本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 跨创建备份副本 AWS 账户
<a name="create-cross-account-backup"></a>

使用 AWS Backup，您可以按需备份多个 AWS 账户 ，也可以作为定时备份计划的一部分自动备份。如果您出于运营或安全原因想要将备份安全地复制到组织 AWS 账户 中的一个或多个账户，请使用跨账户备份。如果原始备份被无意中删除，则可以将备份从目的地账户复制到其源账户，然后开始还原。在执行此操作之前，您必须在 AWS Organizations 服务中拥有两个属于同一组织的账户。有关更多信息，请参阅《Organizations 用户指南》**中的[教程：创建和配置组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)。

在目的地账户中，您必须创建备份保管库。然后，您可以分配客户托管密钥来加密目标账户中的备份，并分配基于资源的访问策略 AWS Backup 以允许访问您要复制的资源。在源账户中，如果您的资源使用客户托管密钥进行加密，则必须与目的地账户共享此客户托管密钥。然后，您可以创建备份计划并选择在 AWS Organizations中属于您的组织单位的目的地账户。

首次将备份复制到跨账户时，会完整 AWS Backup 复制备份。通常，如果某项服务支持增量备份，则同一账户中该备份的后续副本是增量备份。 AWS Backup 使用目标保管库的客户托管密钥重新加密您的副本。

**要求**
+ 在管理多个 AWS 账户 中的资源之前 AWS Backup，您的账户必须属于 AWS Organizations 服务中的同一个组织。
+ 支持的大多数资源都 AWS Backup 支持跨账户备份。有关具体信息，请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)。
+ 大多数 AWS 地区都支持跨账户备份。有关具体信息，请参阅[功能可用性来自 AWS 区域](backup-feature-availability.md#features-by-region)。
+ AWS Backup 不支持在冷层中存储跨账户副本。

## 设置跨账户备份
<a name="prereq-cab"></a>

**创建跨账户备份需要什么？**
+  **一个源账户**

  源帐户是您的生产 AWS 资源和主备份所在的帐户。

  源账户用户发起跨账户备份操作。源账户用户或角色必须具有相应的 API 权限才能发起该操作。适当的权限可能是 AWS 托管策略`AWSBackupFullAccess`（允许对 AWS Backup 操作进行完全访问权限），也可以是允许执行诸如之类的操作的客户托管策略`ec2:ModifySnapshotAttribute`。有关策略类型的更多信息，请参阅 [AWS Backup 托管策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html)。
+  **一个目的地账户**

  目的地账户是您要在其中保存备份副本的账户。您可以选择多个目的地账户。在 AWS Organizations中，目的地账户必须与源账户位于同一个组织中。

  对于您的目的地备份保管库，您必须“允许”访问策略 `backup:CopyIntoBackupVault`。如果没有此策略，将拒绝向目的地账户进行复制的尝试。
+  **中的管理账户 AWS Organizations**

  管理账户是组织中的主账户，定义为 AWS Organizations，用于选择加入跨账户备份。 AWS 账户在您的组织开始跨账户备份之前，您必须在 AWS Backup 控制台中或通过 API 启用跨账户备份。[UpdateGlobalSettings](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateGlobalSettings.html)

有关安全的信息，请参阅[跨账户备份的安全注意事项](#security-considerations-cab)。

要使用跨账户备份，必须启用跨账户备份功能。然后，必须“允许”通过访问策略 `backup:CopyIntoBackupVault` 访问您的目的地备份保管库。

亚马逊 EC2 提供 [EC2 允许 AMIs](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html)。如果您的账户启用了此设置，请将源账户 ID 添加到允许列表中。否则，复制操作将失败并显示错误消息，例如“在区域中找不到源 AMI”。

**启用跨账户备份**

1.  使用您的 AWS Organizations 管理账户凭据登录。只能使用这些凭证启用或禁用跨账户备份。

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在**我的账户**中，选择**设置**。

1. 对于**跨账户备份**，选择**启用**。

1. 在**备份保管库**中，选择目的地保管库。

   对于跨账户复制，源保管库和目的地保管库分别位于不同的账户中。必要时，切换到拥有目的地账户的账户。

1. 在**访问策略** 部分，“允许”`backup:CopyIntoBackupVault`。例如，选择**添加权限**，然后选择**允许从组织访问备份保管库**。除 `backup:CopyIntoBackupVault` 之外的任何跨账户操作都将被拒绝。

