Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione AWS Backup delle risorse su più risorse Account AWS
Nota
Prima di gestire le risorse su più Account AWS account AWS Backup, gli account devono appartenere alla stessa organizzazione del AWS Organizations servizio.
Puoi utilizzare la funzionalità di gestione tra account AWS Backup per gestire e monitorare i processi di backup, ripristino e copia tra quelli con Account AWS AWS Organizations cui configuri. AWS Organizationsè un servizio che offre una gestione basata su policy per più utenti Account AWS da un unico account di gestione. Consente di standardizzare il modo in cui vengono implementate le policy di backup, riducendo al minimo gli errori manuali e gli sforzi contemporaneamente. Puoi identificare facilmente le risorse in tutti gli account che soddisfano i criteri a cui sei interessato attraverso un'unica visualizzazione centralizzata.
Se lo configuri AWS Organizations, puoi configurare AWS Backup il monitoraggio delle attività in tutti i tuoi account in un unico posto. Puoi anche creare una policy di backup e applicarla ad account selezionati che fanno parte della tua organizzazione e visualizzare le attività aggregate dei job di backup direttamente dalla AWS Backup console. Questa funzionalità consente agli amministratori di backup di monitorare in modo efficace lo stato dei processi di backup in centinaia di account in tutta l'azienda da un singolo account di gestione. Si applicano quote per AWS Organizations.
Ad esempio, crea una policy di backup A che richiede backup giornalieri di risorse specifiche e li conserva per 7 giorni. Applica la policy di backup A all'intera organizzazione. In questo modo a ogni account dell'organizzazione viene assegnata tale policy di backup con il corrispondente piano di backup visibile nell'account. Quindi, crea una UO denominata Finanza di cui intendi conservare i backup per soli 30 giorni. In questo caso, occorre una policy di backup B che sostituisce il valore del ciclo di vita e che deve essere collegata alla UO Finanza. Ciò significa che tutti gli account nella UO Finanza ottengono un nuovo piano di backup efficace che esegue backup giornalieri di tutte le risorse specificate e li conserva per 30 giorni.
In questo esempio, le policy di backup A e B sono state unite in una singola policy di backup, che definisce la strategia di protezione per tutti gli account nella UO denominata Finanza. Tutti gli altri account dell'organizzazione rimangono protetti dalla policy di backup A. L'unione viene eseguita solo per le policy di backup che condividono lo stesso nome del piano di backup. Puoi anche far coesistere le policy A e B in un determinato account senza alcuna unione È possibile utilizzare gli operatori di fusione avanzati solo nella JSON visualizzazione della console. Per informazioni dettagliate sull'unione di policy, consulta Definizione di policy, sintassi delle policy ed ereditarietà delle policy nella Guida per l'utente di AWS Organizations . Per ulteriori riferimenti e casi d'uso, consulta il blog Managing backup at scale in your AWS Organizations using AWS Backup
Consulta la sezione Disponibilità delle funzionalità per AWS regione per scoprire dove è disponibile la funzionalità di gestione tra account.
Per utilizzare la gestione di più account, è necessario attenersi alla seguente procedura:
-
Crea un account di gestione AWS Organizations e aggiungi account sotto l'account di gestione.
-
Abilita la funzionalità di gestione tra account in AWS Backup.
-
Crea una politica di backup da applicare a tutti gli utenti del tuo Account AWS account di gestione.
Nota
Per i piani di backup gestiti da Organizations, le impostazioni di consenso esplicito delle risorse nell'account di gestione sostituiscono quelle in un account membro, anche se sono configurati uno o più account amministratore delegato. Gli account amministratore delegato sono account membro con funzionalità avanzate e non possono sostituire le impostazioni di un account di gestione.
-
Gestisci i processi di backup, ripristino e copia in tutti i tuoi Account AWS.
Indice
Creazione di un account di gestione in Organizations
Innanzitutto, devi creare la tua organizzazione e configurarla con AWS gli account dei membri in AWS Organizations.
Per creare un account di gestione in AWS Organizations e aggiungere account
-
Per istruzioni, consulta Tutorial: creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations .
Abilitazione della gestione di più account
Prima di poter utilizzare la gestione tra account in AWS Backup, l'account di gestione deve abilitare la funzionalità (ovvero attivarla). Dopo che l'account di gestione ha abilitato la gestione tra account, puoi creare politiche di backup per gestire le risorse in più account.
Per abilitare la gestione di più account
-
Apri il file Console di backup AWS . https://console.aws.amazon.com/backup/
Accedi utilizzando le credenziali dell'account di gestione. -
Nel riquadro di navigazione a sinistra, scegliere Impostazioni per aprire la pagina di gestione di più account.
-
Nella sezione Policy di backup, scegliere Abilita.
