Creación de copias de las copias de seguridad entre Cuentas de AWS - AWS Backup
Configuración de la copia de seguridad entre cuentasProgramación de copias de seguridad entre cuentasRealización de copias de seguridad entre cuentas bajo demandaClaves de cifrado y copias entre cuentasRestauración de una copia de seguridad de una Cuenta de AWS a otraIntercambio de un almacén de copias de seguridad con una cuenta de AWS diferenteConfiguración de la cuenta como cuenta de destinoConsideraciones de seguridad para la copia de seguridad entre cuentas

Creación de copias de las copias de seguridad entre Cuentas de AWS

Con AWS Backup, puede hacer copias de seguridad en varias Cuentas de AWS bajo demanda o de forma automática, como parte de un plan programado. Utilice las copias de seguridad entre cuentas si desea copiar de forma segura sus copias de seguridad en una o más Cuentas de AWS de su organización por motivos operativos o de seguridad. Si la copia de seguridad original se elimina accidentalmente, puede copiar la copia de seguridad de su cuenta de destino a su cuenta de origen y, a continuación, iniciar la restauración. Para poder hacerlo, debe tener dos cuentas que pertenezcan a la misma organización en el servicio AWS Organizations. Para obtener más información, consulte Tutorial: Creación y configuración de una organización en la Guía del usuario de Organizations.

En su cuenta de destino, debe crear un almacén de copias de seguridad. A continuación, debe asignar una clave administrada por el cliente para cifrar las copias de seguridad en la cuenta de destino y una política de acceso basada en recursos para permitir que AWS Backup acceda a los recursos que desee copiar. En la cuenta de origen, si sus recursos están cifrados con una clave administrada por el cliente, debe compartir esta clave con la cuenta de destino. A continuación, puede crear un plan de copia de seguridad y elegir una cuenta de destino que forme parte de su unidad organizativa en AWS Organizations.

La primera vez que replique una copia de seguridad entre cuentas, AWS Backup la copiará en su totalidad. En general, si un servicio admite copias de seguridad incrementales, las copias posteriores de esa copia de seguridad incluidas en la misma cuenta serán incrementales. AWS Backup volverá a cifrar su copia con la clave administrada por el cliente de su almacén de destino.

Requisitos

  • Antes de administrar recursos en varias Cuentas de AWS en AWS Backup, sus cuentas debe pertenecer a la misma organización del servicio de AWS Organizations.

  • La mayoría de los recursos compatibles con AWS Backup admiten copias de seguridad entre cuentas. Para obtener información detallada, consulte Disponibilidad de características por recurso.

  • La mayoría de las regiones de AWS admiten copias de seguridad entre cuentas. Para obtener información detallada, consulte Disponibilidad de características por Región de AWS.

  • AWS Backup no admite copias entre cuentas para su almacenamiento en niveles fríos.

Configuración de la copia de seguridad entre cuentas

¿Qué necesita para crear copias de seguridad entre cuentas?

  • Una cuenta de origen

    La cuenta de origen es la cuenta en la que residen los recursos de producción de AWS y las copias de seguridad principales.

    El usuario de la cuenta de origen inicia la operación de copia de seguridad entre cuentas. El usuario o rol de la cuenta de origen debe tener los permisos de API adecuados para iniciar la operación. Los permisos adecuados pueden ser la política administrada por AWS AWSBackupFullAccess, que permite el acceso total a las operaciones de AWS Backup, o una política administrada por el cliente que permite acciones como ec2:ModifySnapshotAttribute: Para obtener más información sobre los tipos de políticas, consulte Políticas administradas por AWS Backup.

  • Una cuenta de destino

    La cuenta de destino es la cuenta en la que desea guardar una copia de su copia de seguridad. Puede elegir más de una cuenta de destino. La cuenta de destino debe estar en la misma organización que la cuenta de origen en AWS Organizations.

    Debe “permitir” la política de acceso backup:CopyIntoBackupVault para su almacén de copias de seguridad de destino. La ausencia de esta política impedirá los intentos de copia en la cuenta de destino.