1.  现在，组织中的任何账户都可以与组织中的任何其他账户共享其备份保管库中的内容。有关更多信息，请参阅[为跨账户副本配置备份库访问权限](#share-vault-cab)。要限制哪些账户可以接收其他账户的备份保管库中的内容，请参阅[将账户配置为目的地账户](#designate-destination-accounts-cab)。

## 安排跨账户备份
<a name="scheduled-cab"></a>

您可以使用定时备份计划跨 AWS 账户复制备份。<a name="copy-with-backup-plan"></a>

**使用定时备份计划复制备份**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在**我的账户**中，选择**备份计划**，然后选择**创建备份计划**。

1. 在**创建备份计划**页面上，选择**构建新计划**。

1. 对于**备份计划名称**，输入备份计划的名称。

1. 在**备份规则配置**部分，添加定义备份计划、备份时段和生命周期规则的备份规则。您稍后可以添加更多备份规则。

   对于**规则名称**，输入规则的名称。

1. 在**计划**部分的**频率**下，选择您希望备份的频率。

1. 对于**备份时段**，选择**使用备份时段默认值**（推荐）。您可以自定义备份时段。

1. 对于**备份保管库**，从列表中选择一个保管库。此备份的恢复点将保存在此保管库中。您可以创建新的备份保管库。

1. 在**生成副本 - 可选**部分，输入以下值：  
**目的地区域**  
选择备份副本 AWS 区域 的目的地。您的备份将被复制到该区域。对于每个副本，您可以将新的复制规则添加到新的目的地。  
**复制到其他账户的保管库**  
切换以选择此选项。选中后，此选项将变为蓝色。此时将显示**外部保管库 ARN** 选项。  
**外部保管库 ARN**  
输入目的地账户的 Amazon 资源名称 (ARN)。ARN 是一个包含账户 ID 及其 ID 的字符串。 AWS 区域 AWS Backup 会将备份复制到目标账户的保管库。**目的地区域**列表会自动更新到外部保管库 ARN 中的区域。  
对于**允许备份保管库访问权限**中，选择**允许**。然后，在打开的向导中选择**允许**。  
AWS Backup 需要访问外部帐户的权限才能将备份复制到指定值。向导将显示以下策略示例，其中提供了此访问权限。    
****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowAccountCopyIntoBackupVault",
         "Effect": "Allow",
         "Action": "backup:CopyIntoBackupVault",
         "Resource": "*",
         "Principal": {
           "AWS": "arn:aws:iam::123456789012:root"
         }
       }
     ]
   }
   ```  
**转换为冷存储**  
选择将备份副本转换到冷存储的时间以及副本的到期（删除）时间。过渡到冷存储的备份必须在冷库中存储至少 90 天。在副本转换为冷存储后，无法更改此值。  
要查看可以转换到冷存储的资源列表，请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表的“转换到冷存储的生命周期”部分。对于其他资源，将忽略冷存储表达式。  
**过期**指定副本在创建后多少天删除。此值必须比**转换为冷存储**值多 90 天。  
当备份过期并作为生命周期策略的一部分标记为 AWS Backup 删除时，将在接下来的 8 小时内随机选择的时间点删除备份。此时段有助于确保一致的性能。

1. 选择**添加到恢复点的标签**以向恢复点添加标签。

1. 对于**高级备份设置**，选择 **Windows VSS**，为在 EC2 上运行的选定第三方软件启用应用程序感知快照。

1. 选择**创建计划**。

## 执行按需跨账户备份
<a name="on-demand-cab"></a>

您可以根据需要将备份复制到其他 AWS 账户 备份。

**按需复制备份**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在**我的账户**中，选择**备份保管库**以查看列出的所有备份保管库。您可以按备份保管库名称或标签进行筛选。

1. 选择要复制的备份的**恢复点 ID**。

1. 选择**复制**。

1. 展开**备份详细信息**以查看有关您正在复制的恢复点的信息。

1. 在**复制配置**部分，从**目的地区域**列表中选择一个选项。

1. 选择**复制到其他账户的保管库**。选中后，此选项将变为蓝色。

1. 输入目的地账户的 Amazon 资源名称 (ARN)。ARN 是一个包含账户 ID 及其 ID 的字符串。 AWS 区域 AWS Backup 会将备份复制到目标账户的保管库。**目的地区域**列表会自动更新到外部保管库 ARN 中的区域。

1. 对于**允许备份保管库访问权限**中，选择**允许**。然后，在打开的向导中选择**允许**。

   要创建副本， AWS Backup 需要访问源账户的权限。向导将显示一个策略示例，其中提供了此访问权限。下面显示了此策略。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowAccountCopyIntoBackupVault",
         "Effect": "Allow",
         "Action": "backup:CopyIntoBackupVault",
         "Resource": "*",
         "Principal": {
           "AWS": "arn:aws:iam::123456789012:root"
         }
       }
     ]
   }
   ```

