本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨多個管理 AWS Backup 資源 AWS 帳戶
注意
AWS 帳戶 在中管理多個資源之前 AWS Backup,您的帳戶必須屬於 AWS Organizations 服務中的相同組織。
您可以使用中的跨帳戶管理功能 AWS Backup 來管理和監控您設定的備份、還原和複製工作。 AWS 帳戶 AWS OrganizationsAWS Organizations是一項服務,可針對單一管理帳戶提供多個原 AWS 帳戶 則式管理。它可讓您將實作備份政策的方式標準化,同時減少手動錯誤和人力。您可以集中檢視所有資源,輕鬆在所有帳戶中找出符合您感興趣條件的資源。
如果您進行設定 AWS Organizations,您可以設 AWS Backup 定在同一個位置監控所有帳戶中的活動。您也可以建立備份政策,並將其套用至屬於組織一部分的選取帳戶,並直接從 AWS Backup 主控台檢視彙總備份工作活動。這項功能讓備份管理員可從單一管理帳戶有效監控全企業數百個帳戶的備份任務狀態。AWS Organizations 配額適用之。
例如,您定義備份政策 A,該政策會每日備份特定資源,並將其保留 7 天。您選擇將備份政策 A 套用至整個組織。(這表示組織中的每個帳戶都會取得該備份政策,因此系統會建立一個對應的備份計畫顯示在該帳戶中。) 然後,您建立名為「財務」的組織單位,並決定其備份只保留 30 天。在此案例中,您定義一個覆寫生命週期值的備份政策 B,並將其連接至該「財務」組織單位。這表示「財務」組織單位下的所有帳戶都會取得新的有效備份計畫,該計畫會每日備份所有指定的資源,並將其保留 30 天。
在此範例中,備份政策 A 和備份政策 B 合併為單一備份政策,該政策會定義「財務」組織單位下所有帳戶的保護策略。組織中的所有其他帳戶仍然受到備份政策 A 保護。只有使用相同備份計畫名稱的備份政策才能合併。您也可以讓政策 A 和政策 B 共存在於該帳戶中,不進行任何合併。您只能在主控台JSON檢視中使用進階合併運算子。如需合併政策的詳細資訊,請參閱《AWS Organizations 使用指南》的定義政策、政策語法和政策繼承。如需其他參考資料和使用案例,請參閱部落格在您的 AWS Organizations 使用中大規模管理備
請參閱各 AWS 區域的功能可用性,了解跨帳戶管理功能的可用位置。
若要使用跨帳戶管理,您必須依照下列步驟執行:
-
在中建立管理帳戶, AWS Organizations 並在管理帳戶下新增帳戶。
-
啟用中的跨帳戶管理功能。 AWS Backup
-
建立備份政策以套用至管理帳戶 AWS 帳戶 下的所有人。
注意
至於由組織管理的備份計畫,管理帳戶中的資源選擇加入設定會覆寫成員帳戶中的設定,即使一或多個委派的管理員帳戶已設定也是如此。委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫設定。
-
管理所有的備份、還原和複製工作 AWS 帳戶。
建立組織的管理帳戶
首先,您必須建立您的組織,並使用中的 AWS 成員帳戶進行設定 AWS Organizations。
在中建立管理帳戶 AWS Organizations 並新增帳戶
-
如需指示,請參閱《AWS Organizations 使用者指南》的教學課程:建立和設定組織。
啟用跨帳戶管理
在中使用跨帳戶管理之前 AWS Backup,管理帳戶必須先啟用此功能 (也就是選擇加入該功能)。管理帳戶啟用跨帳戶管理後,您可以建立備份政策,以管理多個帳戶中的資源。
啟用跨帳戶管理
-
打開 AWS Backup 主控台 在https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 -
在左側導覽窗格中,選擇 Settings (設定) 以開啟跨帳戶管理頁面。
-
在 Backup policies (備份政策) 區段中,選擇 Enable (啟用)。
這可讓您存取所有帳戶,並可讓您建立政策,以同時自動管理組織中的多個帳戶。
-
在 Cross-account monitoring (跨帳戶監控) 區段中,選擇 Enable (啟用)。
這可讓您從管理帳戶監控組織中所有帳戶的備份、複製和還原活動。
委派的管理員
委派管理為註冊成員帳戶中的指派使用者提供了一種方便的方式,以執行大部分的 AWS Backup 管理工作。您可以選擇將的 AWS Backup 管理委派給中的成員帳戶 AWS Organizations,從而擴展 AWS Backup 從管理帳戶外部和整個組織進行管理的能力。
管理帳戶預設是編輯和管理政策的帳戶。使用委派管理員功能,您可以將這些管理功能委派給您指定的成員帳戶。反之,除管理帳戶之外,這些帳戶也可以管理政策。
成功註冊可執行委派管理的成員帳戶,就是委派的管理員帳戶。請注意,被指定為委派管理員的是帳戶,非使用者。
啟用委派的管理員帳戶可讓您選擇管理備份政策、將可存取管理帳戶的使用者數量減至最少,並允許跨帳戶監控任務。
下表顯示管理帳戶的功能、委派為 Backup 系統管理員的帳戶,以及屬於 AWS 組織內部成員的帳戶。
注意
委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫其他成員帳戶的服務選擇加入設定。
PRIVILEGES | MANAGEMENT ACCOUNT | DELEGATED ADMINISTRATOR | MEMBER ACCOUNT |
---|---|---|---|
註冊/取消註冊委派管理員帳戶 | 是 | 否 | 否 |
啟用跨帳戶管理 | 是 | 否 | 否 |
管理跨帳戶的備份政策 AWS Organizations | 是 | 是 | 否 |
監控跨帳戶任務 | 是 | 是 | 否 |
必要條件
在委派備份管理之前,您必須先將 AWS 組織中至少一個成員帳戶註冊為委派的系統管理員。您必須先設定下列項目,才能將帳戶註冊為委派管理員:
