Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar AWS Backup recursos en múltiples Cuentas de AWS
nota
Antes de administrar los recursos Cuentas de AWS en varios AWS Backup ingresos, sus cuentas deben pertenecer a la misma organización del AWS Organizations servicio.
Puede utilizar la función de administración multicuenta AWS Backup para gestionar y supervisar los trabajos de copia de seguridad, restauración y copia con AWS Organizations los Cuentas de AWS que haya configurado. AWS Organizationses un servicio que ofrece una administración basada en políticas para múltiples cuentas de administración Cuentas de AWS desde una única cuenta de administración. Le permite estandarizar la forma en que implementa las políticas de copia de seguridad, minimizando los errores manuales y el esfuerzo simultáneamente. Desde una vista central, puede identificar fácilmente los recursos en todas las cuentas que cumplan los criterios que le interesan.
Si lo configuras AWS Organizations, puedes configurarlo AWS Backup para monitorear las actividades de todas tus cuentas en un solo lugar. También puede crear una política de copias de seguridad y aplicarla a determinadas cuentas que formen parte de su organización y ver las actividades agregadas de las tareas de copia de seguridad directamente desde la AWS Backup consola. Esta funcionalidad permite a los administradores de copias de seguridad monitorizar eficazmente el estado del trabajo de copia de seguridad en cientos de cuentas de toda la empresa desde una sola cuenta maestra. Se aplican las Cuotas para AWS Organizations.
Por ejemplo, se define una política de copia de seguridad A que toma copias de seguridad diarias de recursos específicos y las mantiene durante 7 días. Puede aplicar la política de copia de seguridad A a toda la organización. (Esto significa que cada cuenta de la organización obtiene esa política de copia de seguridad, lo que crea un plan de copia de seguridad correspondiente que está visible en esa cuenta). A continuación, crea una unidad organizativa denominada Finance y decide mantener sus copias de seguridad durante solo 30 días. En este caso, se define una política de copia de seguridad B, que anula el valor del ciclo de vida y se adjunta a esa unidad organizativa Finance. Esto significa que todas las cuentas bajo la unidad organizativa Finance obtienen un nuevo plan de copia de seguridad efectivo que toma copias de seguridad diarias de todos los recursos especificados y las mantiene durante 30 días.
En este ejemplo, la política de copia de seguridad A y la política de copia de seguridad B se fusionaron en una única política de copia de seguridad, que define la estrategia de protección para todas las cuentas de la unidad organizativa denominada Finance. Todas las demás cuentas de la organización permanecen protegidas por la política de copia de seguridad A. La combinación se realiza solo para las políticas de copia de seguridad que comparten el mismo nombre de plan de copia de seguridad. También puede hacer que la política A y la política B coexistan en esa cuenta sin ninguna combinación. Solo puede utilizar operadores de fusión avanzados en la JSON vista de la consola. Para obtener más información sobre la combinación de políticas, consulte Definición de políticas, sintaxis de políticas y herencia de políticas en la Guía del usuario de AWS Organizations . Para obtener referencias y casos de uso adicionales, consulte el blog Cómo administrar copias de seguridad a gran escala AWS Organizations con su uso AWS Backup y el tutorial en
Consulte la disponibilidad de funciones por AWS región para ver dónde está disponible la función de administración multicuenta.
Para utilizar la administración entre cuentas, debe seguir estos pasos:
-
Cree una cuenta de administración AWS Organizations y añada cuentas a la cuenta de administración.
-
Habilite la función de administración multicuenta en AWS Backup.
-
Cree una política de respaldo para aplicarla a todos los usuarios Cuentas de AWS de su cuenta de administración.
nota
Para los planes de copia de seguridad administrados por Organizations, la configuración de suscripción del recurso en la cuenta de administración anula la configuración de la cuenta de un miembro, aunque estén configuradas una o varias cuentas de administrador delegado. Las cuentas de administrador delegado son cuentas de miembros con características mejoradas y no pueden anular la configuración como una cuenta de administración.