Ciò consente di accedere a tutti gli account e di creare policy che automatizzano la gestione simultanea di più account nell'organizzazione.
-
Nella sezione Monitoraggio di più account, scegliere Abilita.
In questo modo puoi monitorare le attività di backup, copia e ripristino di tutti gli account dell'organizzazione dall'account di gestione.
Amministratore delegato
L'amministrazione delegata offre agli utenti assegnati in un account membro registrato un modo conveniente per eseguire la maggior parte delle attività AWS Backup amministrative. È possibile scegliere di delegare l'amministrazione AWS Backup a un account membro interno AWS Organizations, estendendo così la capacità di gestione AWS Backup dall'esterno dell'account di gestione a tutta l'organizzazione.
Per impostazione predefinita, un account di gestione è l'account utilizzato per modificare e gestire le policy. Utilizzando la funzionalità di amministratore delegato, puoi delegare queste funzioni di gestione agli account membro designati. A loro volta, tali account possono gestire policy, in aggiunta all'account di gestione.
Dopo che è stato correttamente registrato per l'amministrazione delegata, un account membro diventa un account amministratore delegato. Tieni presente che gli account, non gli utenti, sono designati come amministratori delegati.
L'abilitazione di account amministratore delegato consente di gestire le policy di backup, ridurre al minimo il numero di utenti con accesso all'account di gestione ed eseguire il monitoraggio dei processi su più account.
Di seguito è riportata una tabella che mostra le funzioni dell'account di gestione, gli account delegati come amministratori di Backup e gli account membri dell' AWS organizzazione.
Nota
Gli account amministratore delegato sono account membro con funzionalità avanzate che non possono sostituire le impostazioni di consenso esplicito del servizio di altri account membro, come invece possono gli account di gestione.
| PRIVILEGES | MANAGEMENT ACCOUNT | DELEGATED ADMINISTRATOR | MEMBER ACCOUNT |
|---|---|---|---|
| Registrare/annullare la registrazione degli account amministratore delegato | Sì | No | No |
| Abilita la gestione tra account | Sì | No | No |
| Gestisci le politiche di backup tra gli account in AWS Organizations | Sì | Sì | No |
| Monitorare processi in più account | Sì | Sì | No |
Prerequisiti
Prima di poter delegare l'amministrazione dei backup, è necessario registrare almeno un account membro nell' AWS organizzazione come amministratore delegato. Per poter registrare un account come amministratore delegato, è necessario innanzitutto configurare quanto segue:
AWS Organizations deve essere abilitato e configurato con almeno un account membro oltre all'account di gestione predefinito.
-
Nella AWS Backup console, assicurati che le politiche di backup, il monitoraggio tra account e le funzionalità di backup tra account siano attivate. Queste si trovano sotto il riquadro Amministratori delegati nella console. AWS Backup
-
Il monitoraggio di più account consente di monitorare l'attività di backup su tutti gli account dell'organizzazione dall'account di gestione, nonché dagli account amministratore delegato.
-
Facoltativo: backup su più account, che consente agli account dell'organizzazione di copiare i backup su altri account (per le risorse multiaccount supportate da Backup).
-
Abilita AWS Backup l'accesso al servizio con.
-
La configurazione dell'amministrazione delegata comprende due fasi. La prima fase consiste nel delegare il monitoraggio dei processi in più account. La seconda fase consiste nel delegare la gestione delle policy di backup.
Registrazione di un account membro come un account amministratore delegato
Questa è la prima sezione: Utilizzo della AWS Backup console per registrare un account amministratore delegato per monitorare i lavori tra account. Per delegare AWS Backup le politiche, utilizzerai la console Organizations nella sezione successiva.
Per registrare un account membro utilizzando la AWS Backup Console:
-
Apri il Console di backup AWS file https://console.aws.amazon.com/backup/
. Accedi utilizzando le credenziali dell'account di gestione. In Il mio account, nella navigazione a sinistra della console, scegli Impostazioni.
Nel riquadro Amministratore delegato, fai clic su Registra amministratore delegato o Aggiungi amministratore delegato.
Nella pagina Registra amministratore delegato, seleziona l'account che desideri registrare, quindi scegli Registra account.
Questo account designato verrà ora registrato come un amministratore delegato, con privilegi amministrativi per monitorare i processi tra account all'interno dell'organizzazione, nonché visualizzare e modificare policy (delega di policy). Questo account membro non può registrare o annullare la registrazione di altri account amministratore delegato. Puoi utilizzare la console per registrare fino a cinque account come amministratori delegati.
Assicurati che l'amministratore delegato disponga delle autorizzazioni concesse da. AWSBackupOrganizationAdminAccess
Per registrare un account membro in modo programmatico:
Usate il comando. CLI register-delegated-administrator È possibile specificare i seguenti parametri nella CLI richiesta:
service-principalaccount-id
Di seguito è riportato un esempio di CLI richiesta di registrazione di un account membro a livello di codice:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Annullamento della registrazione di un account membro
Utilizzate la seguente procedura per rimuovere l'accesso amministrativo AWS Backup annullando la registrazione di un account membro AWS dell'organizzazione che era stato precedentemente designato come amministratore delegato.
