Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour l'utilisation des politiques de sauvegarde
AWS recommande les meilleures pratiques suivantes pour l'utilisation des politiques de sauvegarde.
Décider d'une stratégie de politique de sauvegarde
Vous pouvez créer des politiques de sauvegarde en parties incomplètes qui sont héritées et fusionnées pour composer une politique complète pour chaque compte membre. Ce faisant, vous risquez d'obtenir une police effective incomplète si vous effectuez une modification à un niveau sans tenir compte de l'impact de cette dernière sur tous les comptes inférieurs à ce niveau. Pour éviter cela, nous vous recommandons de vous assurer que les politiques de sauvegarde que vous mettez en œuvre à tous les niveaux sont complètes en elles-mêmes. Traitez les politiques parentes comme des politiques par défaut qui peuvent être remplacées par des paramètres spécifiés dans les politiques enfants. De cette façon, même si une politique enfant n'existe pas, la politique héritée est complète et utilise les valeurs par défaut. Vous pouvez décider quels paramètres peuvent être ajoutés, modifiés ou supprimés par les stratégies enfants à l'aide des opérateurs de contrôle d'héritage enfants.
Validez les modifications apportées à vos politiques de sauvegarde à l'aide de GetEffectivePolicy
Après avoir apporté une modification à une politique de sauvegarde, vérifiez les politiques effectives pour des comptes représentatifs inférieurs au niveau où la modification a été appliquée. Vous pouvez afficher la politique effective en utilisant AWS Management Console le ou en utilisant l'GetEffectivePolicyAPIopération ou l'une de ses AWS CLI AWS SDK variantes. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.
Commencez simplement en réalisant de petites modifications
Pour simplifier le débogage, commencez par des politiques simples et apportez des modifications à un élément à la fois. Validez le comportement et l'impact de chaque modification avant d'effectuer la suivante. Vous réduisez ainsi le nombre de variables dont vous devez tenir compte lorsqu'une erreur ou un résultat inattendu se produit.
Stockez des copies de vos sauvegardes dans d'autres comptes Régions AWS et dans d'autres comptes de votre organisation
Pour améliorer votre position de reprise après sinistre, vous pouvez stocker des copies de vos sauvegardes.
-
Une autre région : si vous stockez des copies de la sauvegarde en plus Régions AWS, vous contribuez à protéger la sauvegarde contre toute corruption ou suppression accidentelle dans la région d'origine. Utilisez la section
copy_actionsde la politique pour spécifier un coffre-fort dans une ou plusieurs régions du même compte dans lequel le plan de sauvegarde s'exécute. Pour ce faire, identifiez le compte à l'aide de la$accountvariable lorsque vous spécifiez le coffre ARN de sauvegarde dans lequel stocker la copie de la sauvegarde. La variable$accountest automatiquement remplacée au moment de l'exécution par l'ID du compte dans lequel la politique de sauvegarde est exécutée. -
Un autre compte — Si vous stockez des copies de la sauvegarde en plus Comptes AWS, vous ajoutez une barrière de sécurité qui aide à vous protéger contre un acteur malveillant qui compromettrait l'un de vos comptes. Utilisez la section
copy_actionsde la politique pour spécifier un coffre-fort dans un ou plusieurs comptes de votre organisation, séparément du compte dans lequel le plan de sauvegarde s'exécute. Pour ce faire, identifiez le compte à l'aide de son numéro d'identification réel lorsque vous spécifiez le coffre ARN de sauvegarde dans lequel vous souhaitez stocker la copie de la sauvegarde.
Limitez le nombre de plans par politique
Les politiques qui contiennent plusieurs plans sont plus compliquées à dépanner en raison du plus grand nombre de sorties qui doivent toutes être validées. Au lieu de cela, faites en sorte que chaque politique contienne un seul et unique plan de sauvegarde, pour simplifier le débogage et le dépannage. Vous pouvez ensuite ajouter des politiques supplémentaires avec d'autres plans pour satisfaire d'autres exigences. Cela permet de limiter à une seule politique les problèmes liés à un plan et d'éviter que ces problèmes compliquent la résolution des problèmes liés à d'autres politiques et à leurs plans.
Utilisez des ensembles de piles pour créer les coffres-forts et IAM les rôles de sauvegarde requis
Utilisez l'intégration des ensembles de AWS CloudFormation piles avec Organizations pour créer automatiquement les coffres-forts de sauvegarde et AWS Identity and Access Management (IAM) les rôles requis dans chacun des comptes membres de votre organisation. Vous pouvez créer un ensemble de ressources qui inclut les ressources que vous souhaitez voir automatiquement disponibles Compte AWS dans tous les membres de votre organisation. Vous pouvez ainsi exécuter vos plans de sauvegarde avec la garantie que les dépendances sont déjà respectées. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateur AWS CloudFormation .
Vérifiez vos résultats en examinant la première sauvegarde créée dans chaque compte
Lorsque vous modifiez une politique, vérifiez la sauvegarde suivante créée après cette modification pour vous assurer qu'elle a eu l'impact souhaité. Cette étape va au-delà de l'examen de la politique efficace et garantit l' AWS Backup interprétation de vos politiques et la mise en œuvre des plans de sauvegarde comme vous le souhaitiez.