------

1. 对于**转换为冷存储**，选择将备份副本转换到冷存储的时间以及副本的到期（删除）时间。过渡到冷存储的备份必须在冷库中存储至少 90 天。在副本转换为冷存储后，无法更改此值。

   要查看可以转换到冷存储的资源列表，请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表的“转换到冷存储的生命周期”部分。对于其他资源，将忽略冷存储表达式。

   **过期**指定副本在创建后多少天删除。此值必须比**转换为冷存储**值多 90 天。

1. 对于 **IAM 角色**，指定有权复制您的备份的 IAM 角色（例如默认角色）。复制行为由目的地账户的服务关联角色执行。

1. 选择**复制**。根据要复制的资源的大小，此过程可能需要几个小时才能完成。复制作业完成后，您将在**作业**菜单的**复制作业**选项卡中看到该副本。

## 加密密钥和跨账户副本
<a name="backup-cab-encryption"></a>

有关如何对复制作业实施加密的详细信息，请参阅[复制到不同账户或 AWS 区域](encryption.md#copy-encryption)的备份加密。

有关对跨账户复制失败进行故障排除的其他帮助，请参阅 [AWS 知识中心](https://repost.aws/knowledge-center/backup-troubleshoot-cross-account-copy)。

## 将备份从一个恢复 AWS 账户 到另一个备份
<a name="restore-cab"></a>

AWS Backup 不支持从一个资源恢复 AWS 账户 到另一个资源。但是，您可以将备份从一个账户复制到另一个账户，然后在该账户中进行还原。例如，您无法将账户 A 中的备份还原到账户 B，但可以将账户 A 中的备份复制到账户 B，然后在账户 B 中还原备份。

在将备份从一个账户恢复到另一个账户之前，请确保目标账户具有与要还原的资源类型对应的服务关联角色 (SLR)。如果目标账户以前从未使用过该 AWS 服务，则SLR可能不存在。您可以使用目标账户中的服务来创建 SLR，该服务会自动创建。SLR 要求得到满足后，将备份从一个账户恢复到另一个账户的过程分为两步：

**将备份从一个账户还原到另一个账户**

1. 将备份从源文件复制 AWS 账户 到您要还原到的帐户。有关说明，请参阅[设置跨账户备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html#prereq-cab)。

1. 使用与您的资源对应的说明来还原备份。

## 为跨账户副本配置备份库访问权限
<a name="share-vault-cab"></a>

AWS Backup 允许您将备份保管库配置为向其他人授予访问权限 AWS 账户，从而允许他们将恢复点复制到您的保管库中进行跨账户备份。此访问配置使用基于资源的策略来允许特定帐户执行备份操作。

**注意**  
这与 Logical Air Gapped (LAG) AWS Backup 文件库共享不同，后者使用 AWS 资源访问管理器 (RAM) 直接共享文件库资源。

您可以向一个或多个账户或您的整个组织授予文件库访问权限 AWS Organizations。您可以配置目标备份存储库，使其具有源 AWS 账户、用户或 IAM 角色的访问权限。

