View a markdown version of this page

Configuración de copias de seguridad entre cuentas (dentro de la región) - Guía para desarrolladores de aplicaciones avanzadas de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de copias de seguridad entre cuentas (dentro de la región)

AWS Backup admite la posibilidad de copiar instantáneas de una cuenta a otra dentro de la misma región de AWS siempre que las dos cuentas estén dentro de la misma organización de AWS. Por ejemplo, en la zona de aterrizaje multicuenta (MALZ) de AMS Advanced, puede configurar una copia de instantáneas entre cuentas dentro de la misma región de AWS mediante este inicio rápido.

Para obtener más información, consulte AWS Backup y AWS Organizations incorporan la función de respaldo multicuenta

Las instantáneas se copian entre cuentas para la recuperación ante desastres (DR). Para proteger los datos, es posible que tenga requisitos para conservar las instantáneas en la misma región de AWS, pero fuera de los límites de la cuenta.

AWS Backup Proceso de copia de instantáneas entre cuentas

Información general:

En términos generales, estos son los pasos para realizar copias de seguridad entre cuentas en AMS:

  • Cree una cuenta de destino para alojar las copias de seguridad en la región de AWS en la que está alojada su landing zone de AMS (paso 1)

  • Cree una clave KMS para cifrar las copias de seguridad en la cuenta de destino (paso 3)

  • Cree una bóveda de respaldo en la cuenta de destino de la misma región que su zona de aterrizaje de AMS Advanced (paso 4)

  • Habilite la configuración de cuentas cruzadas en su cuenta de administración (paso 5)

  • Cree o modifique el plan y las reglas de respaldo de la cuenta de origen (paso 6)

nota

Asegúrese de que las cuentas de origen y destino estén en la misma región. Si desea copiar las copias de seguridad de una región a otra, póngase en contacto con su CA o CSDM.

Para habilitar y configurar las copias de seguridad entre cuentas:

  1. Cree una cuenta de destino para alojar las copias de seguridad; si ya tiene una cuenta de este tipo, puede omitir este paso. Para crear la cuenta, envíe un RFC desde su cuenta de Management Payer mediante el tipo de cambio Implementación | Managed landing zone | Cuenta de administración | Crear cuenta de aplicación (con VPC) (ct-1zdasmc2ewzrs).

  2. [Opcional] Si los recursos o las instantáneas están cifrados en la cuenta de origen (por ejemplo, Prod), comparta la clave KMS utilizada para el cifrado con la cuenta de destino. Para ello, envíe una RFC con la opción Administración | Componentes de pila avanzados | Clave KMS | Tipo de cambio de actualización (ct-3ovo7px2vsa6n).

  3. En la cuenta de destino, cree una clave KMS para utilizarla en el cifrado de Backup Vault. Para ello, envíe una RFC mediante la opción Implementación | Componentes de pila avanzados | Clave KMS | Crear tipo de cambio (auto) (ct-1d84keiri1jhg).

  4. En la cuenta de destino, cree un Backup Vault con la clave creada anteriormente. Los almacenes de AWS Backup se pueden crear mediante el tipo de cambio automático de ingesta CFN, Deployment | Ingestion | Stack from CloudFormation Template | Create (ct-36cn2avfrrj9v). En la misma solicitud, es necesario modificar la política de acceso al almacén para permitir que las cuentas de origen accedan al almacén. A continuación, se muestra un ejemplo de política:

    Ejemplo CloudFormation de plantilla para un Backup Vault:

    {
  "Description": "Test infrastructure",
  "Resources": {
  "BackupVaultForTesting": {
    "Type": "AWS::Backup::BackupVault",
    "Properties": {
      "BackupVaultName": "backup-vault-for-test",
      "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx",
        "AccessPolicy" : {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Sid": "AllowSrcAccountPermissionsToCopy",
              "Effect": "Allow",
              "Action": "backup:CopyIntoBackupVault",
              "Resource": "*",
              "Principal": {
                "AWS": ["arn:aws:iam::987654321098:root"]
              }
            }
          ]
        }
      }
    }
  }
}

  5. Desde su cuenta de Management Payer, active la copia de seguridad entre cuentas. Para ello, envíe un RFC mediante el tipo de cambio Management | AWS Backup | Backup plan | Enable cross-account copy (cuenta de administración) (ct-2yja7ihh30ply).

  6. Por último, desde la cuenta de origen en la que se originan las copias de seguridad, cree la regla o reglas del plan de copias de seguridad que rigen las copias de seguridad para copiar instantáneas entre cuentas. Para ello, envíe una RFC mediante el tipo de cambio Deployment | AWS Backup | Backup plan | Create (ct-2hyozbpa0sx0m). Si necesita actualizar un plan de respaldo existente, envíe una RFC utilizando el tipo de cambio Administración | Otros | Otros | Actualización (ct-0xdawir96cy7k) con la siguiente información:

    1. El nombre del plan de respaldo y el nombre de la regla que se va a actualizar.

    2. El ARN de la bóveda de respaldo de la destination/ICE cuenta.

    3. La retención para la days/months que desea conservar las instantáneas en la bóveda del ICE objetivo.