本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨多个管理 AWS Backup 资源 AWS 账户
注意
在管理多个 AWS 账户 中的资源之前 AWS Backup,您的账户必须属于 AWS Organizations 服务中的同一个组织。
您可以使用中的跨账户管理功能 AWS Backup 来管理和监控您配置的备份、还原和复制作业。 AWS 账户 AWS OrganizationsAWS Organizations是一项通过单个管理账户为多个账户提供基于策略 AWS 账户 的管理的服务。它使您能够标准化您实施备份策略的方式,同时最大限度地减少手动错误和工作量。从中央视图中,您可以轻松地识别所有账户中符合您关注条件的资源。
如果您进行了设置 AWS Organizations,则可以配置 AWS Backup 为在一个地方监控所有账户中的活动。您还可以创建备份策略并将其应用于组织中的选定账户,并直接从 AWS Backup 控制台查看聚合备份任务活动。此功能使备份管理员能够从单个管理账户有效地监控整个企业中数百个账户的备份作业状态。AWS Organizations 配额适用。
例如,您可以定义一个备份策略 A,该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。(这意味着组织中的每个账户都会获得该备份策略,该策略会创建一个在该账户中可见的对应备份计划。) 然后,您创建一个名为 Finance 的 OU,并决定仅将其备份保留 30 天。在这种情况下,您定义一个备份策略 B,该策略将覆盖生命周期值,并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划,该计划每天对所有指定的资源进行备份,并将备份保留 30 天。
在此示例中,备份策略 A 和备份策略 B 合并为一个备份策略,该策略为名为 Finance 的 OU 下的所有账户定义保护策略。组织中的所有其他账户仍受备份策略 A 的保护。仅对共享相同备份计划名称的备份策略执行合并。还可以让策略 A 和策略 B 在该账户中共存,而无需进行任何合并。您只能在控制台JSON视图中使用高级合并运算符。有关合并策略的详细信息,请参阅《AWS Organizations 用户指南》中的定义策略、策略语法和策略继承。有关其他参考和用例,请参阅博客 “在 AWS Organizations 使用中大规模管理备份
请查看按 AWS 地区划分的功能可用性,以了解跨账户管理功能在哪些地方可用。
要使用跨账户管理,您必须执行以下步骤:
-
在中创建管理账户 AWS Organizations ,并在管理账户下添加账户。
-
在中启用跨账户管理功能。 AWS Backup
-
创建备份策略以应用于您的管理账户 AWS 账户 下的所有用户。
注意
对于由 Organizations 管理的备份计划,管理账户中的资源选择加入设置将覆盖成员账户中的该设置,即使配置了一个或多个委派管理员账户也是如此。委派管理员账户是具有增强功能的成员账户,不能像管理账户那样覆盖设置。
-
管理您的所有备份、还原和复印作业 AWS 账户。
在 Organizations 中创建管理账户
首先,您必须创建您的组织并使用中的 AWS 成员帐户对其进行配置 AWS Organizations。
在中创建管理账户 AWS Organizations 并添加账户
-
有关说明,请参阅《AWS Organizations 用户指南》中的教程:创建和配置组织。
启用跨账户管理
在中使用跨账户管理之前 AWS Backup,管理账户必须启用该功能(即选择加入该功能)。管理账户启用跨账户管理后,您可以创建备份策略来管理多个账户中的资源。
启用跨账户管理
-
打开 a AWS Backup 控制台 t https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 -
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在备份策略部分中,选择启用。
这使您可以访问所有账户,并允许您创建策略以便同时自动管理组织中的多个账户。
-
在跨账户监控部分中,选择启用。
这使您能够从管理账户监控组织中所有账户的备份、复制和还原活动。
委派管理员
委托管理为注册成员账户中的分配用户提供了一种便捷的方式来执行大多数 AWS Backup 管理任务。您可以选择将管理权限委托给中的成员账户 AWS Organizations,从而将管理账户外部的管理权限扩展 AWS Backup 到整个组织。 AWS Backup
默认情况下,管理账户是用于编辑和管理策略的账户。使用委托管理员特征,您可以将这些管理功能委托给您指定的成员账户。这样,除了管理账户之外,这些账户也可以管理策略。
成员账户在成功注册委托管理后,就成为委托管理员账户。请注意,指定为委托管理员的是账户(而非用户)。
启用委托管理员账户允许选择管理备份策略,这会最大限度地减少有权访问管理账户的用户数量,并允许跨账户监控作业。
下表显示了管理账户、委托为 Backup 管理员的账户以及作为 AWS 组织成员的账户的职能。
注意
委派管理员账户是具有增强功能的成员账户,不能像管理账户那样覆盖其他成员账户的服务选择加入设置。
| PRIVILEGES | MANAGEMENT ACCOUNT | DELEGATED ADMINISTRATOR | MEMBER ACCOUNT |
|---|---|---|---|
| 注册/注销委托管理员账户 | 是 | 否 | 否 |
| 启用跨账户管理 | 是 | 否 | 否 |