**为目标 Backup 保管库配置文件库访问权限**

1. 选择 **AWS Backup**，然后选择**备份保管库**。

1.  选择要为其配置访问权限的备份保管库的名称。

1. 在**访问策略**窗格中，选择**添加权限**下拉列表。

1.  选择**允许备份保管库的账户级别访问权限**。或者，您可以选择允许组织级别或角色级别访问权限。

1. **输入您要授予访问此目标备份库权限的账户的 AccountID。**

1.  选择**保存策略**。

您可以使用 IAM 策略来配置文件库访问权限。
<a name="share-vault-with-account-iam"></a>
**为 AWS 账户 或 IAM 角色配置目标备份库访问权限**  
以下策略为账号`4444555566666`和账号中的 IAM 角色`SomeRole`配置文件库访问权限。`111122223333`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
```

------
<a name="share-vault-with-organizational-unit"></a>
**将目标备份存储库与组织单位共享 AWS Organizations**  
以下策略使用 `PrincipalOrgPaths` 与组织单位共享备份保管库。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
```

------
<a name="share-vault-with-entire-organization"></a>
**与中的组织共享目标备份保管库 AWS Organizations**  
以下策略与 `PrincipalOrgID` 为“o-a1b2c3d4e5”的组织共享备份保管库。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}
```

------

## 将账户配置为目的地账户
<a name="designate-destination-accounts-cab"></a>

当您首次使用 AWS Organizations 管理账户启用跨账户备份时，任何成员账户的用户都可以将其账户配置为目标账户。我们建议在中设置以下一项或多项服务控制策略 (SCPs) AWS Organizations ，以限制您的目标账户。要了解有关将服务控制策略附加到 AWS Organizations 节点的更多信息，请参阅[附加和分离服务](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)控制策略。
<a name="limit-destination-accounts-using-tags"></a>
**使用标签限制目的地账户**  
当关联到 AWS Organizations 根账户、OU 账户或个人账户时，此策略将来自该根、OU 或账户的复制目标限制为仅限那些带有您标记`DestinationBackupVault`的备份保管库的账户。权限 `"backup:CopyIntoBackupVault"` 控制备份保管库的行为方式，在此例中还控制哪些目的地备份保管库有效。使用此策略以及应用于已批准的目的地保管库的相应标签，可以控制跨账户复制的目的地仅为已批准的账户和备份保管库。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
```

------
<a name="limit-destination-accounts-using-names"></a>
**使用账号和保管库名称限制目的地账户**  
当关联到 AWS Organizations 根账户、OU 账户或个人账户时，此政策将来自该根账户、OU 或账户的副本限制为仅限两个目标账户。权限 `"backup:CopyFromBackupVault"` 控制备份保管库中恢复点的行为方式，在此例中还控制您可以将该恢复点复制到的目的地。只有当一个或多个目的地备份保管库名称以 `cab-` 开头时，源保管库才允许将副本复制到第一个目的地账户 (112233445566)。只有当目的地是单个名为 `fort-knox` 的备份保管库时，源保管库才允许将副本复制到第二个目的地账户 (123456789012)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyCopyFromBackupVault",
      "Effect": "Deny",
      "Action": "backup:CopyFromBackupVault",
      "Resource": "arn:aws:ec2:*:*:snapshot/*",
      "Condition": {
        "ForAllValues:ArnNotLike": {
          "backup:CopyTargets": [
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-east-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
```

------
<a name="limit-destination-accounts-using-organizational-units"></a>
**使用中的组织单位限制目标帐户 AWS Organizations**  
当关联到包含您的源账户的 AWS Organizations 根账户或 OU 时，或者关联到您的源账户时，以下策略将目标账户限制为两个指定账户内的账户 OUs。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
```

------

## 跨账户备份的安全注意事项
<a name="security-considerations-cab"></a>

在 AWS Backup中执行跨账户备份时，请注意以下事项：
+ 目的地保管库不能是默认保管库。这是因为默认保管库使用无法与其他账户共享的密钥进行加密。
+ 禁用跨账户备份后，跨账户备份可能仍会持续长达 15 分钟。这是因为最终一致性造成的，即使在您禁用跨账户备份后，也可能会有某些跨账户作业开始或完成。
+ 如果目的地账户稍后离开组织，则该账户将保留备份。为避免出现潜在数据泄露，请在附加到目的地账户的服务控制策略 (SCP) 中对 `organizations:LeaveOrganization` 权限设置拒绝权限。有关详细信息 SCPs，请参阅《Organ [izations *用户指南》*中的 “从组织中移除成员帐户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)”。
+ 如果您在跨账户复制过程中删除了复印作业角色，则 AWS Backup 无法在复印任务完成时取消源账户的快照共享。在这种情况下，备份作业完成，但复制作业状态显示为无法取消共享快照。