-
Gestione los trabajos de copia de seguridad, restauración y copia en todos sus archivos Cuentas de AWS.
Contenido
- Creación de una cuenta de administración en Organizations
- Habilitación de la administración entre cuentas
- Administrador delegado
- Políticas de copia de seguridad
- Monitorización de actividades en varias Cuentas de AWS
- Reglas de suscripción de recursos
- Definición de políticas, sintaxis de políticas y herencia de políticas
Creación de una cuenta de administración en Organizations
En primer lugar, debe crear su organización y configurarla con las cuentas de AWS los miembros integradas AWS Organizations.
Para crear una cuenta de administración en AWS Organizations y añadir cuentas
-
Para obtener instrucciones, consulte Tutorial: Creación y configuración de una organización en la Guía del usuario de AWS Organizations .
Habilitación de la administración entre cuentas
Antes de poder utilizar la administración multicuenta AWS Backup, la cuenta de administración debe habilitar la función (es decir, habilitarla). Una vez que la cuenta de administración habilite la administración multicuenta, puedes crear políticas de respaldo que administren los recursos de varias cuentas.
Para habilitar la administración entre cuentas
-
Abre el arte Consola de AWS Backup . https://console.aws.amazon.com/backup/
Debe iniciar sesión con las credenciales de la cuenta de administración. -
En el panel de navegación izquierdo, elija Settings (Configuración) para abrir la página de administración entre cuentas.
-
En la sección Backup policies (Políticas de copia de seguridad), elija Enable (Habilitar).
Esto le da acceso a todas las cuentas y le permite crear políticas que automatizan la administración de varias cuentas en su organización simultáneamente.
-
En la sección Supervisión entre cuentas elija Enable (Habilitar).
Esto le permite monitorizar las actividades de copia de seguridad, copia y restauración de todas las cuentas de su organización desde su cuenta de administración.
Administrador delegado
La administración delegada proporciona una forma cómoda para que los usuarios asignados a una cuenta de miembro registrado realicen la mayoría de las tareas AWS Backup administrativas. Puede optar por delegar la administración de AWS Backup una cuenta de miembro en AWS Organizations, lo que amplía la capacidad AWS Backup de administrar desde fuera de la cuenta de administración y en toda la organización.
Una cuenta de administración, de forma predeterminada, es la cuenta que se usa para editar y administrar las políticas. Con la característica de administrador delegado, puede delegar estas funciones de administración a las cuentas miembro que designe. A su vez, esas cuentas pueden administrar políticas, además de la cuenta de administración.
Una vez que la cuenta miembro se haya registrado correctamente para la administración delegada, se convierte en una cuenta de administrador delegado. Tenga en cuenta que las cuentas, no los usuarios, se designan como administradores delegados.
La habilitación de cuentas de administrador delegado permite administrar las políticas de copia de seguridad, minimiza la cantidad de usuarios con acceso a la cuenta de administración y facilita la monitorización de los trabajos entre cuentas.
A continuación, se muestra una tabla que muestra las funciones de la cuenta de administración, las cuentas delegadas como administradores de Backup y las cuentas que son miembros de la AWS organización.
nota
Las cuentas de administrador delegado son cuentas de miembros con características mejoradas, pero no pueden anular la configuración de suscripción al servicio de otras cuentas de miembros como una cuenta de administración.
| PRIVILEGES | MANAGEMENT ACCOUNT | DELEGATED ADMINISTRATOR | MEMBER ACCOUNT |
|---|---|---|---|
| Registrar o anular el registro de cuentas de administrador delegado | Sí | No | No |
| Habilite la administración multicuenta | Sí | No | No |
| Administre las políticas de respaldo en todas las cuentas en AWS Organizations | Sí | Sí | No |
| Monitorizar los trabajos entre cuentas | Sí | Sí | No |
Requisitos previos
Para poder delegar la administración de las copias de seguridad, primero debe registrar al menos una cuenta de miembro en su AWS organización como administrador delegado. Antes de poder registrar una cuenta como administrador delegado, primero debe configurar lo siguiente:
AWS Organizations debe estar habilitada y configurada con al menos una cuenta de miembro además de la cuenta de administración predeterminada.
