Administración de recursos de AWS Backup en varias Cuentas de AWS
nota
Antes de administrar recursos en varias Cuentas de AWS en AWS Backup, sus cuentas debe pertenecer a la misma organización del servicio de AWS Organizations.
Descripción general de la administración entre cuentas
Puede utilizar la característica de administración entre cuentas en AWS Backup para administrar y monitorizar los trabajos de copia de seguridad, restauración y copia en las Cuentas de AWS que configure con AWS Organizations. AWS Organizations es un servicio que ofrece administración basada en políticas para varias Cuentas de AWS desde una sola cuenta maestra. Le permite estandarizar la forma en que implementa las políticas de copia de seguridad, minimizando los errores manuales y el esfuerzo simultáneamente. Desde una vista central, puede identificar fácilmente los recursos en todas las cuentas que cumplan los criterios que le interesan.
Si lo configura AWS Organizations, puede configurar AWS Backup para que supervise las actividades en todas sus cuentas en un solo lugar. También puede crear una política de copia de seguridad y aplicarla a las cuentas seleccionadas que forman parte de su organización y ver las actividades de trabajo de copia de seguridad agregadas directamente desde la consola de AWS Backup. Esta funcionalidad permite a los administradores de copias de seguridad monitorizar eficazmente el estado del trabajo de copia de seguridad en cientos de cuentas de toda la empresa desde una sola cuenta maestra. Se aplican las Cuotas para AWS Organizations.
Por ejemplo, se define una política de copia de seguridad A que toma copias de seguridad diarias de recursos específicos y las mantiene durante 7 días. Puede aplicar la política de copia de seguridad A a toda la organización. (Esto significa que cada cuenta de la organización obtiene esa política de copia de seguridad, lo que crea un plan de copia de seguridad correspondiente que está visible en esa cuenta). A continuación, crea una unidad organizativa denominada Finance y decide mantener sus copias de seguridad durante solo 30 días. En este caso, se define una política de copia de seguridad B, que anula el valor del ciclo de vida y se adjunta a esa unidad organizativa Finance. Esto significa que todas las cuentas bajo la unidad organizativa Finance obtienen un nuevo plan de copia de seguridad efectivo que toma copias de seguridad diarias de todos los recursos especificados y las mantiene durante 30 días.
En este ejemplo, la política de copia de seguridad A y la política de copia de seguridad B se fusionaron en una única política de copia de seguridad, que define la estrategia de protección para todas las cuentas de la unidad organizativa denominada Finance. Todas las demás cuentas de la organización permanecen protegidas por la política de copia de seguridad A. La combinación se realiza solo para las políticas de copia de seguridad que comparten el mismo nombre de plan de copia de seguridad. También puede hacer que la política A y la política B coexistan en esa cuenta sin ninguna combinación. Solo puede utilizar operadores avanzados de fusión en la vista JSON de la consola. Para obtener más información sobre la combinación de políticas, consulte Definición de políticas, sintaxis de políticas y herencia de políticas en la Guía del usuario de AWS Organizations. Para obtener más referencias y casos de uso, consulte el blog Managing backups at scale in your AWS Organizations using AWS Backup
La administración entre cuentas consiste en la supervisión entre cuentas, las copias de seguridad entre cuentas, las políticas de copias de seguridad y las cuentas de administrador delegado. No todos estos elementos están disponibles en todas las regiones. Para obtener más información sobre dónde está disponible la administración entre cuentas, consulte Disponibilidad de características por región de AWS.
Cómo usar la administración entre cuentas
-
Cree una cuenta de administración en AWS Organizations y agregue cuentas a la cuenta de administración.
-
Habilite la función de administración entre cuentas en AWS Backup.
-
Cree una política de copia de seguridad para aplicarla a todas las Cuentas de AWS de su cuenta de administración.
nota
Para los planes de copia de seguridad administrados por Organizations, la configuración de suscripción del recurso en la cuenta de administración anula la configuración de la cuenta de un miembro, aunque estén configuradas una o varias cuentas de administrador delegado. Las cuentas de administrador delegado son cuentas de miembros con características mejoradas y no pueden anular la configuración como una cuenta de administración.
