View a markdown version of this page

Configurando backups entre contas (dentro da região) - Guia do desenvolvedor de aplicativos avançados do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando backups entre contas (dentro da região)

AWS Backup suporta a capacidade de copiar snapshots de uma conta para outra dentro da mesma região da AWS, desde que as duas contas estejam dentro da mesma organização da AWS. Por exemplo, no AMS Advanced multi-account landing zone (MALZ), você pode configurar uma cópia instantânea de várias contas dentro da mesma região da AWS usando esse início rápido.

Para obter mais informações, consulte AWS Backup e AWS Organizations trazem recurso de backup entre contas

Você copia instantâneos entre contas para recuperação de desastres (DR). Você pode ter requisitos para manter snapshots dentro da mesma região da AWS, mas fora dos limites da conta, para proteção de dados.

AWS Backup Processo de cópia instantânea entre contas

Visão geral:

Em um alto nível, estas são as etapas para backups entre contas no AMS:

  • Crie uma conta de destino para hospedar backups na região da AWS em que sua landing zone do AMS está hospedada (etapa 1)

  • Crie uma chave KMS para criptografar backups na conta de destino (etapa 3)

  • Crie um cofre de backup na conta de destino da mesma região da sua landing zone do AMS Advanced (etapa 4)

  • Ative a configuração de várias contas em sua conta de gerenciamento (etapa 5)

  • Criar ou modificar o plano e as regras de backup da conta de origem (etapa 6)

nota

Certifique-se de que as contas de origem e de destino estejam na mesma região. Se você quiser copiar seus backups entre regiões, entre em contato com sua CA ou CSDM.

Para ativar e configurar backups entre contas:

  1. Crie uma conta de destino para hospedar backups; se você já tiver essa conta, pode pular esta etapa. Para criar a conta, envie uma RFC da sua conta Management Payer usando o tipo de alteração Deployment | Managed landing zone | Management account | Create application account (com VPC) (ct-1zdasmc2ewzrs).

  2. [Opcional] Se recursos ou instantâneos estiverem criptografados na conta de origem (por exemplo, Prod), compartilhe a chave KMS usada para criptografia com a conta de destino. Para fazer isso, envie uma RFC usando o Gerenciamento | Componentes avançados da pilha | Chave KMS | Tipo de alteração de atualização (ct-3ovo7px2vsa6n).

  3. Na conta de destino, crie uma chave KMS para ser usada na criptografia do Backup Vault. Para fazer isso, envie um RFC usando Deployment | Advanced stack components | KMS key | Create (auto) change type (ct-1d84keiri1jhg).

  4. Na conta de destino, crie um Cofre de Backup usando a chave criada anteriormente. Os AWS Backup Vaults podem ser criados usando o tipo de alteração automática CFN ingest, Deployment | Inestion | Stack from CloudFormation Template | Create (ct-36cn2avfrrj9v). Na mesma solicitação, a política de acesso ao cofre precisa ser modificada para permitir que as contas de origem acessem o cofre. Aqui está um exemplo de política:

    CloudFormation Modelo de exemplo para um Backup Vault:

    {
  "Description": "Test infrastructure",
  "Resources": {
  "BackupVaultForTesting": {
    "Type": "AWS::Backup::BackupVault",
    "Properties": {
      "BackupVaultName": "backup-vault-for-test",
      "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx",
        "AccessPolicy" : {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Sid": "AllowSrcAccountPermissionsToCopy",
              "Effect": "Allow",
              "Action": "backup:CopyIntoBackupVault",
              "Resource": "*",
              "Principal": {
                "AWS": ["arn:aws:iam::987654321098:root"]
              }
            }
          ]
        }
      }
    }
  }
}

  5. Na sua conta do Management Payer, ative o backup entre contas. Para fazer isso, envie uma RFC usando o plano Gerenciamento | AWS Backup | Backup | Habilitar cópia entre contas (Conta de gerenciamento) do tipo de alteração (ct-2yja7ihh30ply).

  6. Por fim, na conta de origem em que os backups são originados, crie a regra ou as regras do plano de backup que regem os backups para copiar instantâneos entre contas. Para fazer isso, envie um RFC usando o plano Deployment | AWS Backup | Backup Backup | Create change type (ct-2hyozbpa0sx0m). Se precisar atualizar um plano de backup existente, envie uma RFC usando o tipo de alteração Management | Other | Other | Update (ct-0xdawir96cy7k) com as seguintes informações:

    1. O nome do plano de backup, bem como o nome da regra a ser atualizada.

    2. O ARN do cofre de backup da destination/ICE conta.

    3. A retenção para a days/months qual você gostaria de manter os instantâneos no cofre ICE de destino.