  • Una cuenta de administración en AWS Organizations

    La cuenta de administración es la cuenta principal de su organización, tal como la define AWS Organizations, que se utiliza para administrar las copias de seguridad entre cuentas entre sus Cuentas de AWS. Para utilizar la copia de seguridad entre cuentas, también debe habilitar la confianza en el servicio. Tras habilitar la confianza en el servicio, puede usar cualquier cuenta de la organización como cuenta de destino. Desde la cuenta de destino, puede elegir qué almacenes va a usar para realizar copias de seguridad entre cuentas.

  • Habilite la copia de seguridad entre cuentas en la consola de AWS Backup

Para obtener información acerca de la seguridad, consulte Consideraciones de seguridad para la copia de seguridad entre cuentas.

Para utilizar la copia de seguridad entre cuentas, debe habilitar la característica de copia de seguridad entre cuentas. A continuación, debe “permitir” la política de acceso backup:CopyIntoBackupVault a su almacén de copias de seguridad de destino.

Amazon EC2 ofrece AMI permitidas para EC2. Si esta configuración está habilitada en su cuenta, añada el ID de su cuenta de origen a la lista de permitidos. De lo contrario, la operación de copia fallará y aparecerá un mensaje de error como “Source AMI not found in Region”.

Habilitar la copia de seguridad entre cuentas

  1. Inicie sesión con las credenciales de la cuenta de administración de AWS Organizations. La copia de seguridad entre cuentas solo se puede habilitar o deshabilitar con estas credenciales.

  2. Abra la consola de AWS Backup en https://console.aws.amazon.com/backup.

  3. En Mi cuenta, elija Configuración.

  4. Para Copia de seguridad entre cuentas, elija Habilitar.

  5. En Almacenes de copia de seguridad, elija su almacén de destino.

    En el caso de las copias entre cuentas, la bóveda de origen y la bóveda de destino se encuentran en cuentas diferentes. Cambie a la cuenta propietaria de la cuenta de destino, según sea necesario.

  6. En la sección Política de acceso, seleccione “Permitir” backup:CopyIntoBackupVault. Por ejemplo, elija Agregar permisos y, a continuación, Permitir el acceso a un almacén de copias de seguridad desde la organización. Se rechazará cualquier acción entre cuentas que no sea backup:CopyIntoBackupVault.

  7. Ahora, cualquier cuenta de su organización puede compartir el contenido de su almacén de copias de seguridad con cualquier otra cuenta de su organización. Para obtener más información, consulte Intercambio de un almacén de copias de seguridad con una cuenta de AWS diferente. Para limitar las cuentas que pueden recibir el contenido de los almacenes de copias de seguridad de otras cuentas, consulte Configuración de la cuenta como cuenta de destino.

Programación de copias de seguridad entre cuentas

Puede utilizar un plan de copia de seguridad programadas para copiar las copias de seguridad en Cuentas de AWS.

Para copiar una copia de seguridad mediante un plan de copia de seguridad programadas

  1. Abra la consola de AWS Backup en https://console.aws.amazon.com/backup.

  2. En Mi cuenta, elija Planes de copia de seguridad y, a continuación, elija Crear plan de copia de seguridad.

  3. En la página Crear plan de copia de seguridad, elija Crear un nuevo plan.

  4. En Nombre del plan de copia de seguridad, introduzca un nombre para su plan de copia de seguridad.

  5. En la sección Configuración de regla de copia de seguridad, agregue una regla de copia de seguridad que defina una programación de copia de seguridad, un intervalo de copia de seguridad y reglas de ciclo de vida. Puede agregar más reglas de copia de seguridad más adelante.

    En Nombre de la regla, ingrese un nombre para la regla.

  6. En la sección Programar, en Frecuencia, elija con qué frecuencia quiere que se realice la copia de seguridad.

  7. En Intervalo de copia de seguridad, elija Usar valores predeterminados de intervalo de copia de seguridad (recomendado). Puede personalizar el intervalo de copia de seguridad.

  8. Para Almacén de copia de seguridad, elija un almacén de la lista. Los puntos de recuperación de esta copia de seguridad se guardarán en este almacén. También puede crear un almacén de copias de seguridad nuevo.

