View a markdown version of this page

Configuration de sauvegardes entre comptes (intra-région) - Guide du développeur d'applications AMS Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de sauvegardes entre comptes (intra-région)

AWS Backup permet de copier des instantanés d'un compte à un autre au sein de la même région AWS, à condition que les deux comptes appartiennent à la même organisation AWS. Par exemple, dans la zone d'atterrissage multi-comptes (MALZ) AMS Advanced, vous pouvez configurer une copie instantanée entre comptes au sein de la même région AWS à l'aide de ce démarrage rapide.

Pour plus d'informations, consultez AWS Backup et AWS Organizations bring cross-account backup feature

Vous copiez des instantanés entre comptes à des fins de reprise après sinistre (DR). Pour protéger les données, vous devez peut-être conserver les instantanés au sein de la même région AWS, mais en dehors des limites du compte.

AWS Backup Processus de copie instantanée entre comptes

Présentation :

De manière générale, voici les étapes à suivre pour les sauvegardes entre comptes dans AMS :

  • Créez un compte de destination pour héberger les sauvegardes dans la région AWS où est hébergée votre zone de landing zone AMS (étape 1)

  • Création d'une clé KMS pour chiffrer les sauvegardes dans le compte de destination (étape 3)

  • Créez un coffre-fort de sauvegarde dans le compte de destination de la même région que votre zone de landing zone AMS Advanced (étape 4)

  • Activez le paramètre multi-comptes dans votre compte de gestion (étape 5)

  • Création ou modification du plan et des règles de sauvegarde du compte source (étape 6)

Note

Assurez-vous que les comptes source et de destination se trouvent dans la même région. Si vous souhaitez copier vos sauvegardes d'une région à l'autre, contactez votre autorité de certification ou votre CSDM.

Pour activer et configurer les sauvegardes entre comptes, procédez comme suit :

  1. Créez un compte de destination pour héberger les sauvegardes ; si vous possédez déjà un tel compte, vous pouvez ignorer cette étape. Pour créer le compte, soumettez un RFC depuis votre compte Management Payer en utilisant le type de changement de type (ct-1zdasmc2ewzrs) Déploiement | Zone d'atterrissage gérée | Compte de gestion | Créer un compte d'application (avec VPC).

  2. [Facultatif] Si les ressources ou les instantanés sont chiffrés dans le compte source (par exemple, Prod), partagez la clé KMS utilisée pour le chiffrement avec le compte de destination. Pour ce faire, soumettez une RFC en utilisant le type de modification Management | Advanced stack components | KMS key | Update (ct-3ovo7px2vsa6n).

  3. Dans le compte de destination, créez une clé KMS à utiliser pour le chiffrement de Backup Vault. Pour ce faire, soumettez une RFC à l'aide du type Deployment | Advanced stack components | KMS key | Create (auto) change (ct-1d84keiri1jhg).

  4. Dans le compte de destination, créez un Backup Vault à l'aide de la clé créée précédemment. Les coffres-forts de sauvegarde AWS peuvent être créés à l'aide du type de modification automatique CFN, Deployment | Ingestion | Stack from CloudFormation Template | Create (ct-36cn2avfrrj9v). Dans la même demande, la politique d'accès au coffre-fort doit être modifiée pour permettre au ou aux comptes source d'accéder au coffre-fort. Voici un exemple de politique :

    Exemple CloudFormation de modèle pour un Backup Vault :

    {
  "Description": "Test infrastructure",
  "Resources": {
  "BackupVaultForTesting": {
    "Type": "AWS::Backup::BackupVault",
    "Properties": {
      "BackupVaultName": "backup-vault-for-test",
      "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx",
        "AccessPolicy" : {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Sid": "AllowSrcAccountPermissionsToCopy",
              "Effect": "Allow",
              "Action": "backup:CopyIntoBackupVault",
              "Resource": "*",
              "Principal": {
                "AWS": ["arn:aws:iam::987654321098:root"]
              }
            }
          ]
        }
      }
    }
  }
}

  5. À partir de votre compte Management Payer, activez la sauvegarde entre comptes. Pour ce faire, soumettez une RFC en utilisant le type de modification Management | AWS Backup | Backup plan | Enable cross-account copy (Management account) (ct-2yja7ihh30ply).

  6. Enfin, à partir du compte source d'où proviennent les sauvegardes, créez la ou les règles du plan de sauvegarde qui régissent les sauvegardes afin de copier les instantanés entre comptes. Pour ce faire, soumettez une RFC à l'aide du type Deployment | AWS Backup | Backup plan | Create change (ct-2hyozbpa0sx0m). Si vous devez mettre à jour un plan de sauvegarde existant, soumettez une RFC en utilisant le type de modification Management | Other | Other | Update (ct-0xdawir96cy7k) avec les informations suivantes :

    1. Le nom du plan de sauvegarde ainsi que le nom de la règle à mettre à jour.

    2. L'ARN du coffre de sauvegarde du destination/ICE compte.

    3. La durée de conservation pour laquelle days/months vous souhaitez conserver les instantanés dans le coffre ICE cible.