本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
注意
在管理多個 AWS 帳戶 中的資源之前 AWS Backup,您的帳戶必須屬於 AWS Organizations 服務中的相同組織。
跨帳戶管理概觀
您可以使用 中的跨帳戶管理功能 AWS Backup 來管理和監控您設定之跨 AWS 帳戶 的備份、還原和複製任務 AWS Organizations。 AWS Organizations 是一種服務, AWS 帳戶 可從單一管理帳戶為多個 提供政策型管理。它可讓您將實作備份政策的方式標準化,同時減少手動錯誤和人力。您可以集中檢視所有資源,輕鬆在所有帳戶中找出符合您感興趣條件的資源。
如果您設定 AWS Organizations,您可以設定 AWS Backup 在一個位置監控所有帳戶中的活動。您也可以建立備份政策,並將其套用至屬於您組織一部分的所選帳戶,並直接從 AWS Backup 主控台檢視彙總備份任務活動。這項功能讓備份管理員可從單一管理帳戶有效監控全企業數百個帳戶的備份任務狀態。AWS Organizations 配額適用之。
例如,您定義備份政策 A,該政策會每日備份特定資源,並將其保留 7 天。您選擇將備份政策 A 套用至整個組織。(這表示組織中的每個帳戶都會取得該備份政策,因此系統會建立一個對應的備份計畫顯示在該帳戶中。) 然後,您建立名為「財務」的組織單位,並決定其備份只保留 30 天。在此案例中,您定義一個覆寫生命週期值的備份政策 B,並將其連接至該「財務」組織單位。這表示「財務」組織單位下的所有帳戶都會取得新的有效備份計畫,該計畫會每日備份所有指定的資源,並將其保留 30 天。
在此範例中,備份政策 A 和備份政策 B 合併為單一備份政策,該政策會定義「財務」組織單位下所有帳戶的保護策略。組織中的所有其他帳戶仍然受到備份政策 A 保護。只有使用相同備份計畫名稱的備份政策才能合併。您也可以讓政策 A 和政策 B 共存在於該帳戶中,不進行任何合併。您只能在主控台的 JSON 檢視中使用進階合併運算子。如需合併政策的詳細資訊,請參閱《AWS Organizations 使用指南》的定義政策、政策語法和政策繼承。如需其他參考和使用案例,請參閱部落格 AWS Organizations 使用 大規模管理備份 AWS Backup
請參閱依 AWS 區域列出的功能可用性,以查看跨帳戶管理功能的可用位置。
若要使用跨帳戶管理,您必須依照下列步驟執行:
-
在 中建立管理帳戶, AWS Organizations 並在管理帳戶下新增帳戶。
-
在 中啟用跨帳戶管理功能 AWS Backup。
-
建立備份政策以套用至管理帳戶 AWS 帳戶 下的所有 。
注意
至於由組織管理的備份計畫,管理帳戶中的資源選擇加入設定會覆寫成員帳戶中的設定,即使一或多個委派的管理員帳戶已設定也是如此。委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫設定。
-
管理所有 中的備份、還原和複製任務 AWS 帳戶。
跨帳戶管理包含跨帳戶監控、跨帳戶備份、備份政策和委派管理員帳戶。並非所有這些元素都適用於所有區域。
在 中需要選擇加入 AWS 區域 的跨帳戶管理包括跨帳戶監控和備份政策的存取權;委派的管理員帳戶可以啟動政策,但無法存取監控功能。
| 跨帳戶監控 | 跨帳戶備份 | 備份政策 | 委派的管理員 | |
|---|---|---|---|---|
| 可用性 | 除中國 (北京)、中國 (寧夏)、 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) AWS 區域 以外所有商業服務。 | 除了中國 (北京) 和中國 (寧夏) AWS 區域 以外所有商業。 | 中跨帳戶管理欄下 AWS 區域 列出的全部功能可用性 AWS 區域。 |
存取所有商業 中的備份政策, AWS 區域 但無法在需要選擇加入的情況下進行跨帳戶監控。 |
目錄
建立組織的管理帳戶
首先,您必須建立組織,並使用 AWS 成員帳戶進行設定 AWS Organizations。如需指示,請參閱《AWS Organizations 使用者指南》的教學課程:建立和設定組織。
當您將成員帳戶新增至組織時,請確定每個帳戶都有:
-
至少一個備份和/或邏輯氣隙隔離保存庫
-
IAM 角色