  9. En la sección Generar copia (opcional), ingrese los siguientes valores:

    Región de destino

    Elija la Región de AWS de destino de la copia de la copia de seguridad. La copia de seguridad se copiará en esta región. Puede agregar una nueva regla a cada copia que se realice en un nuevo destino.

    Copiar en el almacén de otra cuenta

    Mueva el conmutador para elegir esta opción. La opción aparece en color azul cuando se selecciona. Aparecerá la opción ARN del almacén externo.

    ARN del almacén externo

    Ingrese el nombre de recurso de Amazon (ARN) de la cuenta de destino. El ARN es una cadena que contiene el ID de la cuenta y su Región de AWS. AWS Backup copiará la copia de seguridad al almacén de la cuenta de destino. La lista Región de destino se actualiza automáticamente a la región del ARN del almacén externo.

    En Permitir el acceso al almacén de copias de seguridad, elija Permitir. A continuación, elija Permitir en el asistente que se abre.

    AWS Backup necesita permisos para acceder a la cuenta externa y copiar la copia de seguridad al valor especificado. El asistente muestra el siguiente ejemplo de política que proporciona este acceso.

    JSON
    
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountCopyIntoBackupVault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      }
    }
  ]
}
    Transferir al almacenamiento en frío

    Elija cuándo desea transferir la réplica de la copia de seguridad al almacenamiento en frío y cuándo va a caducar (se va a eliminar). Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Este valor no se puede modificar una vez que la copia se ha migrado al almacenamiento en frío.

    Para ver la lista de recursos que puede transferir al almacenamiento en frío, consulte la sección “Ciclo de vida al almacenamiento en frío” de la tabla Disponibilidad de características por recurso. La expresión de almacenamiento en frío se omite para otros recursos.

    Vencimiento especifica el número de días que deben transcurrir desde la creación hasta que se elimina la copia. Este valor debe ser 90 días superior al valor de Transferir al almacenamiento en frío.

    nota

    Cuando las copias de seguridad venzan y estén marcadas para su eliminación como parte de su política de ciclo de vida, AWS Backup las eliminará en un momento elegido al azar durante las 8 horas siguientes. Este intervalo ayuda a garantizar un rendimiento uniforme.

  10. Elija Etiquetas agregadas a puntos de recuperación para agregar etiquetas a sus puntos de recuperación.

  11. Para la Configuración avanzada de copia de seguridad, elija Windows VSS para habilitar las instantáneas compatibles con la aplicación para el software de terceros seleccionado que se ejecuta en EC2.

  12. Elija Crear plan.

Realización de copias de seguridad entre cuentas bajo demanda

Puede copiar una copia de seguridad a otra Cuenta de AWS bajo demanda.

Para copiar una copia de seguridad bajo demanda

  1. Abra la consola de AWS Backup en https://console.aws.amazon.com/backup.

  2. En Mi cuenta, elija Almacén de copia de seguridad para ver todos tus almacenes de copias de seguridad en la lista. Puede filtrar por nombre o etiqueta del almacén de copias de seguridad.

  3. Elija el ID de punto de recuperación de la copia de seguridad que desee copiar.

  4. Elija Copiar.

  5. Amplíe Detalles de la copia de seguridad para ver información sobre el punto de recuperación que está copiando.

  6. En la sección Copiar configuración, elija una opción de la lista Región de destino.

  7. Elija Copiar en el almacén de otra cuenta. La opción aparece en color azul cuando se selecciona.

  8. Ingrese el nombre de recurso de Amazon (ARN) de la cuenta de destino. El ARN es una cadena que contiene el ID de la cuenta y su Región de AWS. AWS Backup copiará la copia de seguridad al almacén de la cuenta de destino. La lista Región de destino se actualiza automáticamente a la región del ARN del almacén externo.

  9. En Permitir el acceso al almacén de copias de seguridad, elija Permitir. A continuación, elija Permitir en el asistente que se abre.

