Creazione di copie di backup in tutto Account AWS - AWS Backup

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di copie di backup in tutto Account AWS

Utilizzando AWS Backup, è possibile eseguire il backup di più copie Account AWS su richiesta o automaticamente come parte di un piano di backup pianificato. Utilizza un backup su più account se desideri copiare in modo sicuro i backup su uno o più Account AWS account dell'organizzazione per motivi operativi o di sicurezza. Se il backup originale viene eliminato inavvertitamente, puoi copiare il backup dall'account di destinazione all'account di origine e quindi avviare il ripristino. Prima di farlo, devi disporre di due account appartenenti alla stessa organizzazione nel servizio AWS Organizations . Per ulteriori informazioni, consulta Tutorial: creazione e configurazione di un'organizzazione nella Guida per l'utente di .

Un vault di backup deve essere creato nell'account di destinazione. Quindi, assegni una chiave gestita dal cliente per crittografare i backup nell'account di destinazione e una politica di accesso basata sulle risorse per consentire AWS Backup l'accesso alle risorse che desideri copiare. Nell'account di origine, se le risorse sono crittografate con una chiave gestita dal cliente, questa deve essere condivisa con l'account di destinazione. Puoi quindi creare un piano di backup e scegliere un account di destinazione che fa parte dell'unità organizzativa in AWS Organizations.

Quando copi un backup su più account per la prima volta, copia il backup per intero. AWS Backup In generale, se un servizio supporta i backup incrementali, le copie successive di quel backup nello stesso account sono incrementali. AWS Backup cripta nuovamente la copia utilizzando la chiave gestita dal cliente del vault di destinazione.

Requisiti
  • Prima di gestire le risorse su più Account AWS account AWS Backup, gli account devono appartenere alla stessa organizzazione del servizio. AWS Organizations

  • La maggior parte delle risorse supportate da AWS Backup supporta il backup su più account. Per le specifiche, consulta Disponibilità delle funzionalità per risorsa.

  • La maggior parte AWS delle regioni supporta il backup su più account. Per le specifiche, consulta Disponibilità delle funzionalità di Regione AWS.

  • AWS Backup non supporta copie su più account per l'archiviazione su livelli freddi.

Configurazione del backup tra account

Che cosa occorre per creare backup tra account?
  • Un account di origine

    L'account di origine è l'account in cui risiedono le AWS risorse di produzione e i backup principali.

    L'utente dell'account di origine avvia l'operazione di backup tra account. L'utente o il ruolo dell'account di origine deve disporre API delle autorizzazioni appropriate per avviare l'operazione. Le autorizzazioni appropriate possono essere la politica AWS gestitaAWSBackupFullAccess, che consente l'accesso completo alle AWS Backup operazioni, o una politica gestita dal cliente che consente azioni come. ec2:ModifySnapshotAttribute Per ulteriori informazioni sui tipi di policy, consulta Policy gestite da AWS Backup.

  • Un account di destinazione

    L'account di destinazione è quello in cui desideri mantenere una copia del backup. Puoi scegliere più di un account di destinazione. L'account di destinazione deve trovarsi nella stessa organizzazione dell'account di origine in AWS Organizations.

    È necessario "Consentire" la policy di accesso backup:CopyIntoBackupVault per il vault di backup di destinazione. L'assenza di questa policy impedirà i tentativi di copia nell'account di destinazione.

  • Un account di gestione in AWS Organizations

    L'account di gestione è l'account principale dell'organizzazione, come definito da AWS Organizations, utilizzato per gestire il backup tra account in più Account AWS. Per utilizzare il backup tra account, occorre inoltre abilitare l'affidabilità del servizio. Dopo aver abilitato l'affidabilità del servizio, puoi utilizzare qualsiasi account dell'organizzazione come un account di destinazione. Dall'account di destinazione, puoi scegliere quali vault utilizzare per il backup tra account.