-
En la AWS Backup consola, asegúrate de que las políticas de respaldo, la supervisión multicuenta y las funciones de copia de seguridad multicuenta estén activadas. Se encuentran debajo del panel de administradores delegados de la consola. AWS Backup
-
La monitorización entre cuentas le permite monitorizar la actividad de copia de seguridad en todas las cuentas de su organización, tanto desde la cuenta de administración como desde las cuentas de administrador delegado.
-
Opcional: copia de seguridad multicuenta, que permite a las cuentas de su organización copiar copias de seguridad a otras cuentas (para los recursos multicuenta compatibles con Backup).
-
Habilite el acceso al servicio con. AWS Backup
-
La configuración de la administración delegada consta de dos pasos. El primer paso es delegar la monitorización de los trabajos entre cuentas. El segundo paso es delegar la administración de las políticas de copia de seguridad.
Registro de una cuenta miembro como cuenta del administrador delegado
Esta es la primera sección: Uso de la AWS Backup consola para registrar una cuenta de administrador delegado a fin de supervisar los trabajos entre cuentas. Para delegar AWS Backup políticas, utilizará la consola Organizations en la siguiente sección.
Para registrar una cuenta de miembro mediante la AWS Backup consola:
-
Abre el Consola de AWS Backup chat https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. En Mi cuenta, en el panel de navegación izquierdo de la consola, elija Configuración.
En el panel Administradores delegados, haga clic en Registrar administrador delegado o Agregar administrador delegado.
En la página Registrar administrador delegado, seleccione la cuenta que desee registrar y, a continuación, elija Registrar cuenta.
Esta cuenta designada ahora se registrará como un administrador delegado, con privilegios administrativos para monitorizar los trabajos en todas las cuentas de la organización. Además, podrá ver y editar las políticas (delegación de políticas). Esta cuenta miembro no puede registrar ni anular el registro de otras cuentas de administrador delegado. Puede usar la consola para registrar un máximo de 5 cuentas como administradores delegados.
Asegúrese de que el administrador delegado tenga los permisos otorgados porAWSBackupOrganizationAdminAccess.
Para registrar una cuenta miembro mediante programación:
Utilice el CLI comandoregister-delegated-administrator. Puede especificar los siguientes parámetros en su CLI solicitud:
service-principalaccount-id
A continuación se muestra un ejemplo de una CLI solicitud para registrar una cuenta de miembro mediante programación:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Anulación del registro de una cuenta miembro
Utilice el siguiente procedimiento para eliminar el acceso administrativo AWS Backup anulando el registro de una cuenta de miembro en su AWS organización que anteriormente había sido designada como administrador delegado.
Para anular el registro de una cuenta miembro con la consola
-
Abre el arte. Consola de AWS Backup https://console.aws.amazon.com/backup/
Debe iniciar sesión con las credenciales de la cuenta de administración. En Mi cuenta, en el panel de navegación izquierdo de la consola, elija Configuración.
En la sección Administrador delegado, elija Anular el registro de cuenta.
Elige la cuenta o cuentas para las que desea anular el registro.
En el cuadro de diálogo Anular el registro de cuenta, revise las implicaciones de seguridad y, a continuación, escriba
confirmpara completar la anulación del registro.Elija
Deregister account.
Para anular el registro de una cuenta miembro mediante programación:
Utilice el CLI comando deregister-delegated-administrator para anular el registro de una cuenta de administrador delegado. Puede especificar los siguientes parámetros en su solicitud: API
service-principalaccount-id
A continuación se muestra un ejemplo de una CLI solicitud para anular el registro de una cuenta de miembro mediante programación:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Delegue políticas a través de AWS BackupAWS Organizations
Dentro de la AWS Organizations consola, puede delegar la administración de varias políticas, incluidas las políticas de Backup.