    Para crear la copia, AWS Backup necesita permisos para acceder a la cuenta de origen. El asistente muestra un ejemplo de política que proporciona este acceso. Esta política se muestra a continuación:

    JSON
    
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountCopyIntoBackupVault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      }
    }
  ]
}

  10. En Transferir al almacenamiento en frío, elija cuándo desea transferir la copia de la copia de seguridad al almacenamiento en frío y cuándo va a vencer (se va a eliminar) la copia. Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Este valor no se puede modificar una vez que la copia se ha migrado al almacenamiento en frío.

    Para ver la lista de recursos que puede transferir al almacenamiento en frío, consulte la sección “Ciclo de vida al almacenamiento en frío” de la tabla Disponibilidad de características por recurso. La expresión de almacenamiento en frío se omite para otros recursos.

    Vencimiento especifica el número de días que deben transcurrir desde la creación hasta que se elimina la copia. Este valor debe ser 90 días superior al valor de Transferir al almacenamiento en frío.

  11. Para el rol de IAM, especifique el rol de IAM (por ejemplo, el rol predeterminado) que tiene los permisos necesarios para que la copia de seguridad esté disponible para su copia. El acto de copiar lo realiza el rol vinculado al servicio de la cuenta de destino.

  12. Elija Copiar. Según el tamaño del recurso que está copiando, este proceso puede tardar varias horas en completarse. Cuando se complete el trabajo de copia, verá la copia en la pestaña Trabajos de copia del menú Trabajos.

Claves de cifrado y copias entre cuentas

Consulte Cifrado para obtener una copia de seguridad en una cuenta o Región de AWS para obtener más información sobre el funcionamiento del cifrado en un trabajo de copia.

Si necesita ayuda adicional para solucionar errores de copia entre cuentas, consulte el AWS Knowledge Center.

Restauración de una copia de seguridad de una Cuenta de AWS a otra

AWS Backup no admite la recuperación de recursos de una Cuenta de AWS a otra. Sin embargo, puede copiar una copia de seguridad desde una cuenta a otra diferente y, a continuación, restaurarla en esa cuenta. Por ejemplo, no puede restaurar una copia de seguridad de la cuenta A a la cuenta B, pero puede copiar una copia de seguridad de la cuenta A a la cuenta B y, a continuación, restaurarla en la cuenta B.

La restauración de una copia de seguridad de una cuenta a otra es un proceso de dos pasos.

Para restaurar una copia de seguridad de una cuenta a otra

  1. Copie la copia de seguridad de la Cuenta de AWS de origen a la cuenta en la que desea restaurarla. Para obtener instrucciones, consulte Configuración de la copia de seguridad entre cuentas.

  2. Utilice las instrucciones correspondientes a su recurso para restaurar la copia de seguridad.

Intercambio de un almacén de copias de seguridad con una cuenta de AWS diferente

AWS Backup le permite compartir un almacén de copias de seguridad con una o varias cuentas, o con toda su organización en AWS Organizations. Puede compartir un almacén de copias de seguridad de destino con una cuenta de AWS, un usuario o un rol de IAM de origen.

Para compartir un almacén de copias de seguridad de destino

  1. Elija y AWS Backup y, a continuación, elija Almacenes de copia de seguridad.

  2. Elija el nombre del almacén de copias de seguridad que desea compartir.

  3. En el panel Política de acceso, elija el menú desplegable Agregar permisos.

  4. Elija Permitir el acceso de nivel de cuenta a un almacén de copias de seguridad. O bien, puede optar por permitir el acceso a nivel de organización o de rol.

  5. Ingrese el AccountID de la cuenta que quiere compartir con este almacén de copias de seguridad de destino.

  6. Elija Guardar política.

Puede utilizar las políticas de IAM para compartir su almacén de copias de seguridad.