  • Abilitare il backup tra account nella console AWS Backup

Per ulteriori informazioni sulla sicurezza, consulta Considerazioni di sicurezza per il backup tra account.

Per utilizzare il backup tra account, è necessario abilitare la funzionalità di backup tra account. Quindi, è necessario "Consentire" la policy di accesso backup:CopyIntoBackupVault nel vault di backup di destinazione.

Abilita il backup su più account
  1. Accedi utilizzando le credenziali AWS Organizations del tuo account di gestione. Il backup tra account può essere abilitato o disabilitato solo utilizzando queste credenziali.

  2. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  3. In Il mio account, scegli Impostazioni.

  4. In Backup tra account, scegli Abilita.

  5. In Vault di backup, scegli il vault di destinazione.

    Per la copia su più account, il vault di origine e il vault di destinazione si trovano in account diversi. Passa all'account proprietario dell'account di destinazione, se necessario.

  6. Nella sezione Policy di accesso, "Consentire" backup:CopyIntoBackupVault. Ad esempio, scegli Aggiungi autorizzazioni e quindi Consenti l'accesso a un vault di backup dall'organizzazione. Qualsiasi azione tra account diversa da quella effettuata backup:CopyIntoBackupVault verrà rifiutata.

  7. Ora, qualsiasi account dell'organizzazione può condividere i contenuti del vault di backup con qualsiasi altro account dell'organizzazione. Per ulteriori informazioni, consulta Condivisione di un vault di backup con un account AWS diverso. Per limitare gli account che possono ricevere il contenuto dai vault di backup di altri account, consulta Configurazione dell'account come un account di destinazione.

Pianificazione del backup tra account

Puoi utilizzare un piano di backup pianificato per copiare i backup in più Account AWS.

Per copiare un backup utilizzando un piano di backup pianificato
  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. In Il mio account, scegli Piani di backup, quindi scegli Crea un piano di backup.

  3. Nella pagina Crea un piano di backup, scegli Crea un nuovo piano.

  4. In Nome del piano di backup, inserisci il nome del piano di backup.

  5. Nella sezione Configurazione regola di backup, aggiungi una regola di backup che definisce una pianificazione di backup, una finestra di backup e regole del ciclo di vita. Puoi aggiungere altre regole di backup in un secondo momento.

    In Nome regola, inserisci un nome per la regola.

  6. Nella sezione Pianificazione, in Frequenza, scegli la frequenza desiderata di esecuzione del backup.

  7. In Finestra di backup, scegli Utilizza le impostazioni predefinite della finestra di backup (scelta consigliata). Puoi personalizzare la finestra di backup.

  8. In Vault di backup, scegli un vault dall'elenco. I punti di ripristino per questo backup verranno salvati in questo vault. Puoi creare un nuovo vault di backup.

  9. Nella sezione Genera copia - facoltativa, inserisci i seguenti valori:

    Regione di destinazione

    Scegli la destinazione Regione AWS per la tua copia di backup. Il backup verrà copiato in questa regione. È possibile aggiungere una nuova regola di copia per ciascuna copia in una nuova destinazione.

    Copia nel vault di un altro account

    Attiva per scegliere questa opzione. L'opzione diventa blu quando è selezionata. Apparirà l'ARNopzione External vault.

    Cassaforte esterna ARN

    Inserisci l'Amazon Resource Name (ARN) dell'account di destinazione. ARNè una stringa che contiene l'ID dell'account e il relativo Regione AWS. AWS Backup copierà il backup nel vault dell'account di destinazione. L'elenco delle regioni di destinazione si aggiorna automaticamente alla regione nel ARN vault esterno.

    In Consenti l'accesso al vault di backup, scegli Consenti. Quindi scegli Consenti nella procedura guidata visualizzata.