AWS Organizations 除了您的預設管理帳戶之外,還必須啟用並設定至少一個成員帳戶。
-
在 AWS Backup 主控台中,請確定已開啟備份政策、跨帳戶監控和跨帳戶備份功能。這些位於 AWS Backup 主控台中的 [委派管理員] 窗格下方。
設定委派管理需要兩個步驟。第一個步驟是委派跨帳戶任務監控。第二個步驟是委派備份政策管理。
將成員帳戶註冊為委派管理員帳戶。
這是第一部分:使用 AWS Backup 控制台註冊委派的管理員帳戶以監視跨帳戶工作。若要委派 AWS Backup 策略,您將使用下一節中的 Organizations 主控台。
要使用 AWS Backup 控制台註冊成員帳戶:
-
打開 AWS Backup 主控台 在https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 在主控台左側導覽列中,選擇 我的帳戶 下的 設定。
在 委派管理員 窗格中,按一下 註冊委派管理員 或 新增委派管理員。
在 註冊委派管理員 頁面中,選取您要註冊的帳戶,然後選擇 註冊帳戶。
此指定帳戶現在會註冊為委派的管理員,具有管理權限,可監控組織內所有帳戶任務,並可檢視及編輯政策 (政策委派)。此成員帳戶不能註冊或取消註冊其他委派管理員帳戶。使用主控台最多可將 5 個帳戶註冊為委派管理員。
確定委派的系統管理員具有授與的權限AWSBackupOrganizationAdminAccess。
使用程式設計方式註冊成員帳戶:
使用 CLI 命令。register-delegated-administrator
您可以在CLI請求中指定下列參數:
service-principal
account-id
以下是以編程方式註冊成員帳戶的CLI請求示例:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
取消註冊成員帳戶
使用下列程序, AWS Backup 藉由取消註冊 AWS 組織中先前已指定為委派管理員的成員帳戶,以移除管理存取權。
使用主控台取消註冊成員帳戶
-
打開 AWS Backup 主控台 在https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 在主控台左側導覽列中,選擇 我的帳戶 下的 設定。
在 委派管理員 區段,按一下 取消註冊帳戶。
選擇您要取消註冊的帳戶。
在 取消註冊帳戶 對話方塊中,檢閱安全性隱患,然後輸入
confirm
完成取消註冊。選擇
Deregister account
。
使用程式設計方式取消註冊成員帳戶:
使用CLI命令deregister-delegated-administrator
可取消註冊委派的系統管理員帳戶。您可以在API請求中指定下列參數:
service-principal
account-id
以下是以程式設計方式取消註冊成員帳戶的CLI請求示例:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
透過委派 AWS Backup 政策 AWS Organizations
在 AWS Organizations 主控台內,您可以委派多個原則的管理,包括 Backup 政策。
您可以在登入 AWS Organizations 主控台
備份政策
您可以在中結合備份計劃與原則的延展性, AWS Organizations以建立備份原則,以簡化整個組織的管理。
如需有關如何為組織啟AWS Organizations 用備份原則的資訊,請參閱《使用者指南》,以便您可以:
如AWS Backup 配額需策略中包含元素的 AWS Backup特定配額,請參閱。
監控多個 AWS 帳戶的活動
若要監控跨帳戶的備份、複製和還原任務,您必須啟用跨帳戶監控。這可讓您從組織管理帳戶監控所有帳戶的備份活動。當您選擇加入之後,您組織中所有在選擇加入之後建立的任務都會顯示出來。當您選擇退出時, AWS Backup 會將任務保留在彙總檢視中 30 天 (從達到終止狀態起)。系統不會顯示選擇退出後建立的任務,也不會顯示任何新建立的備份任務。如需選擇加入的說明,請參閱 啟用跨帳戶管理。
監控多個帳戶
-
打開 AWS Backup 主控台 在https://console.aws.amazon.com/backup/
。您必須使用管理帳戶憑證進行登入。 -
在左側導覽窗格中,選擇 Settings (設定) 以開啟跨帳戶管理頁面。
-
在 Cross-account monitoring (跨帳戶監控) 區段中,選擇 Enable (啟用)。
這可讓您從管理帳戶監控組織中所有帳戶的備份和還原活動。
-
在左側導覽窗格中,選擇 Cross-account monitoring (跨帳戶監控)。
-
在 Cross-account monitoring (跨帳戶監控) 頁面上,選擇 Backup jobs (備份任務)、Restore jobs (還原任務) 或 Copy jobs (複製任務) 標籤,以查看在所有帳戶中建立的所有任務。您可以通過 AWS 帳戶 ID 查看每個作業,並且可以查看特定帳戶中的所有作業。
-
在搜尋方塊中,您可以依 Account ID (帳戶 ID)、Status (狀態) 或 Job ID (任務 ID) 篩選任務。
例如,您可以選擇 Backup jobs (備份任務) 標籤,並查看在您的所有帳戶中建立的所有備份任務。您可以依 Account ID (帳戶 ID) 篩選清單,並查看在該帳戶中建立的所有備份任務。
資源選擇加入規則
如果成員帳戶的備份計劃是由組織層級備份原則所建立,組 Organizations 管理帳戶的 AWS Backup 選擇加入設定將覆寫該成員帳戶中的選擇加入設定,但僅適用於該備份計劃。
如果成員帳戶也有使用者建立的本機層級備份計畫,則這些備份計畫會遵循成員帳戶中的選擇加入設定,不參考 Organizations 管理帳戶的選擇加入設定。
定義政策、政策語法和政策繼承
《 AWS Organizations 使用者指南》中將說明下列主題。