-
Administre trabajos de copia de seguridad, restauración y copia en todas sus Cuentas de AWS.
Creación de una cuenta de administración en Organizations
En primer lugar, debe crear su organización y configurarla con cuentas de miembro de AWS en AWS Organizations. Para obtener instrucciones, consulte Tutorial: Creación y configuración de una organización en la Guía del usuario de AWS Organizations.
Al añadir cuentas de miembro a su organización, asegúrese de que cada cuenta tenga:
-
al menos una copia de seguridad o un almacén aislado lógicamente,
-
un rol de IAM.
Las políticas de copias de seguridad que cree tendrán un plan de copia de seguridad, pero también identificarán las Regiones de AWS, los almacenes utilizados en el plan de copia de seguridad, los recursos de los que se van a realizar copias de seguridad y el rol de IAM que se utilizará para crear la copia de seguridad. Las políticas de copias de seguridad que hacen referencia a cuentas que carecen de la información requerida no funcionarán según se espera.
Para obtener más información, consulte Sintaxis de las políticas de copia de seguridad en la Guía del usuario de AWS Organizations.
Habilitación de la administración entre cuentas
Antes de poder utilizar la gestión de cuentas cruzadas en AWS Backup, la cuenta de administración debe activar la característica (es decir, optar por usarla). Una vez que la cuenta de administración habilite la administración entre cuentas, puede crear políticas de copia de seguridad que administren los recursos de varias cuentas.
Para habilitar la administración entre cuentas
-
Abra Consola de AWS Backup en https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. -
En el panel de navegación izquierdo, elija Settings (Configuración) para abrir la página de administración entre cuentas.
-
En la sección Backup policies (Políticas de copia de seguridad), elija Enable (Habilitar).
Esto le da acceso a todas las cuentas y le permite crear políticas que automatizan la administración de varias cuentas en su organización simultáneamente.
-
En la sección Supervisión entre cuentas elija Enable (Habilitar).
Esto le permite monitorizar las actividades de copia de seguridad, copia y restauración de todas las cuentas de su organización desde su cuenta de administración.
Políticas de copia de seguridad
Puede combinar los planes de copia de seguridad con la escalabilidad de las políticas de AWS Organizations para crear políticas de respaldo que simplifiquen la administración en toda su organización.
Consulte la Guía del usuario de AWS Organizations para obtener información sobre cómo habilitar las políticas de copia de seguridad para su organización, de modo que pueda:
Consulte AWS BackupCuotas de para obtener información sobre las cuotas específicas de AWS Backup de los elementos incluidos en una política.
Administrador delegado
La administración delegada proporciona una forma cómoda para que los usuarios asignados a una cuenta miembro registrada realicen la mayoría de las tareas administrativas de AWS Backup. Puede optar por delegar la administración de AWS Backup a una cuenta miembro en AWS Organizations, lo que amplía la capacidad de administrar AWS Backup desde fuera de la cuenta de administración y en toda la organización.
Una cuenta de administración, de forma predeterminada, es la cuenta que se usa para editar y administrar las políticas. Con la característica de administrador delegado, puede delegar estas funciones de administración a las cuentas miembro que designe. A su vez, esas cuentas pueden administrar políticas, además de la cuenta de administración.
Una vez que la cuenta miembro se haya registrado correctamente para la administración delegada, se convierte en una cuenta de administrador delegado. Tenga en cuenta que las cuentas, no los usuarios, se designan como administradores delegados.
La habilitación de cuentas de administrador delegado permite administrar las políticas de copia de seguridad, minimiza la cantidad de usuarios con acceso a la cuenta de administración y facilita la monitorización de los trabajos entre cuentas.