    AWS Backup necessita delle autorizzazioni per accedere all'account esterno per copiare il backup sul valore specificato. La procedura guidata mostra il seguente esempio di policy che fornisce questo accesso.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] }
    Transizione allo storage a freddo

    Scegliere quando trasferire la copia di backup allo storage a freddo e la scadenza (eliminazione) della copia. I backup trasferiti allo storage dei dati inattivi devono essere archiviati nello storage dei dati inattivi per un minimo di 90 giorni. Questo valore non può essere modificato dopo il trasferimento di una copia allo storage a freddo.

    Per visualizzare l'elenco di risorse che è possibile trasferire nell'archiviazione a freddo, consulta la sezione "Dal ciclo di vita all'archiviazione a freddo" della tabella Disponibilità delle funzionalità per risorsa. L'espressione archiviazione a freddo viene ignorata per le altre risorse.

    Scadenza specifica il numero di giorni dopo la creazione prima che la copia venga eliminata. Questo valore deve essere maggiore di 90 giorni rispetto al valore di Transizione allo storage a freddo.

    Nota

    Quando i backup scadono e sono contrassegnati per l'eliminazione come parte della politica del ciclo di vita, AWS Backup elimina i backup in un momento scelto casualmente nelle 8 ore successive. Questa finestra aiuta a garantire prestazioni costanti.

  10. Scegli Tag aggiunti ai punti di ripristino per aggiungere tag ai punti di ripristino.

  11. Per le impostazioni di backup avanzate, scegli Windows per abilitare le istantanee con riconoscimento delle applicazioni VSS per il software di terze parti selezionato su cui è in esecuzione. EC2

  12. Seleziona Crea piano.

Esecuzione di backup tra account on demand

È possibile copiare un backup su un altro su richiesta. Account AWS

Per copiare un backup on demand
  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. In Il mio account, scegli Vault di backup per visualizzare tutti i vault di backup elencati. Puoi filtrare in base al nome o al tag del vault di backup.

  3. Scegli l'ID punto di ripristino del backup che desideri copiare.

  4. Scegli Copia.

  5. Espandi Dettagli del backup per visualizzare le informazioni sul punto di ripristino che stai copiando.

  6. Nella sezione Copia configurazione, scegli un'opzione dall'elenco Regione di destinazione.

  7. Scegli Copia nel vault di un altro account. L'opzione diventa blu quando è selezionata.

  8. Inserisci l'Amazon Resource Name (ARN) dell'account di destinazione. ARNè una stringa che contiene l'ID dell'account e il relativo Regione AWS. AWS Backup copierà il backup nel vault dell'account di destinazione. L'elenco delle regioni di destinazione si aggiorna automaticamente alla regione nel ARN vault esterno.

  9. In Consenti l'accesso al vault di backup, scegli Consenti. Quindi scegli Consenti nella procedura guidata visualizzata.

    Per creare la copia, sono AWS Backup necessarie le autorizzazioni per accedere all'account di origine. La procedura guidata mostra una policy di esempio che fornisce questo accesso. Questa policy viene mostrata di seguito.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] }
  10. In Transizione allo storage a freddo, scegli quando trasferire la copia di backup allo storage a freddo e la scadenza (eliminazione) della copia. I backup trasferiti allo storage dei dati inattivi devono essere archiviati nello storage dei dati inattivi per un minimo di 90 giorni. Questo valore non può essere modificato dopo il trasferimento di una copia allo storage a freddo.

    Per visualizzare l'elenco di risorse che è possibile trasferire nell'archiviazione a freddo, consulta la sezione "Dal ciclo di vita all'archiviazione a freddo" della tabella Disponibilità delle funzionalità per risorsa. L'espressione archiviazione a freddo viene ignorata per le altre risorse.

    Scadenza specifica il numero di giorni dopo la creazione prima che la copia venga eliminata. Questo valore deve essere maggiore di 90 giorni rispetto al valore di Transizione allo storage a freddo.

  11. Per il IAMruolo, specifica il IAM ruolo (ad esempio il ruolo predefinito) che dispone delle autorizzazioni per rendere il backup disponibile per la copia. L'operazione di copia viene eseguita dal ruolo collegato al servizio dell'account di destinazione.