Compartir un almacén de copias de seguridad de destino con una Cuenta de AWS o rol de IAM

La siguiente política comparte un almacén de copias de seguridad con el número de cuenta 4444555566666 y el rol de IAM SomeRole en el número de cuenta 111122223333.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
Compartir un almacén de copias de seguridad de destino en una unidad organizativa en AWS Organizations

La siguiente política comparte un almacén de copias de seguridad con las unidades organizativas que utilizan su PrincipalOrgPaths.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
Compartir un almacén de copias de seguridad de destino con una organización en AWS Organizations

La siguiente política comparte un almacén de copias de seguridad con la organización con un PrincipalOrgID de “o-a1b2c3d4e5”.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

Configuración de la cuenta como cuenta de destino

La primera vez que habilite las copias de seguridad entre cuentas con su cuenta de administración de AWS Organizations, cualquier usuario de una cuenta miembro puede configurar su cuenta para que sea una cuenta de destino. Se recomienda configurar una o más de las siguientes políticas de control de servicios (SCP) en AWS Organizations para limitar tus cuentas de destino. Para obtener más información sobre cómo asociar políticas de control de servicios a los nodos de AWS Organizations, consulte Asociar y desasociar políticas de control de servicios.

Limitar las cuentas de destino mediante etiquetas

Cuando se asocia a una cuenta raíz de AWS Organizations, unidad organizativa o cuenta individual, esta política limita los destinos de las copias de esa raíz, unidad organizativa o cuenta a solo aquellas cuentas con almacenes de copias de seguridad que haya etiquetado DestinationBackupVault. El permiso "backup:CopyIntoBackupVault" controla el comportamiento del almacén de copias de seguridad y, en este caso, qué almacenes de copias de seguridad de destino son válidos. Utilice esta política, junto con la etiqueta correspondiente que se aplica a los almacenes de destino aprobados, para controlar el destino de las copias entre cuentas únicamente a las cuentas y almacenes de copia de seguridad aprobados.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
Limitar las cuentas de destino mediante números de cuenta y nombres de almacén

Cuando se asocia a una cuenta raíz de AWS Organizations, unidad organizativa o cuenta individual, esta política limita las copias que se originan desde esa raíz, unidad organizativa o cuenta a dos cuentas de destino. El permiso "backup:CopyFromBackupVault" controla el comportamiento de un punto de recuperación del almacén de copias de seguridad y, en este caso, los destinos a los que se puede copiar ese punto de recuperación. El almacén de origen solo permitirá realizar copias en la primera cuenta de destino (112233445566) si uno o varios nombres del almacén de copias de seguridad de destino comienzan por cab-. El almacén de origen solo permitirá realizar copias en la segunda cuenta de destino (123456789012) si el destino es un almacén de copias de seguridad único llamado fort-knox.

Limitar las cuentas de destino mediante unidades organizativas en AWS Organizations

Cuando se asocia a una raíz o unidad organizativa de AWS Organizations que contenga la cuenta de origen, o cuando se asocia a su cuenta de origen, la siguiente política limita las cuentas de destino a las cuentas incluidas en las dos unidades organizativas especificadas.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

Consideraciones de seguridad para la copia de seguridad entre cuentas

Tenga en cuenta lo siguiente cuando realice copias de seguridad entre cuentas en AWS Backup:

  • El almacén de destino no puede ser el almacén predeterminado. Esto se debe a que el almacén predeterminado está cifrado con una clave que no se puede compartir con otras cuentas.

  • Es posible que las copias de seguridad entre cuentas sigan ejecutándose durante 15 minutos después de que deshabilite la copia de seguridad entre cuentas. Esto se debe a la coherencia futura y puede provocar que algunos trabajos entre cuentas se inicien o finalicen incluso después de deshabilitar la copia de seguridad entre cuentas.

  • Si la cuenta de destino abandona la organización más adelante, esa cuenta retendrá las copias de seguridad. Para evitar una posible filtración de datos, incluya un permiso de denegación en el permiso organizations:LeaveOrganization en una política de control de servicio (SCP) asociada a la cuenta de destino. Para obtener información detallada sobre las SCP, consulte Eliminación de una cuenta miembro de la organización en la Guía del usuario de Organizations.

  • Si elimina un rol de trabajo de copia durante una copia entre cuentas, AWS Backup no podrá dejar de compartir instantáneas de la cuenta de origen cuando se complete el trabajo de copia. En este caso, el trabajo de copia de seguridad finaliza, pero el estado del trabajo de copia aparece como Failed to unshare snapshot.