| 在中跨账户管理备份策略 AWS Organizations | 是 | 是 | 否 |
| 监控跨账户作业 | 是 | 是 | 否 |
先决条件
在委托备份管理之前,必须先将 AWS 组织中的至少一个成员帐户注册为委托管理员。在将账户注册为委托管理员之前,您必须先配置以下内容:
AWS Organizations 除了您的默认管理账户外,还@@ 必须启用并配置至少一个成员帐户。
-
在 AWS Backup 控制台中,确保备份策略、跨账户监控和跨账户备份功能已开启。它们位于 AWS Backup 控制台的 “委派管理员” 窗格下方。
设置委托管理涉及到两个步骤。第一步是委托跨账户作业监控。第二步是委托备份策略管理。
将成员账户注册为委托管理员账户
这是第一部分:使用 AWS Backup 控制台注册委托管理员帐户以监控跨账户作业。要委派 AWS Backup 策略,您将在下一节中使用 Organizations 控制台。
要使用 AWS Backup 控制台注册成员账户,请执行以下操作:
-
打开 a AWS Backup 控制台 t https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 在控制台左侧导航栏的我的账户下,选择设置。
在委托管理员窗格中,单击注册委托管理员或添加委托管理员。
在注册委托管理员页面上,选择要注册的账户,然后选择注册账户。
此指定账户现在将注册为委托管理员,拥有管理权限,可以监控组织内各个账户的作业,并且可以查看和编辑策略(策略委托)。该成员账户不能注册或注销其他委托管理员账户。您可以使用控制台,将最多五个账户注册为委托管理员。
确保被委派的管理员拥有授予的权限AWSBackupOrganizationAdminAccess。
以编程方式注册成员账户:
使用CLI命令register-delegated-administrator。您可以在CLI请求中指定以下参数:
service-principalaccount-id
以下是CLI请求以编程方式注册成员账户的示例:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
取消注册成员帐户
使用以下步骤 AWS Backup 通过注销 AWS 组织中以前被指定为授权管理员的成员帐户来移除管理访问权限。
使用控制台注销成员账户
-
打开 a AWS Backup 控制台 t https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 在控制台左侧导航栏的我的账户下,选择设置。
在委托管理员部分,单击注销账户。
选择要注销的账户。
在注销账户对话框中,查看安全隐患,然后键入
confirm以完成注销。选择
Deregister account。
以编程方式注销成员账户:
使用CLI命令deregister-delegated-administrator取消注册委派管理员帐户。您可以在API请求中指定以下参数:
service-principalaccount-id
以下是CLI请求以编程方式注销成员账户的示例:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
通过以下方式委派 AWS Backup 策略 AWS Organizations
在 AWS Organizations 控制台中,您可以委托管理多个策略,包括 Backup 策略。
在登录到 AWS Organizations 控制台
备份策略
您可以将备份计划与策略的可扩展性相结合 AWS Organizations,创建备份策略,从而简化整个组织的管理。
有关如何为组织启用备份策略的信息,请参阅《AWS Organizations 用户指南》,以便您能够:
有关策略中包含AWS Backup 配额的元素的 AWS Backup特定配额,请参阅。
监控多个 AWS 账户中的活动
要跨账户监控备份、复制和还原作业,必须启用跨账户监控。这样,您就可以从组织管理账户监控所有账户中的备份活动。选择加入后,组织中在选择加入后创建的所有作业都将可见。选择退出时, AWS Backup 将作业在聚合视图中保留 30 天(从到达终点状态开始)。在选择退出后创建的作业不可见,也不显示任何新创建的备份作业。有关选择加入的说明,请参阅启用跨账户管理。
监控多个账户
-
打开 a AWS Backup 控制台 t https://console.aws.amazon.com/backup/
。您必须使用您的管理账户凭证登录。 -
在左侧导航窗格中,选择设置以打开跨账户管理页面。
-
在跨账户监控部分中,选择启用。
这样,您可以从管理账户监控组织中所有账户的备份和还原活动。
-
在左侧导航窗格中,选择跨账户监控。
-
在跨账户监控页面上,选择备份作业、还原作业或复制作业选项卡,以查看在所有账户中创建的所有作业。您可以通过 AWS 账户 ID 查看这些作业,也可以查看特定账户中的所有作业。
-
在搜索框中,您可以按账户 ID、状态或作业 ID 筛选作业。
例如,您可以选择备份作业选项卡并查看在您的所有账户中创建的所有备份作业。您可以按账户 ID 筛选列表,并查看在该账户中创建的所有备份作业。
资源选择加入规则
如果成员账户的备份计划是由组织级别的备份策略创建的,则组织管理账户的 AWS Backup 选择加入设置将覆盖该成员账户中的选择加入设置,但仅适用于该备份计划。
如果成员账户还有用户创建的本地级备份计划,则这些备份计划将遵循成员账户中的选择加入设置,而不参照 Organizations 管理账户的选择加入设置。
定义策略、策略语法和策略继承
《 AWS Organizations 用户指南》中记录了以下主题。