Per annullare la registrazione di un account membro utilizzando la console
-
Apri il file. Console di backup AWS https://console.aws.amazon.com/backup/
Accedi utilizzando le credenziali dell'account di gestione. In Il mio account, nella navigazione a sinistra della console, scegli Impostazioni.
Nella sezione Amministratore delegato, fai clic su Annulla registrazione dell'account.
Scegli gli account di cui desideri annullare la registrazione.
Nella finestra di dialogo Annulla registrazione dell'account, esamina le implicazioni sulla sicurezza, quindi digita
confirmper completare l'annullamento della registrazione.Scegli
Deregister account.
Per annullare la registrazione di un account membro in modo programmatico:
Usa il CLI comando deregister-delegated-administrator per annullare la registrazione di un account amministratore delegato. È possibile specificare i seguenti parametri nella richiesta: API
service-principalaccount-id
Di seguito è riportato un esempio di CLI richiesta di annullamento della registrazione di un account membro a livello di codice:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Delega le politiche tramite AWS BackupAWS Organizations
All'interno della AWS Organizations console, è possibile delegare l'amministrazione di più policy, incluse le policy di Backup.
Dall'account di gestione che ha eseguito l'accesso alla console di AWS Organizations
Policy di backup
È possibile combinare i piani di backup con la scalabilità delle policy AWS Organizations per creare policy di backup che semplifichino la gestione all'interno dell'organizzazione.
Consulta la Guida per AWS Organizations l'utente per informazioni su come abilitare le politiche di backup per la tua organizzazione in modo da:
Vedi AWS Backup quote per le quote AWS Backup specifiche sugli elementi contenuti in una policy.
Monitoraggio delle attività in più Account AWS
Per monitorare i processi di backup, copia e ripristino in più account, devi abilitare il monitoraggio di più account. Ciò consente di monitorare le attività di backup in tutti gli account dall'account di gestione dell'organizzazione. Dopo l'attivazione, tutti i processi dell'organizzazione creati sono visibili. Quando si disattiva, AWS Backup mantiene i processi nella visualizzazione aggregata per 30 giorni (dal raggiungimento di uno stato terminale). I processi creati dopo la disattivazione non sono visibili e non mostrano i processi di backup appena creati. Per le istruzioni di attivazione, consulta Abilitazione della gestione di più account.
Per monitorare più account
-
Apri il cappello. Console di backup AWS https://console.aws.amazon.com/backup/
Accedi utilizzando le credenziali dell'account di gestione. -
Nel riquadro di navigazione a sinistra, scegliere Impostazioni per aprire la pagina di gestione di più account.
-
Nella sezione Monitoraggio di più account, scegliere Abilita.
In questo modo puoi monitorare le attività di backup e ripristino di tutti gli account dell'organizzazione dall'account di gestione.
-
Nel riquadro di navigazione a sinistra, selezionare Monitoraggio di più account.
-
Nella pagina Monitoraggio di più account, scegliere la scheda Lavori di Backup, Lavori di ripristino o Copia attività per visualizzare tutti i processi creati in tutti gli account. Puoi vedere ognuno di questi lavori per Account AWS ID e puoi vedere tutti i lavori in un determinato account.
-
Nella casella di ricerca è possibile filtrare i processi in base all'ID account, Stato o ID lavoro.
Ad esempio, puoi scegliere la scheda Lavori di Backup e visualizzare tutti i processi di backup creati in tutti gli account. Puoi filtrare l'elenco in base all' ID account e visualizzare tutti i processi di backup creati in tale account.
Regole di consenso esplicito delle risorse
Se il piano di backup di un account membro è stato creato in base a una politica di backup a livello di organizzazione, le impostazioni di AWS Backup attivazione per l'account di gestione Organizations sostituiranno le impostazioni di opt-in di quell'account membro, ma solo per quel piano di backup.
Se l'account membro dispone anche di piani di backup a livello locale creati dagli utenti, questi seguiranno le impostazioni di consenso esplicito dell'account membro, senza riferimento alle impostazioni di consenso esplicito dell'account di gestione di Organizations.
Definizione di policy, sintassi delle policy ed ereditarietà delle policy
I seguenti argomenti sono documentati nella Guida per l'utente. AWS Organizations
-
Policy di backup: consulta Policy di backup.
-
Sintassi delle policy: consulta Sintassi ed esempi delle policy di backup.
-
Ereditarietà per i tipi di policy di gestione: consulta Comprendere l'ereditarietà delle policy di gestione.
