran, dass der Standardtresor mit einem Schlüssel verschlüsselt ist, der nicht mit anderen Konten geteilt werden kann.

  • Kontoübergreifende Backups können nach dem Deaktivieren des kontoübergreifenden Backups noch bis zu 15 Minuten lang ausgeführt werden. Dies liegt an der eventuellen Konsistenz und kann dazu führen, dass einige kontoübergreifende Aufträge auch dann gestartet oder abgeschlossen werden, wenn Sie kontoübergreifende Backups deaktivieren.

  • Wenn das Zielkonto die Organisation zu einem späteren Zeitpunkt verlässt, behält dieses Konto die Backups bei. Um mögliche Datenlecks zu vermeiden, sollten Sie der organizations:LeaveOrganization Berechtigung in einer Dienststeuerungsrichtlinie (SCP), die dem Zielkonto zugeordnet ist, die Berechtigung verweigern. Ausführliche Informationen dazu SCPs finden Sie unter Entfernen eines Mitgliedskontos aus Ihrer Organisation im Benutzerhandbuch für Organizations.

  • Wenn Sie eine Kopierauftragsrolle während eines kontoübergreifenden Kopiervorgangs löschen, AWS Backup kann die Freigabe von Snapshots aus dem Quellkonto nicht rückgängig gemacht werden, wenn der Kopiervorgang abgeschlossen ist. In diesem Fall wird der Backup-Auftrag abgeschlossen, der Status des Kopierauftrags wird jedoch als Snapshot konnte nicht rückgängig gemacht werden angezeigt.