您建立的備份政策會有備份計劃,但也會識別 AWS 區域、備份計劃中使用的保存庫、要備份的資源,以及將用於建立備份的 IAM 角色 (IAM)。參考缺少必要資訊的帳戶的備份政策將無法如預期般運作。
如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的備份政策語法。
啟用跨帳戶管理
在 中使用跨帳戶管理之前 AWS Backup,管理帳戶必須啟用 功能 (也就是選擇加入)。管理帳戶啟用跨帳戶管理之後,您可以建立備份政策來管理多個帳戶中的資源。
啟用跨帳戶管理
-
在 AWS Backup 主控台 https://https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 -
在左側導覽窗格中,選擇 Settings (設定) 以開啟跨帳戶管理頁面。
-
在 Backup policies (備份政策) 區段中,選擇 Enable (啟用)。
這可讓您存取所有帳戶,並可讓您建立政策,以同時自動管理組織中的多個帳戶。
-
在 Cross-account monitoring (跨帳戶監控) 區段中,選擇 Enable (啟用)。
這可讓您從管理帳戶監控組織中所有帳戶的備份、複製和還原活動。
備份政策
您可以在 中 AWS Organizations結合備份計劃與政策的可擴展性,以建立備份政策,簡化整個組織的管理。
如需如何為組織啟用備份政策的資訊,請參閱 AWS Organizations 使用者指南,以便您可以:
AWS Backup 配額 如需政策中所含元素的 AWS Backup特定配額,請參閱 。
委派的管理員
委派的管理為註冊成員帳戶中的指派使用者提供了方便的方式,以執行大多數 AWS Backup 管理任務。您可以選擇將 的管理委派 AWS Backup 給 中的成員帳戶 AWS Organizations,藉此擴展 AWS Backup 從管理帳戶外部和整個組織進行管理的能力。
管理帳戶預設是編輯和管理政策的帳戶。使用委派管理員功能,您可以將這些管理功能委派給您指定的成員帳戶。反之,除管理帳戶之外,這些帳戶也可以管理政策。
成功註冊可執行委派管理的成員帳戶,就是委派的管理員帳戶。請注意,被指定為委派管理員的是帳戶,非使用者。
啟用委派的管理員帳戶可讓您選擇管理備份政策、將可存取管理帳戶的使用者數量減至最少,並允許跨帳戶監控任務。
下表顯示管理帳戶的函數、委派為 Backup 管理員的帳戶,以及屬於 AWS 組織內成員的帳戶。
注意
委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫其他成員帳戶的服務選擇加入設定。
| PRIVILEGES | 管理帳戶 | 委派管理員 | 成員帳戶 |
|---|---|---|---|
| 註冊/取消註冊委派管理員帳戶 | 是 | 否 | 否 |
| 啟用跨帳戶管理 | 是 | 否 | 否 |
| 在 中管理跨帳戶的備份政策 AWS Organizations | 是 | 是 | 否 |
| 監控跨帳戶任務 | 是 | 是 | 否 |
先決條件
您必須先將 AWS 組織中至少一個成員帳戶註冊為委派管理員,才能委派備份管理。您必須先設定下列項目,才能將帳戶註冊為委派管理員:
除了您的預設管理帳戶之外,AWS Organizations 還必須至少啟用一個成員帳戶並進行設定。
-
在 AWS Backup 主控台中,確保備份政策、跨帳戶監控和跨帳戶備份功能都已開啟。這些位於 AWS Backup 主控台的委派管理員窗格下方。
設定委派管理需要兩個步驟。第一個步驟是委派跨帳戶任務監控。第二個步驟是委派備份政策管理。
將成員帳戶註冊為委派管理員帳戶。
這是第一個區段:使用 AWS Backup 主控台註冊委派管理員帳戶來監控跨帳戶任務。若要委派 AWS Backup 政策,您將在下一節中使用 Organizations 主控台。
若要使用 AWS Backup 主控台註冊成員帳戶:
-
在 AWS Backup 主控台 https://https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 在主控台左側導覽列中,選擇 我的帳戶 下的 設定。
在 委派管理員 窗格中,按一下 註冊委派管理員 或 新增委派管理員。
在 註冊委派管理員 頁面中,選取您要註冊的帳戶,然後選擇 註冊帳戶。
此指定帳戶現在會註冊為委派的管理員,具有管理權限,可監控組織內所有帳戶任務,並可檢視及編輯政策 (政策委派)。此成員帳戶不能註冊或取消註冊其他委派管理員帳戶。使用主控台最多可將 5 個帳戶註冊為委派管理員。