  12. Scegli Copia. A seconda delle dimensioni della risorsa da copiare, il completamento di questo processo potrebbe richiedere diverse ore. Al termine del processo di copia, la copia verrà visualizzata nella scheda Copia processi del menu Processi.

Chiavi di crittografia e copie tra account

La chiave di crittografia delle copie tra account dipende dal tipo di risorsa. Risorse che hanno Gestione completa AWS Backup utilizzato la chiave di crittografia dell'archivio di backup di origine. KMSLe chiavi gestite dal cliente possono essere utilizzate per la crittografia delle copie tra account diversi di questi tipi di risorse.

I tipi di risorse che non sono completamente gestiti da AWS Backup hanno la stessa chiave di origine e la stessa KMS chiave di risorsaKMS. La copia su più account con KMS chiavi AWS gestite non è supportata per questi tipi di risorse che non sono completamente gestite da AWS Backup.

Per ulteriore assistenza nella risoluzione degli errori di copia su più account, consulta il AWS Knowledge Center.

Durante una copia su più account, la politica relativa alle KMS chiavi dell'account di origine deve consentire all'account di destinazione di utilizzare la KMS politica chiave.

Ripristino di un backup da uno all'altro Account AWS

AWS Backup non supporta il ripristino delle risorse da una Account AWS all'altra. Tuttavia, puoi copiare un backup da un account a un account differente e ripristinarlo in tale account. Ad esempio, non è possibile ripristinare un backup dall'account A all'account B, ma è possibile copiare un backup dall'account A all'account B e quindi ripristinarlo nell'account B.

Il ripristino di un backup da un account a un altro è un processo in due fasi.

Per ripristinare un backup da un account a un altro
  1. Copia il backup dall'origine Account AWS all'account su cui desideri eseguire il ripristino. Per istruzioni, consulta Configurazione del backup tra account.

  2. Utilizza le istruzioni appropriate per la risorsa per ripristinare il backup.

Condivisione di un vault di backup con un account AWS diverso

AWS Backup consente di condividere un vault di backup con uno o più account o con l'intera organizzazione. AWS OrganizationsÈ possibile condividere un archivio di backup di destinazione con un AWS account, un utente o IAM un ruolo di origine.

Per condividere un vault di backup di destinazione
  1. Scegli AWS Backup, quindi seleziona Vault di backup.

  2. Scegli il nome del vault di backup che desideri condividere.

  3. Nel riquadro Policy di accesso, scegli il menu a discesa Aggiungi autorizzazioni.

  4. Scegli Consenti l'accesso a livello di account a un vault di backup. In alternativa, puoi scegliere di consentire l'accesso a livello di organizzazione o a livello di ruolo.

  5. Inserisci l'AccountID dell'account che desideri condividere con questo vault di backup di destinazione.

  6. Scegli Salva policy.

È possibile utilizzare IAM le policy per condividere il proprio archivio di backup.

Condividi un archivio di backup di destinazione con un ruolo or Account AWS IAM

La seguente politica condivide un archivio di backup con il numero di account 4444555566666 e il IAM ruolo SomeRole nel numero di account. 111122223333

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::444455556666:root", "arn:aws:iam::111122223333:role/SomeRole" ] }, "Action":"backup:CopyIntoBackupVault", "Resource":"*" } ] }
Condividi un archivio di backup di destinazione in cui risiede un'unità organizzativa AWS Organizations

La seguente policy condivide un vault di backup con le unità organizzative utilizzando PrincipalOrgPaths.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "ForAnyValue:StringLike":{ "aws:PrincipalOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }
Condividi un archivio di backup di destinazione con un'organizzazione in AWS Organizations

La seguente policy condivide un vault di backup con l'organizzazione con PrincipalOrgID "o-a1b2c3d4e5".