A continuación, hay una tabla que muestra las funciones de la cuenta de administración, las cuentas delegadas como administradores de copias de seguridad y las cuentas miembro de AWS Organization.
nota
Las cuentas de administrador delegado son cuentas de miembros con características mejoradas, pero no pueden anular la configuración de suscripción al servicio de otras cuentas de miembros como una cuenta de administración.
| PRIVILEGIOS | CUENTA DE ADMINISTRACIÓN | ADMINISTRADOR DELEGADO | CUENTA MIEMBRO |
|---|---|---|---|
| Registrar o anular el registro de cuentas de administrador delegado | Sí | No | No |
| Activar la administración entre cuentas | Sí | No | No |
| Administrar las políticas de copia de seguridad en todas las cuentas en AWS Organizations | Sí | Sí | No |
| Monitorizar los trabajos entre cuentas | Sí | Sí | No |
Requisitos previos
Para poder delegar la administración de las copias de seguridad, primero debe registrar al menos una cuenta miembro en su organización de AWS como administrador delegado. Antes de poder registrar una cuenta como administrador delegado, primero debe configurar lo siguiente:
AWS Organizations debe estar habilitado y configurado con al menos una cuenta miembro además de la cuenta de administración predeterminada.
-
En la consola de AWS Backup, asegúrate de que las características Políticas de copia de seguridad, Supervisión entre cuentas y Copia de seguridad entre cuentas estén activadas. Se encuentran debajo del panel de Administradores delegados de la consola de AWS Backup.
-
La monitorización entre cuentas le permite monitorizar la actividad de copia de seguridad en todas las cuentas de su organización, tanto desde la cuenta de administración como desde las cuentas de administrador delegado.
-
Opcional: copia de seguridad entre cuentas, que permite a las cuentas de su organización replicar copias de seguridad en otras cuentas (para los recursos entre cuentas compatibles con Backup).
-
Habilite el acceso al servicio
con AWS Backup.
-
La configuración de la administración delegada consta de dos pasos. El primer paso es delegar la monitorización de los trabajos entre cuentas. El segundo paso es delegar la administración de las políticas de copia de seguridad.
Registro de una cuenta miembro como cuenta del administrador delegado
Esta es la primera sección: usará la consola de AWS Backup para registrar una cuenta de administrador delegado a fin de monitorizar los trabajos entre cuentas. Para delegar políticas de AWS Backup, utilizará la consola de Organizations en la siguiente sección.
Para registrar una cuenta miembro con la consola de AWS Backup:
-
Abra Consola de AWS Backup en https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. En Mi cuenta, en el panel de navegación izquierdo de la consola, elija Configuración.
En el panel Administradores delegados, haga clic en Registrar administrador delegado o Agregar administrador delegado.
En la página Registrar administrador delegado, seleccione la cuenta que desee registrar y, a continuación, elija Registrar cuenta.
Esta cuenta designada ahora se registrará como un administrador delegado, con privilegios administrativos para monitorizar los trabajos en todas las cuentas de la organización. Además, podrá ver y editar las políticas (delegación de políticas). Esta cuenta miembro no puede registrar ni anular el registro de otras cuentas de administrador delegado. Puede usar la consola para registrar un máximo de 5 cuentas como administradores delegados.
Asegúrese de que el administrador delegado tenga los permisos otorgados por AWSBackupOrganizationAdminAccess.
Para registrar una cuenta miembro mediante programación:
Utilice el comando de la CLI . register-delegated-administrator. Puede especificar los siguientes parámetros en su solicitud de CLI:
service-principalaccount-id
A continuación se muestra un ejemplo de una solicitud de CLI para registrar una cuenta miembro mediante programación:
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Anulación del registro de una cuenta miembro
Utilice el siguiente procedimiento para eliminar el acceso administrativo de AWS Backup a través de la anulación del registro de una cuenta miembro en su organización de AWS que antes se había designado como administrador delegado.
Para anular el registro de una cuenta miembro con la consola
-
Abra Consola de AWS Backup en https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. En Mi cuenta, en el panel de navegación izquierdo de la consola, elija Configuración.
En la sección Administrador delegado, elija Anular el registro de cuenta.
Elige la cuenta o cuentas para las que desea anular el registro.