Desde la cuenta de administración que ha iniciado sesión en la consola de AWS Organizations
Políticas de copia de seguridad
Puede combinar los planes de respaldo con la escalabilidad de las políticas AWS Organizations para crear políticas de respaldo que simplifiquen la administración en toda su organización.
Consulte la Guía del AWS Organizations usuario para obtener información sobre cómo habilitar las políticas de respaldo para su organización, de modo que pueda:
Consulte AWS Backup cuotas las cuotas AWS Backup específicas de los elementos contenidos en una política.
Monitorización de actividades en varias Cuentas de AWS
Para supervisar los trabajos de copia de seguridad, copia y restauración en todas las cuentas, debe habilitar la supervisión entre cuentas. Esto le permite monitorizar las actividades de copia de seguridad en todas las cuentas desde la cuenta de administración de la organización. Después de participar, todos los trabajos de la organización que se crearon después de la suscripción están visibles. Cuando se desactiva, AWS Backup mantiene los trabajos en la vista conjunta durante 30 días (desde que se llega a un estado de finalización). Los trabajos creados después de la exclusión no son visibles y no muestran los trabajos de copia de seguridad recién creados. Para obtener instrucciones de aceptación, consulte Habilitación de la administración entre cuentas.
Para supervisar varias cuentas
-
Abre el arte Consola de AWS Backup . https://console.aws.amazon.com/backup/
Debe iniciar sesión con las credenciales de la cuenta de administración. -
En el panel de navegación izquierdo, elija Settings (Configuración) para abrir la página de administración entre cuentas.
-
En la sección Supervisión entre cuentas elija Enable (Habilitar).
Esto le permite monitorizar las actividades de copia de seguridad y restauración de todas las cuentas de su organización desde su cuenta de administración.
-
En el panel de navegación izquierdo, elija Cross-account monitoring (Supervisión entre cuentas).
-
En la página Cross-account monitoring (Supervisión entre cuentas) elija la pestaña Backup jobs (Trabajos de copia de seguridad), Restore jobs (Trabajos de restauración) o Copy jobs (Trabajos de copia) para ver todos los trabajos creados en todas sus cuentas. Puede ver cada uno de estos trabajos por Cuenta de AWS ID y puede ver todos los trabajos de una cuenta en particular.
-
En el cuadro de búsqueda, puede filtrar los trabajos por Account ID (ID de cuenta), Status (Estado), o Job ID (ID de trabajo).
Por ejemplo, puede elegir la pestaña Backup jobs (Trabajos de copia de seguridad) y ver todos los trabajos de copia de seguridad creados en todas sus cuentas. Puede filtrar la lista por Account ID (ID de cuenta) y ver todos los trabajos de copia de seguridad creados en esa cuenta.
Reglas de suscripción de recursos
Si el plan de respaldo de una cuenta de miembro se creó mediante una política de respaldo a nivel de organización, la configuración de AWS Backup suscripción de la cuenta de administración de la organización anulará la configuración de suscripción de esa cuenta de miembro, pero solo para ese plan de respaldo.
Si la cuenta miembro también tiene planes de copia de seguridad a nivel local creados por los usuarios, dichos planes de copia de seguridad seguirán la configuración de suscripción de la cuenta miembro, sin referencia a la configuración de suscripción de la cuenta de administración de Organizations.
Definición de políticas, sintaxis de políticas y herencia de políticas
Los siguientes temas están documentados en la Guía del usuario. AWS Organizations
-
Políticas de copia de seguridad: consulte Políticas de copia de seguridad.
-
Sintaxis de políticas: consulte Ejemplos y sintaxis de políticas de copia de seguridad.
-
Herencia para tipos de políticas de administración: consulte Herencia para tipos de políticas de administración.