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":[ "o-a1b2c3d4e5" ] } } } ] }

Configurazione dell'account come un account di destinazione

Quando abiliti per la prima volta i backup tra account utilizzando il tuo account di AWS Organizations gestione, qualsiasi utente di un account membro può configurare il proprio account come account di destinazione. Ti consigliamo di impostare una o più delle seguenti politiche di controllo del servizio (SCPs) AWS Organizations per limitare gli account di destinazione. Per ulteriori informazioni su come allegare le politiche di controllo del servizio ai AWS Organizations nodi, vedi Allegare e scollegare le politiche di controllo del servizio.

Limitazione degli account di destinazione utilizzando tag

Se collegata a un account AWS Organizations principale, a un'unità organizzativa o a un account individuale, questa politica limita le destinazioni delle copie da quell'unità organizzativa principale, unità organizzativa o account solo agli account con archivi di backup a cui hai assegnato i tag. DestinationBackupVault L'autorizzazione "backup:CopyIntoBackupVault" controlla il funzionamento di un vault di backup e, in questo caso, quali vault di backup di destinazione sono validi. Utilizza questa policy, insieme al tag corrispondente applicato ai vault di destinazione approvati, per controllare le destinazioni delle copie tra account ai soli account e vault di backup approvati.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "Null":{ "aws:ResourceTag/DestinationBackupVault":"true" } } } ] }
Limitazione degli account di destinazione utilizzando numeri di account e nomi dei vault

Se collegata a un account AWS Organizations principale, a un'unità organizzativa o a un account individuale, questa policy limita le copie provenienti da tale unità organizzativa, unità organizzativa o account a soli due account di destinazione. L'autorizzazione "backup:CopyFromBackupVault" controlla il funzionamento di un punto di ripristino nel vault di backup e, in questo caso, le destinazioni in cui è possibile copiare tale punto di ripristino. Il vault di origine consentirà copie nel primo account di destinazione (112233445566) solo se i nomi di uno o più vault di backup di destinazione iniziano con cab-. Il vault di origine consentirà copie nel secondo account di destinazione (123456789012) se la destinazione è un singolo vault di backup denominato fort-knox.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"arn:aws:ec2:*:snapshot/*", "Condition":{ "ForAllValues:ArnNotLike":{ "backup:CopyTargets":[ "arn:aws:backup:*:112233445566:backup-vault:cab-*", "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox" ] } } } ] }
Limita gli account di destinazione utilizzando unità organizzative in AWS Organizations

Se collegati a un'unità organizzativa o AWS Organizations root che contiene l'account di origine o quando sono collegati all'account di origine, la seguente politica limita gli account di destinazione a quegli account compresi tra i due specificatiOUs.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"*", "Condition":{ "ForAllValues:StringNotLike":{ "backup:CopyTargetOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }

Considerazioni di sicurezza per il backup tra account

Quando esegui i backup tra account in AWS Backup, tieni presente quando segue:

  • Il vault di destinazione non può essere il vault predefinito. Questo perché il vault predefinito è crittografato con una chiave che non può essere condivisa con altri account.

  • I backup tra account possono continuare a funzionare per un massimo di 15 minuti dopo che hai disabilitato il backup tra account. Ciò a causa della consistenza finale che potrebbe causare l'avvio o il completamento di alcuni processi tra account anche dopo che il backup tra account è stato disabilitato.

  • Se l'account di destinazione lascia l'organizzazione in un secondo momento, tale account manterrà i backup. Per evitare potenziali perdite di dati, inserite un'autorizzazione di negazione sull'organizations:LeaveOrganizationautorizzazione in una policy di controllo del servizio (SCP) allegata all'account di destinazione. Per informazioni dettagliate in meritoSCPs, consulta Rimuovere un account membro dalla propria organizzazione nella Organizations User Guide.

  • Se elimini un ruolo di copia durante una copia su più account, non AWS Backup puoi annullare la condivisione delle istantanee dall'account di origine al termine del processo di copia. In questo caso, il processo di backup termina, ma lo stato del processo di copia viene visualizzato come Failed to unshare snapshot.