確保委派管理員具有 授予的許可AWSBackupOrganizationAdminAccess。
使用程式設計方式註冊成員帳戶:
使用 register-delegated-administrator CLI 命令。您可以在 CLI 請求中指定下列參數:
service-principalaccount-id
以下是使用程式設計方式註冊成員帳戶的 CLI 請求範例:
aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"取消註冊成員帳戶
使用下列程序取消註冊組織中先前指定為委派管理員的成員帳戶 AWS , AWS Backup 以從 移除管理存取權。
使用主控台取消註冊成員帳戶
-
在 AWS Backup 主控台 https://https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 在主控台左側導覽列中,選擇 我的帳戶 下的 設定。
在 委派管理員 區段,按一下 取消註冊帳戶。
選擇您要取消註冊的帳戶。
在 取消註冊帳戶 對話方塊中,檢閱安全性隱患,然後輸入
confirm完成取消註冊。選擇
Deregister account。
使用程式設計方式取消註冊成員帳戶:
使用 CLI 命令 deregister-delegated-administrator 取消註冊委派的管理員帳戶。您可以在 CLI 請求中指定下列參數:
service-principalaccount-id
以下是使用程式設計方式取消註冊成員帳戶的 CLI 請求範例:
aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"透過 委派 AWS Backup 政策 AWS Organizations
在 AWS Organizations 主控台中,您可以委派管理多個政策,包括備份政策。
您可以在登入 AWS Organizations 主控台
監控多個 AWS 帳戶的活動
若要監控跨帳戶的備份、複製和還原任務,您必須啟用跨帳戶監控。這可讓您從組織管理帳戶監控所有帳戶的備份活動。當您選擇加入之後,您組織中所有在選擇加入之後建立的任務都會顯示出來。當您選擇退出時, AWS Backup 會將任務保留在彙總檢視中 30 天 (從達到終止狀態起)。系統不會顯示選擇退出後建立的任務,也不會顯示任何新建立的備份任務。如需選擇加入的說明,請參閱 啟用跨帳戶管理。
監控多個帳戶
-
在 AWS Backup 主控台 https://https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 -
在左側導覽窗格中,選擇 Settings (設定) 以開啟跨帳戶管理頁面。
-
在 Cross-account monitoring (跨帳戶監控) 區段中,選擇 Enable (啟用)。
這可讓您從管理帳戶監控組織中所有帳戶的備份和還原活動。
-
在左側導覽窗格中,選擇 Cross-account monitoring (跨帳戶監控)。
-
在 Cross-account monitoring (跨帳戶監控) 頁面上,選擇 Backup jobs (備份任務)、Restore jobs (還原任務) 或 Copy jobs (複製任務) 標籤,以查看在所有帳戶中建立的所有任務。您可以依 AWS 帳戶 ID 查看每個任務,也可以查看特定帳戶中的所有任務。
-
在搜尋方塊中,您可以依 Account ID (帳戶 ID)、Status (狀態) 或 Job ID (任務 ID) 篩選任務。
例如,您可以選擇 Backup jobs (備份任務) 標籤,並查看在您的所有帳戶中建立的所有備份任務。您可以依 Account ID (帳戶 ID) 篩選清單,並查看在該帳戶中建立的所有備份任務。
資源選擇加入規則
如果成員帳戶的備份計劃是由 Organizations 層級備份政策建立,則 Organizations 管理帳戶的 AWS Backup 選擇加入設定將覆寫該成員帳戶中的選擇加入設定,但僅適用於該備份計劃。
如果成員帳戶也有使用者建立的本機層級備份計畫,則這些備份計畫會遵循成員帳戶中的選擇加入設定,不參考 Organizations 管理帳戶的選擇加入設定。
定義政策、政策語法和政策繼承
下列主題記載於 AWS Organizations 使用者指南中。
