使用備份政策的最佳實務 - AWS Organizations
決定備份政策策略使用 GetEffectivePolicy 驗證備份政策的變更簡單開始,小小改變將備份副本儲存在組織中的其他 AWS 區域 和 帳戶中限制每個政策的計劃數目使用堆疊集建立所需的備份保存庫和IAM角色檢閱每個帳戶中建立的第一個備份來檢查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用備份政策的最佳實務

AWS 建議使用下列備份政策的最佳實務。

決定備份政策策略

您建立的備份政策可以是不完整的片段,經過繼承和合併後,形成每個成員帳戶的完整政策。如果這樣做,假設您在某個層級變更,但未仔細考量低於該層級的所有帳戶所受的影響,最後可能產生不完整的有效政策。為了避免這種情況,建議您確保在所有層級實作的備份政策本身是完整的。將父政策視為預設政策,可由子政策中指定的設定來覆寫。如此一來,即使子政策不存在,繼承的政策仍然完整並使用預設值。您可以使用子控制繼承運算子,以控制子政策可新增、變更或移除哪些設定。

使用 GetEffectivePolicy 驗證備份政策的變更

變更備份政策後,在低於您進行變更的層級之下,請檢查代表性帳戶的有效政策。您可以使用 、 或使用 操作,或是其中一個 或 變體來檢視有效政策 AWS Management ConsoleGetEffectivePolicy API AWS CLI AWS SDK請確定您所做的變更對有效政策產生預期的影響。

簡單開始,小小改變

若要簡化偵錯,請從簡單的政策開始,然後一次變更一項。每次變更後,請先驗證變更的行為和影響,再繼續變更。在發生錯誤或意外的結果時,此方法可減少您必須考慮的變數。

將備份副本儲存在組織中的其他 AWS 區域 和 帳戶中

若要改善災難復原位置,您可以存放備份的複本。

  • 不同的區域 – 如果您將備份複本存放在其他 中 AWS 區域,則有助於保護備份,避免原始區域中意外損毀或刪除。使用政策的 copy_actions 區段,以在執行備份計劃相同帳戶的一個或多個區域中指定保存庫。若要這麼做,請在指定要存放備份複本ARN的備份保存庫的 時,使用 $account變數來識別帳戶。$account 變數會在執行時間自動取代為執行備份政策的帳戶 ID。

  • 不同的帳戶 – 如果您將備份複本存放在其他 中 AWS 帳戶,您可以新增安全屏障,協助防範入侵您其中一個帳戶的惡意發動者。使用政策的 copy_actions 區段,以在組織中的一個或多個帳戶中指定保存庫,與執行的備份計劃帳戶分開。若要執行此操作,請在指定要存放備份複本ARN的備份保存庫的 時,使用其實際帳戶 ID 號碼來識別帳戶。

限制每個政策的計劃數目

包含多個計劃的政策在疑難排解時較複雜,因為有大量的輸出必須全部驗證。應該讓每個政策只包含一個備份計劃,以簡化偵錯和疑難排解。然後,您可以新增更多政策來包含其他計劃,以符合其他需求。此方法有助於將計劃的任何問題隔離在一個政策中,在對其他政策及其計劃的問題在疑難排解時,才不會因為這些問題而變得更複雜。

使用堆疊集建立所需的備份保存庫和IAM角色

使用 AWS CloudFormation 堆疊集與 Organizations 整合,在您的組織中的每個成員帳戶中自動建立所需的備份保存庫和 AWS Identity and Access Management (IAM) 角色。您可以建立堆疊集,其中包含您希望 AWS 帳戶 組織中每個 自動可用的資源。此方法可讓您執行備份計劃時確保已符合相依性。如需詳細資訊,請參閱AWS CloudFormation 使用者指南中的建立具有自我管理許可的堆疊集

檢閱每個帳戶中建立的第一個備份來檢查結果

當您變更政策時,請檢查該變更之後建立的下一個備份,以確保變更產生預期的影響。此步驟不僅止於查看有效政策,還可確保 AWS Backup 解譯您的政策,並以您預期的方式實作備份計劃。