En el cuadro de diálogo Anular el registro de cuenta, revise las implicaciones de seguridad y, a continuación, escriba
confirmpara completar la anulación del registro.Elegir
Deregister account.
Para anular el registro de una cuenta miembro mediante programación:
Utilice el comando de la CLI deregister-delegated-administrator para anular el registro de una cuenta de administrador delegado. Puede especificar los siguientes parámetros en su solicitud de API:
service-principalaccount-id
A continuación se muestra un ejemplo de una solicitud de CLI para anular el registro de una cuenta miembro mediante programación:
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
Delegación de las políticas de AWS Backup a AWS Organizations
Dentro de la consola de AWS Organizations, puede delegar la administración de varias políticas, incluidas políticas de copia de seguridad.
Desde la cuenta de administración que ha iniciado sesión en la consola de AWS Organizations
Monitorización de actividades en varias Cuentas de AWS
Para supervisar los trabajos de copia de seguridad, copia y restauración en todas las cuentas, debe habilitar la supervisión entre cuentas. Esto le permite monitorizar las actividades de copia de seguridad en todas las cuentas desde la cuenta de administración de la organización. Después de participar, todos los trabajos de la organización que se crearon después de la suscripción están visibles. Cuando se desactiva, AWS Backup mantiene los trabajos en la vista conjunta durante 30 días (desde que se llega a un estado de finalización). Los trabajos creados después de la exclusión no son visibles y no muestran los trabajos de copia de seguridad recién creados. Para obtener instrucciones de aceptación, consulte Habilitación de la administración entre cuentas.
Para supervisar varias cuentas
-
Abra Consola de AWS Backup en https://console.aws.amazon.com/backup/
. Debe iniciar sesión con las credenciales de la cuenta de administración. -
En el panel de navegación izquierdo, elija Settings (Configuración) para abrir la página de administración entre cuentas.
-
En la sección Supervisión entre cuentas elija Enable (Habilitar).
Esto le permite monitorizar las actividades de copia de seguridad y restauración de todas las cuentas de su organización desde su cuenta de administración.
-
En el panel de navegación izquierdo, elija Cross-account monitoring (Supervisión entre cuentas).
-
En la página Supervisión entre cuentas, elija la pestaña Trabajos de copia de seguridad, Trabajos de restauración o Trabajos de copia para ver todos los trabajos creados en todas sus cuentas. Puede ver cada uno de estos trabajos por ID de Cuenta de AWS y puede ver todos los trabajos de una cuenta concreta.
-
En el cuadro de búsqueda, puede filtrar los trabajos por Account ID (ID de cuenta), Status (Estado), o Job ID (ID de trabajo).
Por ejemplo, puede elegir la pestaña Backup jobs (Trabajos de copia de seguridad) y ver todos los trabajos de copia de seguridad creados en todas sus cuentas. Puede filtrar la lista por Account ID (ID de cuenta) y ver todos los trabajos de copia de seguridad creados en esa cuenta.
Reglas de suscripción de recursos
Si el plan de copia de seguridad de una cuenta miembro se creó mediante una política de copia de seguridad a nivel de organización, la configuración de suscripción de AWS Backup de la cuenta de administración de Organizations anulará la configuración de suscripción de esa cuenta miembro, pero solo para ese plan de copia de seguridad.
Si la cuenta miembro también tiene planes de copia de seguridad a nivel local creados por los usuarios, dichos planes de copia de seguridad seguirán la configuración de suscripción de la cuenta miembro, sin referencia a la configuración de suscripción de la cuenta de administración de Organizations.
Definición de políticas, sintaxis de políticas y herencia de políticas
Los temas siguientes se documentan en la Guía del usuario de AWS Organizations.
-
Políticas de copia de seguridad: consulte Políticas de copia de seguridad.
-
Sintaxis de políticas: consulte Ejemplos y sintaxis de políticas de copia de seguridad.
-
Herencia para tipos de políticas de administración: consulte Herencia para tipos de políticas de administración.
